Sfruttamenti

Cosa devi sapere sugli exploit informatici

Exploits informatici. Cosa sono e perché dovresti preoccupartene?

Hai mai notato come gli sviluppatori di software aggiornano e patchano continuamente i loro programmi, a volte rilasciando aggiornamenti pochi giorni dopo il lancio iniziale del software?

Questo perché ogni software che possiedi e possiederai nella tua vita avrà vulnerabilità che i cybercriminali possono scoprire e sfruttare — in altre parole, "exploitare". Non esiste software privo di exploit: ci saranno sempre falle. Il software informatico è solido come un pezzo di formaggio svizzero.

Attraverso gli exploit, i cybercriminali possono accedere al tuo computer e rubare informazioni sensibili o installare malware. Nonostante un rallentamento nell'attività degli exploit, i cybercriminali continuano a utilizzare questo metodo di attacco furtivo. Con ciò in mente, ora è il momento perfetto per istruirsi sull'argomento dei exploit e proteggersi di conseguenza. Quindi scendi, leggi e apprendi tutto ciò che c'è da sapere sugli exploit informatici.

Che cos'è un exploit? Definizione di exploit

Un exploit informatico è un tipo di malware che sfrutta bug o vulnerabilità, che i cybercriminali usano per ottenere accesso illecito a un sistema. Queste vulnerabilità sono nascoste nel codice del sistema operativo e delle sue applicazioni, aspettando solo di essere scoperte e utilizzate dai cybercriminali. Il software comunemente exploitato include il sistema operativo stesso, i browser, Microsoft Office e applicazioni di terze parti. A volte, gli exploit vengono confezionati da gruppi di cybercriminali in quello che viene chiamato exploit kit. Gli exploit kit facilitano l'uso degli exploit e la diffusione di malware per i criminali con conoscenze tecniche limitate.

Per comprendere meglio cosa sono gli exploit, potrebbe essere utile pensare ai costosi blocca cilindri per biciclette e laptop popolari nei primi anni 2000. Le persone spendevano più di 50 dollari per questi lucchetti, pensando che proteggessero i loro beni, fino a quando qualcuno non pubblicò un video online mostrando come i blocchi potessero essere aperti in pochi secondi usando una penna Bic economica e facilmente reperibile.

Questo ha costretto i produttori di lucchetti ad aggiornare i loro prodotti e i consumatori hanno dovuto passare a lucchetti a prova di scasso. Questo è un exploit tangibile di un sistema di sicurezza fisica. Applicato al software, i cybercriminali cercano trucchi ingegnosi, proprio come il ragazzo della penna Bic, che consentiranno loro di accedere ai computer, dispositivi mobili e reti altrui.

Gli attacchi exploit spesso iniziano con malspam e download invisibili. I cybercriminali ingannano vittime ignare inducendole ad aprire un allegato email infetto o a cliccare su link che reindirizzano a siti web malevoli. Gli allegati infetti, spesso un documento Word o PDF, contengono codice exploit progettato per sfruttare le debolezze delle applicazioni.

I download invisibili sfruttano le vulnerabilità nel tuo browser, come ad esempio Internet Explorer o Firefox, o nei plug-in che girano all'interno del tuo browser come Flash. Potresti visitare un sito web che hai visitato in sicurezza in passato, ma questa volta il sito è stato compromesso e tu non te ne accorgeresti nemmeno. In alternativa, potresti cliccare su un link malevolo in una email spam che ti porta a una versione falsa di un sito web familiare.

E in casi particolarmente insidiosi, potresti visitare un sito legittimo che mostra un annuncio o un pop-up infetto da malware — noto anche come malvertising. Visitando il sito, il codice malevolo sulla pagina web lavorerà invisibilmente in background per caricare malware sul tuo computer.

I cybercriminali usano gli exploit come mezzo per un fine malevolo, che può variare da un fastidio irritante a una seccatura debilitante. I criminali informatici potrebbero cercare di mettere a lavoro le risorse del tuo computer in una zombie botnet per attacchi DDoS o per minare Bitcoin (cryptojacking).

