Aggiornamenti recenti Gennaio 13th, 2025 2:00 PM
Lug 03, 2016 Giancarlo Calzetta Attacchi, Minacce, News 2
Di solito, quando una vulnerabilità viene individuata imbocca l’inesorabile via del tramonto. Il bug viene corretto tramite aggiornamenti, le tecniche di attacco inserite nei database degli antivirus. Insomma: una volta individuata, la vulnerabilità di solito ha vita breve.
Ogni regola, però, ha la sua eccezione. In questo caso l’eccezione si chiama CVE-2012-0158, una vulnerabilità dei programmi Office che perseguita gli esperti di sicurezza dall’ormai lontano aprile 2012.
Ad analizzare nel dettaglio la straordinaria storia di CVE-2012-0158 ci hanno pensato i ricercatori di Sophos, incuriositi da questa vera e propria “vulnerabilità highlander”.
Secondo Graham Chantry, i fattori che hanno portato alla straordinaria longevità di questo exploit sono quattro.
Prima di tutto il fatto che consente di attaccare un numero di utenti estremamente elevato. Office, infatti, è uno dei pacchetti di software per la produttività più diffusi al mondo, un elemento che rende anche poco sospetto l’invio di allegati nei formati collegati a Office.
In secondo luogo, CVE-2012-0158 è una falla particolarmente “appetitosa” per i cyber-criminali. La vulnerabilità, infatti, permette di avviare una “arbitrary code execution”, cioè l’installazione diretta di un malware.
Infine, le modalità di attacco utilizzate da CVE-2012-0158 consentono di aggirare più facilmente di altri i controlli dei sistemi antivirus. La ragione? La vulnerabilità nel corso degli anni è stata combinata con altre per renderla ancora più insidiosa.
Gli esempi portati dagli analisti di Sophos sono illuminanti e comprendono, per esempio, un altro bug (sigh) che consentiva di nascondere l’exploit all’interno di un file Office protetto da crittografia.
Normalmente, infatti, per aprire un file crittografato attraverso il Microsoft Base Cryptographic Provider v 1.0 è necessaria una password. I ragazzi di Redmond, però, hanno pensato bene di prevedere una password di default (VelvetSweatshop) che il programma prova a utilizzare ogni volta che si trova davanti a un file crittografato con questo metodo.
Risultato: l’antivirus non può controllare il codice, ma se è protetto con la password di defautl questo viene eseguito senza alcun bisogno di una conferma da parte dell’utente. Geniale.
Quando gli esperti di sicurezza sono riusciti ad adottare tecniche di rilevazione in grado di individuare il codice maligno all’interno dei file crittografati, i cyber-criminali hanno cominciato a utilizzare nuove strategie, sfruttando le potenzialità del formato Rich Text Format (RTF) per offuscare il codice dell’exploit.
Stando a quanto riportato dagli analisti di Sophos, i pirati informatici negli ultimi anni hanno usato migliaia di varianti diverse per sfruttare CVE-2012-0158 offuscando il codice attraverso stratagemmi sempre più sofisticati.
Ma com’è possibile che una vulnerabilità così conosciuta e sfruttata dai pirati informatici sia ancora efficace? Oltre alla straordinaria versatilità di questa vulnerabilità, che ne rende difficile l’individuazione, la colpa in definitiva è degli utenti, che sembrano mantenere una sorta di “allergia” nei confronti degli aggiornamenti.
Stando alle statistiche riportate da Sophos, infatti, i computer ancora vulnerabili a CVE-2012-0158 sarebbero molti. Nel dettaglio, in Europa occidentale e USA sarebbero ancora vulnerabili circa il 15% dei computer in circolazione. Ma Asia ed Est Europa fanno molto peggio, con oltre il 50% delle macchine esposte agli attacchi. La media, su scala globale, è di un 35% di computer vulnerabili.
Insomma: a 4 anni dalla sua scoperta CVE-2012-0158 è quanto di più si possa avvicinare all’exploit ideale per un attacco informatico.
Gen 18, 2019 0
Gen 13, 2025 0
Gen 13, 2025 0
Gen 09, 2025 0
Gen 08, 2025 0
Gen 13, 2025 0
Gen 13, 2025 0
Gen 09, 2025 0
Gen 08, 2025 0
Devi essere connesso per inviare un commento.
Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 02, 2025 0
Oggi le aziende italiane non solo devono affrontare nuove e...Dic 31, 2024 0
Negli ultimi anni gli attacchi zero-day nei dispositivi...Dic 30, 2024 0
Nonostante gli sforzi per redigere e consegnare i report...Dic 23, 2024 0
Tempo di bilanci di fine anno anche per il mondo della...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Gen 13, 2025 0
I ricercatori di Check Point Research hanno studiato una...Gen 13, 2025 0
Nel corso della settimana, il CERT-AGID ha rilevato e...Gen 09, 2025 0
Di recente è emersa una nuova campagna di phishing che...Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 07, 2025 0
Lo scorso venerdì Moxa, provider di reti industriali, ha...
Vediamo come funzano i commenti
Beh, funzionano…