Aggiornamenti recenti Marzo 29th, 2024 9:00 AM
Lug 03, 2016 Giancarlo Calzetta Attacchi, Minacce, News 2
Di solito, quando una vulnerabilità viene individuata imbocca l’inesorabile via del tramonto. Il bug viene corretto tramite aggiornamenti, le tecniche di attacco inserite nei database degli antivirus. Insomma: una volta individuata, la vulnerabilità di solito ha vita breve.
Ogni regola, però, ha la sua eccezione. In questo caso l’eccezione si chiama CVE-2012-0158, una vulnerabilità dei programmi Office che perseguita gli esperti di sicurezza dall’ormai lontano aprile 2012.
Ad analizzare nel dettaglio la straordinaria storia di CVE-2012-0158 ci hanno pensato i ricercatori di Sophos, incuriositi da questa vera e propria “vulnerabilità highlander”.
Secondo Graham Chantry, i fattori che hanno portato alla straordinaria longevità di questo exploit sono quattro.
Prima di tutto il fatto che consente di attaccare un numero di utenti estremamente elevato. Office, infatti, è uno dei pacchetti di software per la produttività più diffusi al mondo, un elemento che rende anche poco sospetto l’invio di allegati nei formati collegati a Office.
In secondo luogo, CVE-2012-0158 è una falla particolarmente “appetitosa” per i cyber-criminali. La vulnerabilità, infatti, permette di avviare una “arbitrary code execution”, cioè l’installazione diretta di un malware.
Infine, le modalità di attacco utilizzate da CVE-2012-0158 consentono di aggirare più facilmente di altri i controlli dei sistemi antivirus. La ragione? La vulnerabilità nel corso degli anni è stata combinata con altre per renderla ancora più insidiosa.
Gli esempi portati dagli analisti di Sophos sono illuminanti e comprendono, per esempio, un altro bug (sigh) che consentiva di nascondere l’exploit all’interno di un file Office protetto da crittografia.
Normalmente, infatti, per aprire un file crittografato attraverso il Microsoft Base Cryptographic Provider v 1.0 è necessaria una password. I ragazzi di Redmond, però, hanno pensato bene di prevedere una password di default (VelvetSweatshop) che il programma prova a utilizzare ogni volta che si trova davanti a un file crittografato con questo metodo.
Risultato: l’antivirus non può controllare il codice, ma se è protetto con la password di defautl questo viene eseguito senza alcun bisogno di una conferma da parte dell’utente. Geniale.
Quando gli esperti di sicurezza sono riusciti ad adottare tecniche di rilevazione in grado di individuare il codice maligno all’interno dei file crittografati, i cyber-criminali hanno cominciato a utilizzare nuove strategie, sfruttando le potenzialità del formato Rich Text Format (RTF) per offuscare il codice dell’exploit.
Stando a quanto riportato dagli analisti di Sophos, i pirati informatici negli ultimi anni hanno usato migliaia di varianti diverse per sfruttare CVE-2012-0158 offuscando il codice attraverso stratagemmi sempre più sofisticati.
Ma com’è possibile che una vulnerabilità così conosciuta e sfruttata dai pirati informatici sia ancora efficace? Oltre alla straordinaria versatilità di questa vulnerabilità, che ne rende difficile l’individuazione, la colpa in definitiva è degli utenti, che sembrano mantenere una sorta di “allergia” nei confronti degli aggiornamenti.
Stando alle statistiche riportate da Sophos, infatti, i computer ancora vulnerabili a CVE-2012-0158 sarebbero molti. Nel dettaglio, in Europa occidentale e USA sarebbero ancora vulnerabili circa il 15% dei computer in circolazione. Ma Asia ed Est Europa fanno molto peggio, con oltre il 50% delle macchine esposte agli attacchi. La media, su scala globale, è di un 35% di computer vulnerabili.
Insomma: a 4 anni dalla sua scoperta CVE-2012-0158 è quanto di più si possa avvicinare all’exploit ideale per un attacco informatico.
Gen 18, 2019 0
Mar 29, 2024 0
Mar 28, 2024 0
Mar 27, 2024 0
Mar 26, 2024 0
Mar 29, 2024 0
Mar 28, 2024 0
Mar 26, 2024 0
Mar 25, 2024 0
Devi essere connesso per inviare un commento.
Mar 29, 2024 0
Le aziende hanno compreso l’importanza della...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 27, 2024 0
La sanità viene presa di mira dagli infostealer: a dirlo...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...Mar 21, 2024 0
Acronis annuncia l’ottenimento della qualificazione...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 29, 2024 0
Le aziende hanno compreso l’importanza della...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 26, 2024 0
Un gruppo di ricercatori ha individuato un grosso problema...Mar 25, 2024 0
La scorsa settimana ha rappresentato una sfida...Mar 25, 2024 0
Il 22 marzo si è concluso il Pwn2Own, l’hackathon...
Vediamo come funzano i commenti
Beh, funzionano…