In alternativa, i cybercriminali potrebbero cercare di installare adware e inondare il tuo desktop di annunci. I cybercriminali potrebbero voler entrare nel tuo sistema e rubare dati direttamente o installare malware per raccogliere dati da te in segreto nel tempo (spyware). Infine, i cybercriminali potrebbero installare malware che cripta tutti i tuoi file e richiede un pagamento in cambio della chiave di decryption (ransomware).

Che cos'è un exploit zero-day?

Zero-day! Il giorno in cui riconosciamo il piccolo umile zero. Se solo fosse vero. In realtà, un exploit zero-day, noto anche come exploit zero-hour, è una vulnerabilità del software che nessuno tranne il cybercriminale che l'ha creata conosceva e per la quale non esisteva un fix disponibile. Una volta che un exploit diventa di pubblico dominio, non è più zero-day. A volte un exploit noto viene chiamato exploit n-day, indicando che sono passati uno o più giorni da quando l'exploit è stato pubblicizzato.

Una volta che un exploit zero-day diventa informazione pubblica, i produttori di software sono in corsa contro i criminali per patchare l'exploit prima che i criminali possano approfittarne. Fortunatamente, i ricercatori hanno scrupoli. Se i ricercatori trovano un exploit prima dei criminali, solitamente segnalano il difetto al produttore e gli danno la possibilità di risolverlo prima di informare il pubblico (e i criminali) in generale.

Cercare attivamente exploit è diventato uno sport per alcuni hacker. All'annuale competizione Pwn2own, gli esperti di exploit guadagnano denaro e premi per aver hackerato con successo software popolari in varie categorie, inclusi browser web e applicazioni aziendali. Come dimostrazione del loro interesse nella sicurezza del software, Microsoft e VMware hanno sponsorizzato l'evento Pwn2own nel 2018.

A proposito di produttori di software che sono proattivi nel trovare e correggere gli exploit, David Sanchez, Principal Research Engineer di Malwarebytes, ha detto: “È vero che Microsoft e altri produttori di software stanno lavorando molto per mettere in sicurezza le loro applicazioni come Office e sfruttarle è diventato difficile—quasi impossibile. Gli addetti alla sicurezza e i cybercriminali trovano ancora un modo per sfruttarli con successo. La sicurezza al 100% è solo un'illusione, ma le app Malwarebytes proteggono le persone il più vicino possibile a quel 100%.”

“La sicurezza al 100% è solo un'illusione. Le app Malwarebytes proteggono le persone il più vicino possibile a quel 100%.”
– David Sanchez
Principal Research Engineer di Malwarebytes

Storia degli exploit informatici

Gli exploit sono antichi quanto il computer. Come abbiamo detto, tutto il software ha vulnerabilità e ci sono stati alcuni veri e propri disastri nel corso degli anni. Ecco una rapida panoramica di alcuni dei più notevoli exploit informatici.

La nostra esplorazione dei più grandi (cioè peggiori) exploit del mondo inizia nel 1988 con il Morris worm, uno dei primi worm informatici e exploit. Prende il nome dal suo creatore Robert Tappan Morris, il worm eponimo è stato progettato per capire quanto fosse grande Internet in quegli anni formativi iniziali utilizzando varie vulnerabilità per accedere agli account e determinare il numero di computer collegati a una rete.

Il worm è sfuggito di mano, infettando i computer più volte, eseguendo più copie del worm contemporaneamente fino a quando non sono rimaste risorse per gli utenti legittimi. Il Morris worm era diventato di fatto un attacco DDOS.

Il worm SQL Slammer ha preso d'assalto il mondo nel 2003, arruolando circa 250.000 server che eseguivano il software SQL Server di Microsoft nella sua botnet. Una volta infettato un server, usava uno stile di attacco a raffica, generando indirizzi IP casuali e inviando codice infetto a quegli indirizzi. Se il server mirato aveva SQL Server installato, sarebbe stato infettato e aggiunto alla botnet. Come risultato di SQL Slammer, 13.000 sportelli automatici Bank of America sono stati messi offline.

Il worm Conficker del 2008 è degno di nota per un paio di motivi. Innanzitutto, ha radunato un sacco di computer nella sua botnet — si dice che siano stati 11 milioni i dispositivi al suo apice. In secondo luogo, Conficker ha reso popolare un tipo di sotterfugio che i virus usano per evitare il rilevamento chiamato Domain Generating Algorithm (DGA). In breve, la tecnica DGA consente a un po' di malware di comunicare senza fine con il suo command and control server (C&C) generando nuovi domini e indirizzi IP.

