Cosa c'è da sapere sugli exploit informatici
Gli exploit del computer. Cosa sono e perché dovrebbero interessarvi?
Avete mai notato che gli sviluppatori di software non smettono mai di patchare e aggiornare il loro software, a volte rilasciando aggiornamenti solo pochi giorni dopo il rilascio del software iniziale?
Questo perché ogni software che possedete e che possederete mai nella vostra vita presenta delle vulnerabilità che i criminali informatici possono trovare e sfruttare - in altre parole, "sfruttare". Non esiste un software esente da exploit: ci saranno sempre delle falle. Il software per computer è solido come un blocco di formaggio svizzero.
Attraverso gli exploit, i criminali informatici possono accedere al vostro computer e rubare informazioni sensibili o installare malware. Nonostante il rallentamento dell'attività di exploit, i criminali informatici continuano a ricorrere a questo metodo di attacco furtivo. Per questo motivo è il momento giusto per informarsi sul tema degli exploit e proteggersi di conseguenza. Scorrete quindi la pagina, continuate a leggere e scoprite tutto quello che c'è da sapere sugli exploit informatici.
Che cos'è un exploit? Definizione di exploit
Un exploit informatico è un tipo di malware che sfrutta bug o vulnerabilità che i criminali informatici utilizzano per ottenere l'accesso illecito a un sistema. Queste vulnerabilità sono nascoste nel codice del sistema operativo e delle sue applicazioni e aspettano solo di essere scoperte e utilizzate dai criminali informatici. Il software comunemente sfruttato comprende il sistema operativo stesso, i browser, Microsoft Office e le applicazioni di terze parti. A volte gli exploit vengono confezionati da gruppi di criminali informatici in un cosiddetto kit di exploit. I kit di exploit rendono più facile per i criminali con conoscenze tecniche limitate utilizzare gli exploit e diffondere il malware.
Per capire meglio cosa sono gli exploit, può essere utile pensare ai costosi lucchetti a cilindro per biciclette e laptop popolari nei primi anni 2000. Le persone pagavano fino a 50 dollari per questi lucchetti, pensando che mantenessero al sicuro i loro oggetti di valore, fino a quando qualcuno non ha pubblicato online un video che dimostrava come questi lucchetti potessero essere scassinati in pochi secondi utilizzando una penna Bic economica e facilmente reperibile.
Ciò ha costretto i produttori di serrature ad aggiornarle e i consumatori hanno dovuto passare alle nuove serrature a prova di scasso. Si tratta di uno sfruttamento tangibile di un sistema di sicurezza fisico. Per quanto riguarda il software, i criminali informatici sono alla ricerca di trucchi intelligenti, proprio come il tizio della penna Bic, che consentano loro di accedere ai computer, ai dispositivi mobili e alle reti altrui.
Gli attacchi di exploit spesso iniziano con malspam e download drive-by. I criminali informatici inducono le vittime ignare ad aprire un allegato e-mail infetto o a fare clic su link che reindirizzano a un sito Web dannoso. Gli allegati infetti, spesso documenti Word o PDF, contengono codice di exploit progettato per sfruttare le debolezze delle applicazioni.
I download drive-by sfruttano le vulnerabilità del browser, ad esempio Internet Explorer o Firefox, o dei plug-in in esecuzione nel browser, come Flash. Potreste visitare un sito web che avete visitato in modo sicuro in passato, ma questa volta il sito è stato violato e non ve ne accorgete nemmeno. In alternativa, potreste fare clic su un link dannoso contenuto in un'e-mail di spam, che vi porta a una versione "spoofed" di un sito web familiare.
In casi particolarmente insidiosi, potreste visitare un sito web legittimo che mostra una pubblicità o un pop-up infettato da malware, noto anche come malvertising. Una volta visitato il sito, il codice maligno presente nella pagina web lavorerà in modo invisibile in background per caricare il malware sul vostro computer.
I criminali informatici utilizzano gli exploit come mezzo per raggiungere un fine dannoso, che va da un problema fastidioso a una seccatura paralizzante. I criminali informatici potrebbero tentare di utilizzare le risorse del computer in una botnet zombie per un attacco DDoS o per estrarre Bitcoin(cryptojacking).
In alternativa, i criminali informatici potrebbero tentare di installare un adware e inondare il vostro desktop di pubblicità. I criminali informatici potrebbero voler entrare nel vostro sistema e rubare i dati o installare un malware per raccogliere segretamente i vostri dati nel tempo(spyware). Infine, i criminali informatici potrebbero installare un malware che cripta tutti i vostri file e chiedere un pagamento in cambio della chiave di crittografia(ransomware).
