Una guida zero-day per il 2020: attacchi recenti e tecniche di prevenzione avanzate
Ilai Bavati 
Le vulnerabilità zero-day consentono agli attori delle minacce di sfruttare i punti ciechi di sicurezza. In genere, un attacco zero-day comporta l’identificazione di vulnerabilità zero-day, la creazione di exploit rilevanti, l’identificazione di sistemi vulnerabili e la pianificazione dell’attacco. I prossimi passi sono l’infiltrazione e il lancio.
Questo articolo esamina tre recenti attacchi zero-day, che hanno preso di mira Microsoft, Internet Explorer e Sophos. Infine, imparerai a conoscere quattro soluzioni di protezione e prevenzione zero-day: NGAV, EDR, IPSec e controlli di accesso alla rete.
Che cos’è una vulnerabilità zero-day?
Le vulnerabilità Zero-day sono minacce critiche che non sono ancora state divulgate pubblicamente o che vengono scoperte solo a seguito di un attacco. Per definizione, i fornitori e gli utenti non conoscono ancora la vulnerabilità. Il termine zero-day deriva dal momento in cui la minaccia viene scoperta (giorno zero). Da questo giorno si verifica una gara tra i team di sicurezza e gli aggressori di patch o sfruttare la minaccia rispettivamente prima.
Anatomia di un attacco zero-day
Un attacco zero-day si verifica quando i criminali sfruttano una vulnerabilità zero-day. La timeline di un attacco zero-day spesso include i seguenti passaggi.
- Identificazione delle vulnerabilità: i criminali testano il codice open source e le applicazioni proprietarie per le vulnerabilità che non sono ancora state segnalate. Gli aggressori possono anche rivolgersi ai mercati neri per acquistare informazioni sulle vulnerabilità che non sono ancora pubbliche.
- Creazione di exploit: gli aggressori creano un kit, uno script o un processo che consente loro di sfruttare la vulnerabilità scoperta.
- Identificazione dei sistemi vulnerabili: una volta disponibile un exploit, gli aggressori iniziano a cercare i sistemi interessati. Ciò può comportare l’utilizzo di scanner automatici, bot o rilevamenti manuali.
- Pianificazione dell’attacco: il tipo di attacco che un criminale vuole realizzare determina questo passaggio. Se un attacco è mirato, gli aggressori in genere effettuano ricognizioni per ridurre le loro possibilità di essere catturati e aumentare le possibilità di successo. Per gli attacchi generali, i criminali sono più propensi a utilizzare campagne di phishing o bot per cercare di colpire il maggior numero di obiettivi il più rapidamente possibile.
- Infiltrazione e lancio: se una vulnerabilità richiede prima di infiltrarsi in un sistema, gli aggressori lavorano per farlo prima di distribuire l’exploit. Tuttavia, se una vulnerabilità può essere sfruttata per ottenere l’ingresso, l’exploit viene applicato direttamente.
Esempi recenti di attacchi
Prevenire efficacemente gli attacchi zero-day è una sfida significativa per qualsiasi team di sicurezza. Questi attacchi arrivano senza preavviso e possono bypassare molti sistemi di sicurezza. In particolare quelli che si basano su metodi basati sulla firma. Per migliorare la sicurezza e ridurre il rischio, puoi iniziare imparando a conoscere i tipi di attacchi che si sono verificati di recente.
Microsoft
Nel marzo 2020, Microsoft ha avvertito gli utenti di attacchi zero-day sfruttando due vulnerabilità separate. Queste vulnerabilità hanno interessato tutte le versioni di Windows supportate e nessuna patch è stata prevista fino a settimane più tardi. Al momento non esiste un identificatore CVE per questa vulnerabilità.
Gli attacchi hanno preso di mira le vulnerabilità RCE (Remote Code Execution) nella libreria ATM (Adobe Type Manager). Questa libreria è integrata in Windows per gestire i font PostScript di tipo 1. I difetti di ATM hanno permesso agli aggressori di utilizzare documenti dannosi per eseguire script in remoto. I documenti sono arrivati tramite spam o sono stati scaricati da utenti ignari. Quando viene aperto o visualizzato in anteprima con Esplora file di Windows, gli script vengono eseguiti, infettando i dispositivi utente.
Internet Explorer
Internet Explorer (IE), il browser legacy di Microsoft, è un’altra fonte recente di attacchi zero-day. Questa vulnerabilità (CVE-2020-0674) si verifica a causa di un difetto nel modo in cui il motore di scripting IE gestisce gli oggetti in memoria. Ha colpito IE v9-11.
Gli aggressori sono in grado di sfruttare questa vulnerabilità ingannando gli utenti a visitare un sito web realizzato per sfruttare la falla. Questo può essere realizzato attraverso e-mail di phishing o attraverso il reindirizzamento di link e richieste di server.
Sophos
Nell’aprile 2020 sono stati segnalati attacchi zero-day contro il firewall XG di Sophos. Questi attacchi hanno tentato di sfruttare una vulnerabilità SQL injection (CVE-2020-12271) rivolta al server di database PostgreSQL integrato nel firewall.