Progettato per attaccare il programma nucleare iraniano, il worm Stuxnet del 2010 ha sfruttato varie vulnerabilità zero-day in Windows per ottenere l'accesso a un sistema. Da lì, il worm era in grado di replicarsi autonomamente e diffondersi da un sistema all'altro.

Scoperto nel 2014, l'exploit Heartbleed è stato utilizzato per attaccare il sistema di crittografia che consente ai computer e ai server di comunicare privatamente. In altre parole, i cybercriminali potevano utilizzare l'exploit per spiare la tua conversazione digitale. Il sistema di crittografia, chiamato OPEN SSL, è stato utilizzato su 17,5% o mezzo milione di server web "sicuri". È parecchio dato vulnerabile.

Poiché questo è un problema per i siti web che visiti (server-side), al contrario di un problema sul tuo computer (client-side), spetta agli amministratori di rete patchare questo exploit. La maggior parte dei siti web reputabili ha fatto patch per questo exploit anni fa, ma non tutti, quindi è ancora un problema di cui essere consapevoli.

Il 2017 è stato un anno clou per il ransomware. Gli attacchi ransomware WannaCry e NotPetya hanno sfruttato gli exploit di Windows EternalBlue/DoublePulsar per infiltrarsi nei computer e tenere i dati in ostaggio. Insieme, questi due attacchi hanno causato 18 miliardi di dollari di danni in tutto il mondo. L'attacco NotPetya in particolare ha temporaneamente paralizzato molte aziende, tra cui una fabbrica di cioccolato Cadbury e il produttore di preservativi Durex. I bon vivants di tutto il mondo hanno trattenuto il fiato collettivamente finché l'exploit non è stato patchato.

L'attacco Equifax del 2017 avrebbe potuto essere evitato se l'agenzia di credito avesse fatto uno sforzo migliore per mantenere il loro software aggiornato. In questo caso, il difetto del software che i cybercriminali hanno usato per violare la rete dati di Equifax era già ben noto e una patch era disponibile. Invece di risolvere il problema, Equifax e il loro software obsoleto hanno permesso ai cybercriminali di rubare informazioni personali per centinaia di milioni di clienti statunitensi. "Grazie."

Ora, prima che voi utenti Apple là fuori cominciate a pensare che i Mac non siano suscettibili agli attacchi basati su exploit, considerate il bug root cringe di 2017 che consentiva ai cybercriminali di inserire semplicemente la parola "root" nel campo del nome utente e premere invio per avere accesso completo al computer. Quel bug è stato rapidamente risolto prima che i cybercriminali potessero sfruttarlo, ma questo dimostra solo che qualsiasi software può avere bug sfruttabili. A proposito, abbiamo riportato che gli exploit Mac sono in aumento. Alla fine del 2017, c'erano il 270% in più di minacce uniche sulla piattaforma Mac rispetto al 2016.

Ultimamente, ci sono state poche notizie nel mondo degli exploit del browser. D'altra parte, gli exploit kit per Office sono in crescita. Dal 2017, abbiamo notato un aumento dell'uso di exploit kit basati su Office. Fu nell'autunno di quell'anno che riportammo per la prima volta su più exploit innovativi di Word, inclusi uno nascosto in falsi avvisi IRS e un altro attacco zero-day nascosto nei documenti di Word — richiedendo poca o nessuna interazione da parte della vittima per iniziare.

Stiamo vedendo un nuovo tipo di kit di exploit per Office che non si basa su macro; cioè codice speciale incorporato nel documento, per svolgere il suo lavoro sporco. Questo kit di exploit, invece, utilizza il documento come esca mentre avvia un download automatico che distribuisce l'exploit.

Più recentemente, i cybercriminali stanno impiegando malware senza file, così chiamato perché questo tipo di malware non si basa su codice installato sul computer target per funzionare. Invece, il malware senza file sfrutta le applicazioni già installate sul computer, armando di fatto il computer contro se stesso e altri computer.

Il malware senza file sfrutta le applicazioni già installate sul computer, armando di fatto il computer contro se stesso e altri computer.