Che cos'è un exploit zero-day?
Zero-day! L'unico giorno all'anno in cui ci fermiamo per riconoscere l'umile piccolo zero. Se solo fosse vero. In realtà, un exploit zero-day, noto anche come exploit zero-hour, è una vulnerabilità del software di cui nessuno, a parte il criminale informatico che l'ha creata, è a conoscenza e per la quale non esiste una soluzione disponibile. Una volta che un exploit diventa di dominio pubblico, non è più uno zero-day. A volte un exploit noto viene definito "n-day exploit", a indicare che sono passati uno o più giorni da quando l'exploit è stato reso pubblico.
Una volta che un exploit zero-day diventa di dominio pubblico, i produttori di software sono impegnati in una corsa contro i criminali per applicare una patch all'exploit prima che i criminali possano approfittarne e raccogliere i frutti. Fortunatamente, i ricercatori hanno degli scrupoli. Se i ricercatori scoprono un exploit prima dei criminali, di solito segnalano la falla al produttore e gli danno la possibilità di correggerla prima di renderla nota al pubblico (e ai criminali) in generale.
La ricerca proattiva di exploit è diventata uno sport per alcuni hacker. Alla competizione annuale Pwn2own, gli esperti di exploit guadagnano denaro e premi per essere riusciti a penetrare in software popolari in diverse categorie, tra cui browser web e applicazioni aziendali. A dimostrazione del loro interesse per la sicurezza del software, Microsoft e VMware hanno sponsorizzato l'evento Pwn2own nel 2018.
Per quanto riguarda la proattività dei produttori di software nello scovare e correggere gli exploit, David Sanchez, Principal Research Engineer di Malwarebytes , ha dichiarato: "È vero che Microsoft e altri produttori di software si stanno impegnando a fondo per rendere sicure le loro applicazioni, come Office, e sfruttarle è diventato difficile, quasi impossibile. Security e i criminali informatici trovano comunque un modo per sfruttarle con successo. La sicurezza al 100% è solo un'illusione, ma le applicazioni di Malwarebytes proteggono le persone il più vicino possibile a quel 100%".
Storia degli exploit informatici
Gli exploit sono vecchi come l'informatica. Come abbiamo sottolineato, tutti i software presentano delle vulnerabilità e nel corso degli anni se ne sono verificate alcune davvero clamorose. Ecco una rapida carrellata di alcuni degli exploit informatici più noti.
La nostra esplorazione dei più grandi (cioè peggiori) exploit del mondo inizia nel 1988 con il Morris worm, uno dei primi worm ed exploit informatici. Chiamato così in onore del suo creatore Robert Tappan Morris, l'omonimo worm era stato progettato per capire quanto fosse grande Internet in quei primi anni formativi, utilizzando varie vulnerabilità per accedere agli account e determinare il numero di computer connessi a una rete.
Il worm è sfuggito di mano, infettando i computer più volte, eseguendo diverse copie del worm contemporaneamente fino a quando non sono rimaste risorse per gli utenti legittimi. Il worm Morris era diventato di fatto un attacco DDOS.
Il worm SQL Slammer ha conquistato il mondo nel 2003, arruolando nella sua botnet circa 250.000 server che eseguono il software SQL Server di Microsoft. Una volta infettato un server, il worm utilizzava uno stile di attacco a tappeto, generando indirizzi IP casuali e inviando codice infetto a tali indirizzi. Se il server preso di mira aveva installato SQL Server, anch'esso veniva infettato e aggiunto alla botnet. A seguito di SQL Slammer, 13.000 sportelli bancomat di Bank of America sono stati messi offline.
Il worm Conficker del 2008 è notevole per un paio di motivi. In primo luogo, ha riunito nella sua botnet un gran numero di computer - si parla di 11 milioni di dispositivi al suo apice. In secondo luogo, Conficker ha reso popolare un tipo di sotterfugio che i virus utilizzano per evitare il rilevamento, chiamato Domain Generating Algorithm (DGA). In breve, la tecnica DGA consente a un malware di comunicare all'infinito con il suo server di comando e controllo (C&C ) generando nuovi domini e indirizzi IP.
Progettato per attaccare il programma nucleare iraniano, il worm Stuxnet del 2010 ha sfruttato diverse vulnerabilità zero-day di Windows per ottenere l'accesso a un sistema. Da lì, il worm è stato in grado di autoreplicarsi e diffondersi da un sistema all'altro.
