A caccia di Zero-Day: Kaspersky Lab scopre una vulnerabilità pericolosa all’interno di una tecnologia web
Kaspersky Lab ha scoperto una vulnerabilità zero-day all’interno di Silverlight, una tecnologia web utilizzata per visualizzare contenuti multimediali.
La vulnerabilità avrebbe consentito ad un criminale informatico di ottenere l’accesso completo ai computer violati ed eseguire un codice nocivo con lo scopo di rubare informazioni segrete e compiere altre azioni illegali. La vulnerabilità (CVE-2016-0034) è stata corretta durante l’ultimo Patch Tuesday, aggiornamento rilasciato da Microsoft il 12 gennaio 2016. La scoperta è il risultato di un’indagine cominciata oltre cinque mesi fa e pubblicata in un articolo di Ars Technica.
Nell’estate del 2015 un articolo riguardante l’attacco hacker contro l’azienda Hacking Team (un famoso sviluppatore di “spyware legali”) ha riportato la notizia. Uno degli articoli che trattava l’argomento, pubblicato su Ars Technica, parlava di una fuga di notize su una presunta corrispondenza tra i rappresentanti di Hacking Team e Vitaliy Toropov, un exploit-writer indipendente. Tra le altre cose, l’articolo menzionava la corrispondenza nella quale Toropov provava a vendere ad Hacking Team uno zero-day particolare: un exploit all’interno della tecnologia Silverlight di Microsoft che risaliva a quattro anni prima e per il quale non era stata ancora rilasciata una patch. Questa informazione ha suscitato l’interesse dei ricercatori di Kaspersky Lab.
All’interno dell’articolo non venivano menzionate informazioni aggiuntive rispetto all’exploit, così i ricercatori hanno iniziato la loro indagine partendo dal nome del venditore. Hanno scoperto molto presto che un utente che si chiamava Vitaliy Toropov collaborava attivamente al database Open Source Vulnerability (OSVDB), un ambiente nel quale ciascuno può postare informazioni riguardanti le vulnerabilità.
Analizzando il suo profilo pubblico su OSVBD.org, i ricercatori di Kaspersky Lab hanno scoperto che nel 2013, Toropov aveva pubblicato un proof-of-concept (POC) che descriveva un bug all’interno della tecnologia Silverlight. Il POC copriva una vecchia vulnerabilità che era stata scoperta e per la quale era stata rilasciata una patch. Inoltre, conteneva dettagli aggiuntivi che hanno dato ai ricercatori di Kaspersky Lab un suggerimento su come l’autore dell’exploit era solito scrivere il codice.
Durante l’analisi effettuata dagli esperti di Kaspersky Lab sono saltate all’occhio alcune stringhe univoche presenti all’interno del codice. Utilizzando questa informazione Kaspersky Lab ha potuto creare diverse norme di rilevamento per le proprie tecnologie di protezione: ogni qualvolta un utente, che ha scelto di condividere i dati sulle minacce con il Kaspersky Security Network (KSN), si trova di fronte a software nocivi che adottano un comportamento disciplinato da tali norme speciali di rilevamento, il sistema evidenzia il file come altamente sospetto e una notifica viene inviata alla società per essere analizzata.
Il presupposto dietro questa tattica era semplice: se Toropov aveva provato a vendere un exploit zero-day a Hacking Team, era molto probabile che facesse lo stesso con altri vendor di spyware. Ne consegue che altre campagne di cyber spionaggio potevano essere utilizzate attivamente per mirare e infettare vittime ignare.
Il presupposto era corretto. Diversi mesi dopo l’implementazione delle norme speciali di rilevamento, un utente di Kaspersky Lab era stato preso di mira da un attacco che utilizzava un file sospetto che aveva proprio le caratteristiche che i ricercatori stavano cercando. Diverse ore dopo qualcuno (probabilmente una vittima dell’attacco) dal Laos aveva effettuato l’upload di un file con le stesse caratteristiche su un servizio multiscanner. Gli esperti di Kaspersky Lab hanno analizzato l’attacco e hanno scoperto che veniva eseguito l’exploit di un bug sconosciuto all’interno della tecnologia Silverlight. L’informazione ottenuta sul bug è stata prontamente riportata a Microsoft per essere validata.
“Sebbene non possiamo esserne certi, abbiamo ragione di credere che l’exploit che abbiamo scoperto sia lo stesso di quello menzionato nell’articolo di Ars Technica. Confrontando l’analisi di questo file con il precedente lavoro di Vitaliy Toropov abbiano notato che l’autore dell’exploit recentemente scoperto e l’autore dei POC pubblicati su OSVDB a nome di Toropov erano la stessa persona. Allo stesso tempo, non escludiamo la possibilità di aver trovato un altro exploit zero-day in Silverlight.
In ogni caso, questa ricerca ci ha aiutato a rendere il cyber spazio un po’ più sicuro aiutandoci a scoprire e divulgare un nuovo zero-day. Invitiamo, quindi, tutti gli utenti dei prodotti Microsoft ad aggiornare i propri sistemi prima possibile per correggere questa vulnerabilità”, ha dichiarato Morten Lehn, Managing Director di Kaspersky Lab Italia.
I prodotti Kaspersky Lab hanno rilevato l’exploit CVE-2016-0034 con il seguente nome di rilevamento: HEUR:Exploit.MSIL.Agent.gen
Per avere maggiori informazioni rispetto alla scoperta della vulnerabilità è possibile consultare il blogpost su Securlist.com.
Per imparare a scrivere efficaci regole YARA e catturare nuovi APT e zero-day, è possibile prendere parte al training YARA organizzato da Kaspersky Lab prima del SAS 2016. A caccia di APT con Yara come un GReAT Ninja (con insegnanti come Costin Raiu, Vitaly Kamluk e Sergey Mineev). Il corso è quasi al completo!
Per saperne di più sulle tecnologie avanzate di protezione e i servizi di sicurezza è possibile consultare questo link: http://www.kaspersky.com/it/enterprise-it-security/