Exploits su mobile: Android e iOS

La maggior preoccupazione per gli utenti mobili è installare app non approvate da Google e Apple. Scaricare app al di fuori del Google Play Store e dell'App Store di Apple significa che le app non sono state verificate dalle rispettive aziende. Queste app non affidabili potrebbero cercare di sfruttare le vulnerabilità in iOS/Android per accedere al tuo dispositivo mobile, rubare informazioni sensibili e svolgere altre azioni malevole.

Come posso proteggermi dagli exploit?

Gli exploit possono essere spaventosi. Significa che dovremmo buttare i nostri router fuori dalla finestra e fingere che siano i tempi bui pre-internet? Certamente no. Ecco alcuni consigli se vuoi fare un passo avanti nella protezione dagli exploit.

Rimani aggiornato. Aggiorni regolarmente il tuo sistema operativo e tutte le vari applicazioni che hai installato? Se hai risposto no, potresti essere una potenziale vittima per i cybercriminali. Dopo che un exploit zero-day diventa noto al fornitore di software e viene rilasciata una patch, spetta all'utente individuale patchare e aggiornare il suo software. In effetti, gli exploit zero-day diventano più pericolosi e diffusi dopo che diventano di dominio pubblico, perché un gruppo più ampio di attori di minacce ne approfitta. Controlla i tuoi fornitori di software e vedi se ci sono aggiornamenti o patch disponibili. Se possibile, vai nelle impostazioni del tuo software e attiva gli aggiornamenti automatici in modo che questi aggiornamenti avvengano automaticamente in background senza alcuno sforzo aggiuntivo da parte tua. Questo eliminerà il tempo di latenza tra quando una vulnerabilità viene annunciata e quando viene patchata. I cybercriminali approfittano delle persone che dimenticano o semplicemente non sanno come aggiornare e patchare il loro software.
Aggiorna il tuo software. In alcuni casi, un'applicazione software diventa così vecchia e ingovernabile che il produttore smette di supportarla (abandonware), il che significa che eventuali bug aggiuntivi scoperti non verranno risolti. Seguendo da vicino il precedente consiglio, assicurati che il tuo software sia ancora supportato dal produttore. Se non lo è, aggiorna alla versione più recente o passa a qualcos'altro che faccia la stessa cosa.
Resta al sicuro online. Assicurati che Microsoft SmartScreen o Google Safe Browsing siano attivati per il browser web che preferisci. Il tuo browser controllerà ogni sito che visiti con le blacklist mantenute da Microsoft e Google e ti guiderà lontano dai siti noti per distribuire malware. Strumenti anti-malware efficaci come Malwarebytes, per esempio, bloccheranno anche siti dannosi, offrendo livelli multipli di protezione.
Usalo o fallo sparire. Gli hacker hackeranno. Non possiamo fare molto al riguardo. Ma se non c'è software, non c'è vulnerabilità. Se non stai più utilizzando il software, eliminalo dal tuo computer. Gli hacker non possono violare qualcosa che non c'è.
Installa app autorizzate. Quando si tratta di essere al sicuro sul tuo dispositivo mobile, attieniti solo alle app autorizzate. Ci sono momenti in cui potresti voler andare fuori dall'App Store e dal Google Play Store, come quando stai testando una nuova app in fase beta, ma dovresti essere doppiamente sicuro di poterti fidare del produttore dell'app. In generale, però, attieniti alle app approvate che sono state verificate da Apple e Google.
Usa software anti-exploit. Hai preso tutte le precauzioni necessarie per evitare attacchi basati su exploit. E per gli exploit zero-day? Ricorda, un exploit zero-day è una vulnerabilità software conosciuta solo dai cybercriminali. Non c'è molto che possiamo fare per proteggerci dalle minacce che non conosciamo. O forse sì? Un buon programma anti-malware, come Malwarebytes per Windows, Malwarebytes per Mac, Malwarebytes per Android, o Malwarebytes per iOS, può riconoscere e bloccare in modo proattivo software dannoso che tenta di sfruttare vulnerabilità sul tuo computer usando analisi euristica dell'attacco. In altre parole, se il software sospetto è strutturato e si comporta come malware, Malwarebytes lo segnalerà e metterà in quarantena.

Come gli exploit possono influenzare la mia attività?