Scoperto nel 2014, l'exploit Heartbleed è stato utilizzato per attaccare il sistema di crittografia che consente a computer e server di parlare in privato. In altre parole, i criminali informatici potrebbero utilizzare l'exploit per origliare le vostre conversazioni digitali. Il sistema di crittografia, chiamato OPEN SSL, era utilizzato dal 17,5% o da mezzo milione di server web "sicuri". Si tratta di un sacco di dati vulnerabili.
Poiché si tratta di un problema che riguarda i siti Web visitati (lato server) e non il computer dell'utente (lato client), spetta agli amministratori di rete applicare una patch a questo exploit. La maggior parte dei siti web affidabili ha applicato una patch per questo exploit anni fa, ma non tutti, quindi è ancora un problema da tenere presente.
Il 2017 è stato un anno di punta per i ransomware. Gli attacchi ransomware WannaCry e NotPetya hanno sfruttato gli exploit EternalBlue/DoublePulsar Windows per introdursi nei computer e tenere in ostaggio i dati. Insieme, questi due attacchi hanno causato danni per 18 miliardi di dollari in tutto il mondo. L'attacco NotPetya, in particolare, ha temporaneamente paralizzato, tra le altre cose, una fabbrica di cioccolato Cadbury e il produttore di preservativi Durex. Gli edonisti di tutto il mondo hanno trattenuto il fiato fino a quando l'exploit non è stato risolto.
L'attacco di Equifax del 2017 avrebbe potuto essere evitato se l'ufficio crediti avesse fatto uno sforzo maggiore per mantenere aggiornato il proprio software. In questo caso, la falla del software che i criminali informatici hanno utilizzato per introdursi nella rete di dati di Equifax era già nota ed era disponibile una patch. Invece di applicare una patch, Equifax e il suo software obsoleto hanno permesso ai criminali informatici di rubare le informazioni personali di centinaia di milioni di clienti statunitensi. "Grazie".
Ora, prima che voi utenti Apple iniziate a pensare che i Mac non siano suscettibili di attacchi basati su exploit, considerate il terribile bug di root del 2017 che permetteva ai criminali informatici di inserire semplicemente la parola "root" nel campo del nome utente e di premere due volte "return" per ottenere l'accesso completo al computer. Il bug è stato rapidamente risolto prima che i criminali informatici potessero approfittarne, ma questo dimostra che qualsiasi software può avere bug sfruttabili. Per esempio, abbiamo riportato che gli exploit diMac sono in aumento. Alla fine del 2017, il numero di minacce uniche sulla piattaforma Mac era aumentato del 270% rispetto al 2016.
Negli ultimi tempi, le novità nel mondo degli exploit dei browser sono state poche. D'altro canto, i kit di exploit per Office stanno registrando una tendenza al rialzo. Dal 2017 abbiamo notato un aumento nell'uso di kit di exploit basati su Office. Nell'autunno di quell'anno abbiamo segnalato per la prima volta diversi exploit innovativi per Word, tra cui uno nascosto in falsi avvisi dell'Agenzia delle Entrate e un altro attacco zero-day nascosto in documenti Word, che richiede una minima interazione da parte della vittima per essere avviato.
Stiamo assistendo a un nuovo tipo di kit di exploit per Office che non si affida alle macro, ovvero al codice speciale incorporato nel documento, per fare il suo sporco lavoro. Questo kit di exploit utilizza invece il documento come esca e attiva un download automatico che distribuisce l'exploit.
Più di recente, i criminali informatici stanno distribuendo malware fileless, così chiamato perché questo tipo di malware non si basa sul codice installato sul computer di destinazione per funzionare. Al contrario, il malware fileless sfrutta le applicazioni già installate sul computer, armando di fatto il computer contro se stesso e gli altri computer.
Exploit su mobile: Android e iOS
La preoccupazione maggiore per gli utenti di telefonia mobile è l'installazione di applicazioni non approvate da Google e Apple. Scaricare applicazioni al di fuori del Google Play Store e dell'Apple App Store significa che non sono state controllate dalle rispettive aziende. Queste app non affidabili potrebbero tentare di sfruttare le vulnerabilità di iOS/Android per accedere al dispositivo mobile, rubare informazioni sensibili ed eseguire altre azioni dannose.
Come posso proteggermi dagli exploit?
Gli exploit possono essere spaventosi. Questo significa che dovremmo gettare i nostri router dalla finestra e far finta che sia il Medioevo informatico pre-internet? Certamente no. Ecco alcuni suggerimenti se volete essere proattivi nella protezione dagli exploit.
