La tecnologia Automatic Exploit Prevention (AEP) di Kaspersky Lab ha bloccato con successo gli attacchi eseguiti tramite le recenti vulnerabilità di sistema scoperte nel software Microsoft Office. Microsoft ha riferito di attacchi che hanno cercato di sfruttare questa vulnerabilità
Il 5 novembre, Microsoft ha rilasciato un Security Advisory per notificare agli utenti la presenza di una vulnerabilità di sistema, che consentiva ai criminali di ottenere gli stessi diritti di accesso dell’utente vittima. Questa vulnerabilità ha colpito Microsoft Windows, Microsoft Lync e Microsoft Office. Data la vasta diffusione dei programmi interessati, la vulnerabilità del software ha messo a rischio milioni di utenti in tutto il mondo.
Kaspersky Lab ha confermato che AEP ha bloccato con successo tutti i tentativi di sfruttamento di questa vulnerabilità precedentemente sconosciuta presente nel software Microsoft, mantenendo i clienti aziendali al sicuro da attacchi mirati e altre minacce emergenti, che avrebbero potuto sfruttare questa falla. Grazie al monitoraggio del comportamento insolito, senza basarsi esclusivamente su un database di malware già rilevato in precedenza, Automatic Exploit Prevention di Kaspersky Lab ha dimostrato ancora una volta il valore della protezione proattiva.
“La logica della rilevazione basata sul comportamento è stata implementata nella tecnologia Automatic Exploit Prevention quasi un anno fa. In base alla nostra ricerca, condotta dopo che la vulnerabilità era stata scoperta, i primi tentativi di attacco nocivo che sfruttavano questa vulnerabilità si sono manifestati già nel luglio di quest’anno. Pensiamo che sia un risultato significativo il fatto che i nostri prodotti abbiamo protetto i nostri clienti prima della pubblica notifica della vulnerabilità”, ha dichiarato Nikita Shvetsov, Deputy CTO (Research) di Kaspersky Lab.
La vulnerabilità di Microsoft, registrata come CVE-2013-3906, è una vulnerabilità legata all’esecuzione di un codice in modalità remota nel componente di sistema di Microsoft Graphics. Secondo Microsoft:
“Un utente malintenzionato potrebbe sfruttare questa vulnerabilità inducendo un utente a visualizzare in anteprima o aprire un messaggio di posta elettronica, aprire un file o visualizzare contenuti web appositamente predisposti. Un utente malintenzionato che riesce a sfruttare la vulnerabilità, può ottenere gli stessi diritti dell’utente”.
Microsoft fornisce poi un immediato suggerimento relativo alla soluzione che “non risolve il problema in oggetto, ma consente di bloccare gli attacchi noti prima che venga reso disponibile un aggiornamento di sicurezza”. Il rilascio della patch per questa vulnerabilità è previsto prossimamente.
Questo è il perfetto esempio di una “window of vulnerability”, in cui esiste una vulnerabilità conosciuta a cui l’azienda di software non è in grado di porre rimedio immediatamente. Fino al rilascio della patch, infatti, un numero incalcolabile di utenti in tutto il mondo sono stati quindi vulnerabili agli attacchi informatici.
Protezione avanzata di Kaspersky Lab contro i difetti del software
Per anni, gli esperti di Kaspersky Lab hanno pubblicato ricerche riguardanti la crescita dei software exploit, programmi nocivi che colpiscono le vulnerabilità del software legittimo. Le vulnerabilità che sono state scoperte dai criminali informatici ma non dai produttori di software, sono conosciute come Zero-Day. Riconoscendo questa tendenza della criminalità informatica, Kaspersky Lab ha risposto progettando Automatic Exploit Prevention, una tecnologica unica nel suo genere, progettata interamente dal team di esperti di Kaspersky Lab.
Automatic Exploit Prevention controlla il sistema in base ai comportamenti comunemente eseguiti dagli exploit nocivi e pone particolare attenzione ai software colpiti più di frequente. Questa tecnologia, che è ora disponibile nelle soluzioni di sicurezza B2B e B2C di Kaspersky Lab, esegue una serie di diverse funzioni per bloccare gli exploit, per rilevare l’origine del software che si sta tentando di avviare e monitorare il comportamento dei programmi esistenti, prima di eseguire un nuovo software. Questo monitoraggio proattivo viene eseguito insieme al Forced Address Space Layout Randomization (ASLR), che rende casuale l’immagine di base caricata o il caricamento del modulo e previene gli attacchi individuando il loro obiettivo. Per ulteriori informazioni su come la tecnologia AEP di Kaspersky Lab agisce, leggere questo whitepaper.
I ricercatori di Kaspersky Lab continuano a prestare particolare attenzione alle vulnerabilità del software e al loro impatto sulla sicurezza IT. Ad ottobre 2013, l’azienda ha pubblicato un report dettagliato sull’evoluzione degli exploit nel software Java dal 2012 al 2013. Nel report venivano elencate più di 160 vulnerabilità Java identificate durante il corso dell’anno e tali vulnerabilità sono state colpite da malware exploit più di 14 milioni di volte tra cui una vulnerabilità Zero-Day sconosciuta che è stata usata nella campagna di spionaggio informatico Icefog.