In molti modi, la tua azienda rappresenta un obiettivo di valore più alto per i cybercriminali e gli exploit rispetto al singolo consumatore — più dati da rubare, più da tenere in ostaggio e più endpoint da attaccare.

Prendi, ad esempio, la violazione dei dati di Equifax. In questo caso, i cybercriminali hanno utilizzato un exploit in Apache Struts 2 per ottenere l'accesso alla rete Equifax ed elevare i loro privilegi utente. Una volta che gli aggressori erano sulla rete, si sono fatti amministratori di sistema, ottenendo accesso a dati sensibili per milioni di consumatori. Nessuno conosce completamente le conseguenze dell'attacco Equifax, ma potrebbe finire per costare milioni di dollari all'agenzia di credito. C'è una class-action in corso e gli individui stanno portando Equifax al tribunale delle cause minori, vincendo fino a 8.000 dollari per caso.

Oltre a un'escalation di privilegi, gli exploit possono essere utilizzati per distribuire altri malware, come nel caso dell'attacco ransomware NotPetya. NotPetya si è diffuso su Internet attaccando sia individui che aziende. Utilizzando gli exploit di Windows EternalBlue e MimiKatz, NotPetya ha ottenuto un punto d'appoggio su una rete e si è diffuso da un computer all'altro, bloccando ogni endpoint, criptando i dati degli utenti e mettendo in ginocchio le attività. Computer, smartphone, telefoni VOIP, stampanti e server sono stati tutti resi inutilizzabili. I danni totali per le aziende di tutto il mondo sono stati stimati in 10 miliardi di dollari.

Quindi, come puoi proteggere la tua azienda? Devi eliminare le debolezze nel tuo sistema con una buona strategia di gestione delle patch. Ecco alcune cose da tenere a mente mentre valuti cosa è meglio per la tua rete.

Implementa la segmentazione della rete. Dividere i tuoi dati su subnetworks più piccole riduce la tua superficie di attacco: bersagli più piccoli sono più difficili da colpire. Questo può aiutare a contenere una violazione a pochi endpoint invece che a tutta la tua infrastruttura.
Imponi il principio del minimo privilegio (PoLP). In breve, dai agli utenti il livello di accesso necessario per svolgere il loro lavoro e nulla più. Anche in questo caso, questo aiuta a contenere i danni da violazioni o attacchi ransomware.
Rimani aggiornato con gli aggiornamenti. Tieni d'occhio il Patch Tuesday e pianifica di conseguenza. Il Microsoft Security Response Center mantiene un blog con tutte le ultime informazioni sugli aggiornamenti. Puoi anche iscriverti alla loro newsletter via email per essere informato su ciò che viene corretto ogni mese.
Dai priorità ai tuoi aggiornamenti. Il giorno dopo il Patch Tuesday è a volte chiamato (con la lingua ben salda) Exploit Wednesday. I cybercriminali sono stati informati di possibili exploit ed è una corsa ad aggiornare i sistemi prima che i criminali abbiano la possibilità di attaccare. Per velocizzare il processo di patching, dovresti considerare di lanciare aggiornamenti a ogni endpoint da un agente centrale, anziché lasciare che ogni utente finale li completi nel proprio tempo.
Verifica gli aggiornamenti dopo l'installazione. Le patch dovrebbero correggere il software, ma a volte finisce che lo danneggiano. Vale la pena controllare che le patch distribuite sulla tua rete non abbiano peggiorato la situazione e disinstallarle se necessario.
Elimina le 'abandonware'. A volte è difficile eliminare vecchi software che sono passati da tempo, soprattutto in una grande azienda dove i cicli di acquisto sono lenti. Ma il software interrotto è il peggior scenario possibile per qualsiasi amministratore di rete o sistema. I cybercriminali cercano attivamente sistemi che eseguono software obsoleto, quindi sostituiscilo il prima possibile.
Ovviamente, un buon software di sicurezza per endpoint è parte essenziale di qualsiasi programma di protezione dagli exploit. Considera Malwarebytes. Con Malwarebytes Endpoint Protection e Malwarebytes Endpoint Detection and Response, abbiamo una soluzione per tutte le esigenze di sicurezza commerciale.

Infine, se tutto questo non ha placato la tua voglia di conoscenza sugli exploit, puoi sempre leggere di più sugli exploit sul blog di Malwarebytes Labs.