- Rimanete aggiornati. Aggiornate regolarmente il vostro sistema operativo e tutte le applicazioni che avete installato? Se la risposta è no, potreste essere una potenziale vittima dei criminali informatici. Dopo che un exploit zero-day diventa noto al fornitore di software e viene rilasciata una patch, l'onere di patchare e aggiornare il proprio software spetta al singolo utente. In realtà, gli exploit zero-day diventano più pericolosi e diffusi dopo che sono diventati di dominio pubblico, perché un gruppo più ampio di attori delle minacce sta sfruttando l'exploit. Rivolgetevi ai fornitori di software per verificare se sono disponibili aggiornamenti o patch. Se possibile, accedete alle impostazioni del software e attivate gli aggiornamenti automatici, in modo che questi avvengano automaticamente in background senza alcuno sforzo aggiuntivo da parte vostra. In questo modo si elimina il tempo che intercorre tra l'annuncio di una vulnerabilità e la sua correzione. I criminali informatici sfruttano le persone che dimenticano o semplicemente non sanno di aggiornare e patchare il proprio software.
- Aggiornare il software. In alcuni casi, un'applicazione software diventa così vecchia e ingombrante che il produttore smette di supportarla(abandonware), il che significa che eventuali ulteriori bug scoperti non saranno risolti. Seguendo il consiglio precedente, assicuratevi che il vostro software sia ancora supportato dal produttore. Se non lo è, aggiornatelo alla versione più recente o passate a qualcosa di diverso che faccia la stessa cosa.
- Rimanere al sicuro online. Assicuratevi che Microsoft SmartScreen o Google Safe Browsing siano abilitati per il vostro browser web preferito. Il vostro browser controllerà ogni sito visitato in base alle liste nere gestite da Microsoft e Google e vi allontanerà dai siti noti per la presenza di malware. Strumenti anti-malware efficaci come Malwarebytes, ad esempio, bloccheranno anche i siti dannosi, offrendo così più livelli di protezione.
- Usalo o perdilo. Gli hacker lo violano. Non possiamo farci molto. Ma se non c'è software, non c'è vulnerabilità. Se non utilizzate più il software, cancellatelo dal computer. Gli hacker non possono entrare in qualcosa che non c'è.
- Installare applicazioni autorizzate. Quando si tratta di stare al sicuro sul proprio dispositivo mobile, attenersi solo alle app autorizzate. Ci sono casi in cui si può desiderare di andare al di fuori dell'App Store e del Google Play Store, ad esempio quando si sta testando una nuova applicazione, ma bisogna essere doppiamente sicuri di potersi fidare del produttore dell'app. In generale, però, è bene attenersi alle app approvate e controllate da Apple e Google.
- Utilizzate un software anti-exploit. Avete quindi preso tutte le precauzioni necessarie per evitare gli attacchi basati su exploit. E gli exploit zero-day? Ricordate che un exploit zero-day è una vulnerabilità del software che solo i criminali informatici conoscono. Non possiamo fare molto per proteggerci dalle minacce che non conosciamo. O forse no? Un buon programma anti-malware, come Malwarebytes per Windows, Malwarebytes per Mac, Malwarebytes per Android, o Malwarebytes per iOS, è in grado di riconoscere e bloccare in modo proattivo il software dannoso che sfrutta le vulnerabilità del computer utilizzando l'analisi euristica dell'attacco. In altre parole, se il programma software sospetto è strutturato e si comporta come un malware, Malwarebytes lo segnala e lo mette in quarantena.
In che modo gli exploit influenzano la mia attività?
Per molti versi, la vostra azienda rappresenta un obiettivo di maggior valore per i criminali informatici e gli exploit rispetto al singolo consumatore: più dati da rubare, più dati da tenere per il riscatto e più endpoint da attaccare.
Prendiamo ad esempio la violazione dei dati di Equifax. In questo caso, i criminali informatici hanno utilizzato un exploit in Apache Struts 2 per accedere alla rete di Equifax e aumentare i privilegi degli utenti. Una volta entrati nella rete, gli aggressori sono diventati amministratori del sistema, ottenendo l'accesso ai dati sensibili di milioni di consumatori. Nessuno conosce le conseguenze dell'attacco di Equifax, ma potrebbe costare milioni di dollari all'ufficio crediti. È in corso un'azione legale collettiva e i singoli cittadini stanno portando Equifax anche in tribunale, vincendo fino a 8.000 dollari per ogni caso.
Oltre all'escalation dei privilegi, gli exploit possono essere utilizzati per distribuire altro malware, come nel caso dell'attacco ransomware NotPetya. NotPetya si è diffuso su Internet attaccando privati e aziende. Utilizzando gli exploit EternalBlue e MimiKatz Windows , NotPetya ha preso piede in una rete e si è diffuso da un computer all'altro, bloccando ogni endpoint, criptando i dati degli utenti e bloccando l'attività. Computer, smartphone, telefoni fissi VOIP, stampanti e server sono stati resi inutilizzabili. Total danni alle aziende di tutto il mondo sono stati stimati in 10 miliardi di dollari.
