Quando il pericolo è nell’antivirus

Le vulnerabilità delle applicazioni sono la più grande minaccia da cui dovremmo guardarci, anche perché mentre gli attacchi vengono portati da attaccanti, che spesso scelgono accuratamente le proprie vittime, le applicazioni le andiamo a scegliere ed installare noi stessi.

Negli ultimi periodi, analizzando i casi di attacco più importanti abbiamo sempre riscontrato che uno dei vettori utilizzati per effettuare l’attacco è stata una vulnerabilità.

Fra le ultime vulnerabilità riscontrate un gruppo di queste ha coinvolto i prodotti di un noto produttore di software antimalware: Symantec.

CVE-2016-2207 Symantec Antivirus multiple remote memory corruption unpacking RAR [1]
CVE-2016-2208 Symantec antivirus products use common unpackers to extract malware binaries when scanning a system. A heap overflow vulnerability in the ASPack unpacker could allow an unauthenticated remote attacker to gain root privileges on Linux or OSX platforms. The vulnerability can be triggered remotely using a malicious file (via email or link) with no user interaction. [2]
CVE-2016-2209 Symantec: PowerPoint misaligned stream-cache remote stack buffer overflow [3]
CVE-2016-2210 Symantec: Remote Stack Buffer Overflow in dec2lha library [4]
CVE-2016-2211 Symantec: Symantec Antivirus multiple remote memory corruption unpacking MSPACK Archives [5]
CVE-2016-3644 Symantec: Heap overflow modifying MIME messages [6]
CVE-2016-3645 Symantec: Integer Overflow in TNEF decoder [7]
CVE-2016 -3646 Symantec: missing bounds checks in dec2zip ALPkOldFormatDecompressor::UnShrink [8]

Le più gravi fra queste vulnerabilità permettevano ad un attaccante di far eseguire del codice arbitrario alla macchina vittima, semplicemente inviando un file da far analizzare al motore di scansione, che durante la sua decompressione produceva all’interno dell’applicazione un buffer overflow e comunque un tentativo di attacco fallito è in grado di generare dei crash dell’applicazione e di conseguenza, trattandosi di un sistema di protezione del sistema, una falla nella sicurezza.

Nonostante al momento non risultino casi in cui queste vulnerabilità siano state utilizzate per effettuare un attacco reale non è da sottovalutare la gravità di questo caso, in cui il sistema di protezione è l’elemento stesso di vulnerabilità.

Tutti i clienti Symantec e Norton dovrebbero verificare con il proprio supporto quali patch installare per rendere sicura la propria installazione

Grave vulnerabilità su Adobe Flash Player

Una nuova grave vulnerabilità è stata scoperta su Adobe Flash Player e pubblicata sul bollettino di sicurezza di Adobe Security Advisory https://helpx.adobe.com/security/products/flash-player/apsa16-03.html il 14 giugno 2016.

La vulnerabilità è presente nella versione 21.0.0.242 e nelle precedenti nei software installati su sistemi operativi Windows, Linux, Mac, e ChromeOS.

Il punteggio CVSS assegnato a questa vulnerabilità è elevatissimo 9,8

cvss

Sfrutta come vettore d’accesso la rete (una applicazione flash aperta tramite browser) genera il crash dell’applicazione e permette all’attacante di prendere il controllo del sistema attaccato.

La complessità di questo attacco è veramente bassa e non richiede privilegi particolari dell’utente, è sufficiente avere a disposizione l’input che genera il crash per poterlo utilizzare e compromettere la confidenzialità, l’integrità e la disponibilità dei dati e dei servizi presenti nella macchina vittima dell’attacco.

La vulnerabilità è stata scoperta da Anton Ivanov e Costin Raiu di Kaspersky Lab.

La scoperta è avvenuta in modo accidentale durante l’analisi di un caso di attacco APT.
I ricercatori Kaspersky sono all’avanguardia nell’individuazione degli attacchi, delle tecniche utilizzate dagli hacker per colpire le loro vittime e nel fronteggiare gli attacchi.

Le conoscenze acquisite dai ricercatori Kaspersky sugli attacchi zero-day permettono di avere nei loro prodotti tecniche di riconoscimento avanzate degli attacchi zero-day, tuttavia quando l’attacco è già noto, bisogna procedere il più rapidamente possibile nell’installazione delle patch applicative.

Kaspersky Security Center offre al reparto IT la possibilità di gestire il ciclo di individuazione, prioritizzazione, testing della patch e distribuzione delle patch per la maggior parte delle applicazioni commerciali e non solo per le patch del sistema operativo.

Argonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con la tecnologia Kaspersky.

Richiedi Informazioni

Angler Exploit Kit per diffondere i ransomware

Si è sempre considerato che il vettore di infezione per eccellenza dei ransomware fosse un allegato di posta elettronica, la realtà invece è decisamente peggiore.

La cattiva notizia è che è possibile infettarsi con un ransomware semplicemente aprendo una pagina web che è stata compromessa.

