Già da tempo si avvertono segnali di una nuova tendenza nel panorama criminale. La ricerca delle vulnerabilità continua. Ma soprattutto nel software non standard ampiamente utilizzato, poiché l'aggiornamento diventa più difficile. L'esempio più recente è lo strumento di compressione WinRAR. Un commento da Trend Micro.
In uno il 02 agosto In una dichiarazione pubblicata, il produttore RARLAB ha descritto due notevoli vulnerabilità il cui sfruttamento è già stato dimostrato e/o è relativamente facile da sfruttare. La vulnerabilità CVE-2023-38831 descrive che il malware può essere "introdotto di nascosto" in archivi appositamente preparati, mentre CVE-2023-40477 consente l'esecuzione del codice su una macchina interessata. Entrambi i problemi possono essere risolti aggiornando all'ultima versione di WinRAR. Ma è necessario effettuare anche degli aggiornamenti e questo è ciò che mette in difficoltà molte aziende.
WinRAR: piccola vulnerabilità – grande impatto
Quanto è grande il pericolo? Questo è difficile da dire. Apparentemente esistono già archivi "in the wild" per CVE-2023-38831 che confermano lo sfruttamento. Nel loro caso, i “cattivi” erano più veloci. Finora tali attacchi sono stati riscontrati quasi esclusivamente nel mondo delle criptovalute. Le soluzioni di sicurezza nelle aziende riescono solitamente a tenere sotto controllo in modo affidabile questi attacchi utilizzando moderni metodi di rilevamento.
Le cose si fanno più interessanti al 2023-40477. È stato trovato da ricercatori di sicurezza e quindi non è un “giorno zero”. Con un punteggio di 7.8, la vulnerabilità ha un punteggio CVSS basso secondo gli standard RCE (Remote Code Execution) e non è classificata come critica, ma piuttosto "importante". Il motivo è che deve avvenire l'interazione dell'utente. Solo qualcuno che ha accesso a una macchina può teoricamente sfruttarla.
Questo è uno di quei casi in cui teoria e pratica dipendono da molte cose. L'accesso è l'obiettivo di tutte le azioni dei criminali informatici, soprattutto nel settore commerciale. Tutto ciò che serve è che un sistema vulnerabile acceda a siti Web predisposti o apra un file corrispondente. Questi modelli di attacco ransomware standard consentono di sfruttare la vulnerabilità e di eseguire il codice corrispondente. È quindi solo questione di tempo prima che ciò avvenga.
Il semplice aggiornamento WinRAR garantisce sicurezza
Entrambe le lacune possono essere colmate con un semplice aggiornamento alla versione più recente. Ma questa è spesso una sfida anche per le aziende. Perché non è un software standard. Potrebbe non esserci un meccanismo di aggiornamento centrale e potrebbe anche succedere che gli amministratori non siano a conoscenza dell'esistenza del software. Se non si conosce il contesto, il valore CVSS (Common Vulnerability Scoring System) relativamente basso è qualcosa che garantisce una bassa priorità nel contesto aziendale. Questi sono tutti motivi per cui gli hacker scelgono tali falle di sicurezza per attaccare. Spesso non sono conosciuti e anche se lo sono, sono considerati a basso rischio. Secondo Richard Werner, consulente aziendale presso Trend Micro.
Altro su Trendmicro.com
Informazioni su TrendMicro In qualità di uno dei principali fornitori mondiali di sicurezza IT, Trend Micro contribuisce a creare un mondo sicuro per lo scambio di dati digitali. Con oltre 30 anni di esperienza nella sicurezza, ricerca sulle minacce globali e costante innovazione, Trend Micro offre protezione per aziende, agenzie governative e consumatori. Grazie alla nostra strategia di sicurezza XGen™, le nostre soluzioni beneficiano di una combinazione intergenerazionale di tecniche di difesa ottimizzate per ambienti all'avanguardia. Le informazioni sulle minacce in rete consentono una protezione migliore e più rapida. Ottimizzate per carichi di lavoro cloud, endpoint, e-mail, IIoT e reti, le nostre soluzioni connesse forniscono visibilità centralizzata in tutta l'azienda per un rilevamento e una risposta più rapidi alle minacce.