Come potete proteggere la vostra azienda? È necessario eliminare i punti deboli del sistema con una buona strategia di gestione delle patch. Ecco alcuni elementi da tenere a mente per capire cosa è meglio per la vostra rete.
- Implementate la segmentazione della rete. Distribuire i dati su sottoreti più piccole riduce la superficie di attacco: i bersagli più piccoli sono più difficili da colpire. Questo può aiutare a contenere una violazione solo a pochi endpoint invece che all'intera infrastruttura.
- Applicare il principio del minimo privilegio (PoLP). In breve, concedete agli utenti il livello di accesso necessario per svolgere il proprio lavoro e nulla di più. Anche in questo caso, ciò contribuisce a contenere i danni derivanti da violazioni o attacchi ransomware.
- Rimanete aggiornati con gli aggiornamenti. Tenete d'occhio il Patch Tuesday e pianificatelo di conseguenza. Il Microsoft Security Response Center gestisce un blog con tutte le ultime informazioni sugli aggiornamenti. È inoltre possibile iscriversi alla loro newsletter via e-mail per essere sempre informati sulle patch mensili.
- Date priorità agli aggiornamenti. Il giorno successivo al Patch Tuesday viene a volte chiamato (con una certa ironia) Exploit Wednesday. I criminali informatici sono stati messi al corrente di potenziali exploit e la corsa è aperta per aggiornare i sistemi prima che i criminali informatici abbiano la possibilità di attaccare. Per accelerare il processo di patch, dovreste prendere in considerazione la possibilità di lanciare gli aggiornamenti su ogni endpoint da un agente centrale, invece di lasciare che ogni utente finale li completi nel proprio tempo libero.
- Verificate gli aggiornamenti dopo il fatto. Le patch dovrebbero correggere il software, ma a volte le patch finiscono per rompere le cose. Vale la pena di verificare che le patch distribuite alla rete non abbiano peggiorato le cose e disinstallarle se necessario.
- Sbarazzarsi del software abbandonato. A volte è difficile sbarazzarsi del vecchio software scaduto, soprattutto in una grande azienda dove il ciclo di acquisto si muove con l'urgenza di un bradipo, ma il software dismesso è davvero lo scenario peggiore per qualsiasi amministratore di rete o di sistema. I criminali informatici cercano attivamente i sistemi che utilizzano software obsoleto e non aggiornato, quindi sostituitelo il prima possibile.
- Naturalmente, un buon software di sicurezza per gli endpoint è una parte essenziale di qualsiasi programma di protezione dagli exploit. Considerate Malwarebytes. Con Malwarebytes Endpoint Protection e Malwarebytes Endpoint Detection and Response, abbiamo una soluzione per tutte le esigenze di sicurezza aziendale.
Infine, se tutto questo non ha saziato la vostra fame di conoscenza sugli exploit, potete sempre leggere di più sugli exploit sul blog Malwarebytes Labs .
Notizie sugli exploit
- Log4j zero-day "Log4Shell" arriva giusto in tempo per rovinare il vostro weekend
- Windows La vulnerabilità dell'installatore diventa uno zero-day sfruttato attivamente
- Applicate subito la patch! Server Exchange attaccati da zero-days Hafnium
- La scoperta dello zero-day di Zoom rende le chiamate più sicure, gli hacker più ricchi di 200.000 dollari
- Android Sono uscite le patch per 4 bug in-the-wild, ma quando le riceverete?
- Agite! Molteplici vulnerabilità di Pulse Secure VPN sfruttate in natura
- Aggiornatevi subito! Chrome ha patchato uno zero-day che è stato sfruttato in modo selvaggio
- Martedì delle grandi patch: Microsoft e Adobe correggono gli exploit più comuni
- Aggiornate subito il vostro iOS ! Apple corregge tre vulnerabilità zero-day
- Una guida agli zero-day per il 2020: Attacchi recenti e tecniche di prevenzione advanced
Recensioni di kit di exploit:
Kit di exploit: recensione primavera 2019
Kit di exploit: recensione inverno 2019
Kit di exploit: recensione autunno 2018
Kit di exploit: recensione estate 2018
Kit di exploit: recensione primavera 2018
Kit di exploit: recensione inverno 2018
Leggete altre notizie su exploit e vulnerabilità sul blog Malwarebytes Labs .