Se sfruttata con successo, questa vulnerabilità consentirebbe agli aggressori di iniettare codice nel database. Questo codice potrebbe essere utilizzato per modificare le impostazioni del firewall, concedere l’accesso ai sistemi o abilitare l’installazione di malware.
Protezione e prevenzione
Per difendersi correttamente dagli attacchi zero-day, è necessario sovrapporre le protezioni avanzate agli strumenti e alle strategie esistenti. Di seguito sono riportate alcune soluzioni e pratiche progettate per aiutarti a rilevare e prevenire minacce sconosciute.
Antivirus di nuova generazione
Antivirus di nuova generazione (NGAV) si espande su antivirus tradizionale. Lo fa includendo funzionalità per l’apprendimento automatico, il rilevamento comportamentale e la mitigazione degli exploit. Queste funzionalità consentono a NGAV di rilevare il malware anche quando non è nota la firma o l’hash del file (su cui si basa l’AV tradizionale).
Inoltre, queste soluzioni sono spesso basate su cloud, consentendo di distribuire gli strumenti in modo isolato e su larga scala. Ciò aiuta a garantire che tutti i dispositivi siano protetti e che le protezioni rimangano attive anche se i dispositivi sono interessati.
Rilevamento e risposta degli endpoint
Le soluzioni EDR (Endpoint Detection and Response) offrono visibilità, monitoraggio e protezioni automatizzate agli endpoint. Queste soluzioni monitorano tutto il traffico degli endpoint e possono utilizzare l’intelligenza artificiale per classificare comportamenti sospetti degli endpoint, come, ad esempio, richieste frequenti o connessioni da IP stranieri. Queste funzionalità consentono di bloccare le minacce indipendentemente dal metodo di attacco.
Inoltre, le funzionalità EDR possono essere utilizzate per tracciare e monitorare utenti o file. Finché l’aspetto tracciato si comporta all’interno delle linee guida normali, non viene intrapresa alcuna azione. Tuttavia, non appena il comportamento si discosta, i team di sicurezza possono essere avvisati.
Queste funzionalità non richiedono alcuna conoscenza di minacce specifiche. Invece, le funzionalità sfruttano l’intelligence sulle minacce per effettuare confronti generalizzati. Questo rende EDR efficace contro gli attacchi zero-day.
IP security
IP Security (IPSec) è un insieme di protocolli standard utilizzati da Internet Engineering task forces (Internetfs). Consente ai team di applicare misure di autenticazione dei dati e di verificare l’integrità e la riservatezza tra i punti di connessione. Consente inoltre la crittografia e la gestione e lo scambio di chiavi sicure.
È possibile utilizzare IPSec per autenticare e crittografare tutto il traffico di rete. Ciò consente di proteggere le connessioni e di identificare e rispondere rapidamente a qualsiasi traffico non di rete o sospetto. Queste abilità consentono di aumentare la difficoltà di sfruttare le vulnerabilità zero-day e diminuire la possibilità che gli attacchi hanno successo.
Implementa i controlli di accesso alla rete
I controlli di accesso alla rete consentono di segmentare le reti in modo altamente granulare. Ciò consente di definire esattamente quali utenti e dispositivi possono accedere alle risorse e con quali mezzi. Ciò include la limitazione dell’accesso solo a quei dispositivi e utenti con le patch di sicurezza o gli strumenti appropriati.
I controlli di accesso alla rete possono aiutarti a garantire che i tuoi sistemi siano protetti senza interferire con la produttività o forzare la completa restrizione dell’accesso esterno. Ad esempio, il tipo di accesso necessario quando si ospita software as a Service (SaaS).
Questi controlli sono utili per la protezione contro le minacce zero-day perché consentono di prevenire il movimento laterale nelle reti. Questo isola efficacemente qualsiasi danno che una minaccia zero-day può causare.
Stare al sicuro
I recenti attacchi zero-day mostrano che sempre più attori delle minacce trovano un segno facile negli utenti degli endpoint. L’attacco zero-day su Microsoft ha sfruttato le vulnerabilità ATM per ingannare gli utenti nell’apertura di malware. Quando gli attori delle minacce hanno sfruttato una vulnerabilità Internet Explore zero-day, hanno ingannato gli utenti a visitare siti dannosi. L’attacco zero-day a Sophos potrebbe potenzialmente garantire l’accesso degli utenti agli attori delle minacce.
Tuttavia, mentre gli attacchi zero-day sono difficili da prevedere, è possibile prevenire e bloccare questi attacchi. La sicurezza EDR consente alle organizzazioni di estendere la visibilità agli endpoint e l’antivirus di nuova generazione fornisce protezione contro il malware senza dover fare affidamento su firme note. I protocolli IPSec consentono all’organizzazione di autenticare e crittografare il traffico di rete e i controlli di accesso alla rete forniscono gli strumenti per negare l’accesso agli attori dannosi. Non lasciare che gli attori delle minacce abbiano il sopravvento. Utilizzando e stratificando diversi di questi strumenti e approcci, è possibile proteggere meglio i dipendenti, i dati e l’organizzazione.
Leave a Reply