Con il termine Exploit si indica uno dei più utilizzati e dannosi attacchi informatici che agisce sfruttando le vulnerabilità di software legittimi come Microsoft Office per diffondere malware.

Anche la pandemia è stata sfruttata per attacchi di questo tipo, ne è un esempio lo stato tedesco Renania Settentrionale-Vestfalia che ha subito un attacco di phishing: tramite copie fittizie del sito web del Ministero degli Affari Economici, dove era possibile fare richiesta di aiuti finanziari per l’emergenza Covid-19, gli hacker sono riusciti ad estorcere più di 100 milioni di dollari.

Gli attacchi exploit possono essere difficili da prevenire perché spesso approfittano di vulnerabilità 0 day, cioè non ancora conosciute. Purtroppo la protezione da attacchi exploit avviene spesso con antivirus ideati non per bloccare gli exploit stessi, ma solamente per intercettare i malware. Le nuove soluzioni di sicurezza invece permettono di agire direttamente sugli exploit, bloccandoli prima che si infiltrino nei sistemi.

COME AVVIENE UN ATTACCO?

Gli attacchi exploit sfruttano dei bug nei software che permettono di utilizzare o controllare il programma in modo non autorizzato. Questo avviene solitamente nel momento dell’arresto del programma: in questo modo l’exploit può bypassare diversi livelli di sicurezza e utilizzarlo a proprio piacere prima che il sistema di sicurezza possa intervenire. Solitamente i cybercriminali che sfruttano questi bug inducono un’applicazione presente sul dispositivo ad eseguire un programma di piccole dimensioni o da remoto. Per esempio, l’exploit RCE – “esecuzione di codice da remoto” consente all’autore dell’attacco di superare ogni livello di sicurezza senza essere bloccato dal sistema.

Gli attacchi exploit vengono spesso distribuiti attraverso dei kit di exploit: pacchetti pronti che contengono pagine web malevole, campagne di e-mail e di phishing, che i cybercriminali possono comprare e utilizzare per attaccare i loro target.

I kit exploit ideati per il web vengono inviati al browser della potenziale vittima e tentano una sequenza di attacchi fino al loro esaurimento o fino a quando uno va a buon fine. Negli attacchi sotto forma di campagna e-mail o di phishing, invece, gli autori dell’attacco inviano un allegato agli utenti sperando che lo aprano o che visualizzino le immagini nel messaggio.

Alcune vulnerabilità sono molto diffuse e di conseguenza molto sfruttate, per questo continuano ad essere utilizzate dai cybercriminali anche dopo anni dalla loro scoperta: un esempio è la vulnerabilità di Microsoft Office CVE-2012-0158, la più sfruttata degli ultimi 15 anni e non è nemmeno l’unica se si pensa che oltre il 20% dei kit di exploit venduti risale al 2017 o prima. Con questi dati vogliamo sottolineare ancora una volta quanto sia fondamentale installare patch e aggiornamenti tempestivamente.

COME PROTEGGERSI?

Non proteggere dai malware ma bloccare direttamente l’attacco! Sophos Intercept X è una soluzione per endpoint che offre funzionalità next-gen: agisce direttamente su attacchi exploit anche se sconosciuti, in quanto è in grado di riconoscere le tecniche di exploit e bloccarle.

Per incrementare il livello di sicurezza e l’efficacia delle soluzioni anti-exploit si consigliano inoltre le seguenti pratiche:

• Installare la soluzione anti-exploit: noi consigliamo Sophos Intercept X
• Applicare le patch appena sono disponibili: se è già stata sviluppata, una volta applicata, il vostro dispositivo sarà protetto e il kit di exploit non avrà possibilità di sferrare l’attacco
• Aggiornare periodicamente il software di sicurezza: se l’antivirus è potente, è in grado di bloccare diversi tipi di attacco, se è aggiornato sarà in grado di proteggere anche dai nuovi attacchi
• Valutare l’utilizzo di strumenti di visualizzazione dei documenti semplici
• Rimuovere dal browser i plugin se non vengono utilizzati: sarà una possibilità di attacco in meno

Per valutare la soluzione anti-exploit Sophos Intercept X contattateci a commerciale@webeasytech.com

Credits: Sophos