E’ stato documentato che alcuni fra i più temuti ransomware come TeslaCrypt vengano veicolati utilizzando Angler Exploit Kit.

Angler Exploit Kit sfrutta le vulnerabilità note per infettare le macchine ed eseguire operazioni malevole sulle vittime, incluso il drive-by download, che permette di scaricare ed eseguire sul computer della vittima un altro malware.

La pericolosità di questo Kit è facilmente comprensibile quando si elencano alcune delle applicazioni interessate dalle vulnerabilità sfruttate: Adobe Flash Player, Microsoft Silverlight, Java. Applicazioni che vengono eseguite sulla maggior parte dei computer.

La diffusione del ransomware tramite questo Exploit Kit avviene prima andando ad infiltrare un sito web con degli javascript o dei file di adobe flash.

Quando il sito web (detto landing page) viene visitato dall’utente, se le applicazioni soffrono delle vulnerabilità che il kit riesce a sfruttare, avviene l’infezione tramite il malware Bedep che effettua il download del ransomware.

Il miglior modo per prevenire questi attacchi è provvedere ad installare regolarmente gli aggiornamenti delle applicazioni, e questa è una nota dolente nella sicurezza informatica.

Più o meno la maggior parte dei computer installa le patch per il sistema operativo, windows update svolge questa funzione, ma quasi nessuno lo fa per le applicazioni esponendosi a rischi concreti.

Vulnerabilità delle applicazioni

Ridurre al minimo i privilegi concessi ad applicazioni ed utenti è una pratica necessaria se non indispensabile per ridurre i rischi di attacco informatico.

Tuttavia a dispetto di quanto si possa pensare questa best practice non è sufficiente da sola. Esistono delle vulnerabilità che permetto all’attaccante di eseguire un payload utilizzando un livello maggiore di privilegi rispetto a quelli che aveva l’applicazione vulnerabile.

E’ essenziale quindi monitorare costantemente le applicazioni vulnerabili ed in base alla gravità occorre procedere con la loro correzione nel più breve tempo possibile.

Prendiamo per esempio la vulnerabilità CVE-2016-0003 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0003 che riguarda Microsoft Edge, il nuovo browser che sostituisce Microsoft Internet Explorer.

Impact
CVSS Severity (version 3.0):
CVSS v3 Base Score: 9.6 Critical
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Impact Score: 6.0
Exploitability Score: 2.8

CVSS Version 3 Metrics:
Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): Required
Scope (S): Changed
Confidentiality (C): High
Integrity (I): High
Availability (A): High

Questa vulnerabilità, dovuta ad un buffer overflow permette all’attaccante di eseguire del codice arbitrario (payload).

Ma la cosa più temibile è che il codice avrà permessi superiori rispetto alla applicazione vulnerabile (metrica CVSS Scope: Changed).

Il suggerimento è quello di effettuare opportune configurazioni per ridurre al minimo i privilegi delle applicazioni e degli utenti, per diminuire i rischi, ma anche di adottare delle politiche per monitorare e correggere in maniera automatica le vulnerabilità delle applicazioni

Vulnerabilità delle applicazioni: Metrica Ambiente

Environmental Metrics

Queste metriche dello standard CVSS consentono all’analista di personalizzare il punteggio CVSS a seconda, per l’organizzazione, dell’importanza della risorsa IT interessata alla vulnerabilità, misurato in termini di controlli di sicurezza complementari, riservatezza, integrità e disponibilità.

Security Requirements (CR, IR, AR)

L’effetto del punteggio ambientale è costituito da dei modificatori che vengono valutati con le corrispondenti metriche Base. Cioè, questi parametri modificano il punteggio già assegnato sulle caratteristiche di riservatezza, integrità e disponibilità.
Ad esempio, il modificatore impatto sulla riservatezza (MC) è aumentato di peso se il requisito di riservatezza (CR) è alto. Allo stesso modo, il peso della metrica impatto riservatezza è diminuito se il requisito riservatezza è basso. Questo stesso processo viene applicato ai requisiti integrità e disponibilità.

Modified Basic Metric

Queste metriche consentono all’analista di rideterminare i parametri in base alle modifiche che sono state fatte all’interno dell’ambiente. Cioè, se un ambiente ha apportato modifiche generali per il software interessato che si differenzia in modo che possa modificare, per un attacco, la sfruttabilità, l’ambito, o l’impatto, è possibile far riflettere questo tramite un appropriato punteggio ambientale.
Il pieno effetto sul punteggio ambientale è determinato dai parametri di base corrispondenti.
Ad esempio, la configurazione di default per un componente vulnerabile può essere quello di eseguire un servizio di ascolto con i privilegi di amministratore, e potrebbe concedere la possibiltà di effettuare un attacco che comprometta riservatezza, integrità e disponibilità del servizio.
Nell’ambiente dell’analista, quel servizio è in esecuzione con privilegi ridotti; in tal caso, i modificatori possono essere impostato su Basso ed abbassare il punteggio della vulnerabilità.

Environmental Metrics

Security Requirements (CR, IR, AR)

Modified Basic Metric

Categorie