06 Giu Windows Backdoor: bloccato un attacco a Windows
Windows Backdoor Zero-Day
La vulnerabilità è stata subito segnalata a Microsoft e risolta il 10 aprile; è quindi caldamente consigliato applicare le patch di sicurezza prima possibile.
Questa vulnerabilità è stata sfruttata da un gruppo di hacker puntando al nucleo del sistema operativo – il cosiddetto kernel – sfruttando una backdoor costituita da un elemento base di Windows.
Utilizzando degli exploit hanno creato una “privilege escalation” per assegnare privilegi di amministratore al worm, per ottenere un account sul computer.
Poi con l’uso del framework Windows PowerShell, riconosciuto come elemento base del Sistema Operativo, quindi “non sospetto”, hanno avviato le attività malevole.
La combinazione di questi due elementi consentiva di aggirare le soluzioni di sicurezza standard, cioè i normali antivirus.
Cosa sono le backdoor
Le backdoor consentono di controllare le macchine infette da remoto, sono molto pericolose perché agiscono senza essere visibili all’utente.
Anche se un’operazione di “privilege escalation” è una tattica difficile da nascondere, una backdoor che sfrutta un bug “zero-day”, ovvero sconosciuto agli antivirus e non ancora patchato, ha molte possibilità di ottenere il controllo.
Gli antivirus infatti non possono riconoscere l’infezione e quindi non possono proteggere gli utenti da una minaccia che non è stata ancora scoperta.
Prevenire gli attacchi
Esistono tecnologie però (ad esempio la Exploit Prevention di Kaspersky Lab) che riescono a rilevare queste attività, chiamate APT (Advanced Persistent Threat, ovvero “attacchi continui”), usando metodi basati sull’analisi comportamentale dei virus.
Ovviamente il Virus verrà riconosciuto come “generico”, ma non per questo si deve sottovalutare il problema, anzi, potrebbe essere anche più grave essendo sconosciuto.
In particolare, in questo caso, sono stati i prodotti di Kaspersky Lab a rilevare questo exploit come:
HEUR:Exploit.Win32.Generic
HEUR:Trojan.Win32.Generic
PDM:Exploit.Win32.Generic
Così la vulnerabilità è stata segnalata a Microsoft ed è stata risolta il 10 aprile scorso.
Come funziona in dettaglio l’attacco alle Windows Backdoor
Il lancio del file .exe avvia l’installazione del malware, che sfrutta la vulnerabilità zero-day per rimanere all’interno della macchina.
Il malware esegue una backdoor usando una shell in linea di comando, un linguaggio di scripting ed il framework Windows PowerShell, che permette di muoversi all’interno del sistema e di evitare il rilevamento.
Il malware a questo punto avvia il download di un’altra backdoor più complessa che dà ai criminali il pieno controllo del sistema.
Mettere in sicurezza il Sistema
Dato che la vulnerabilità è stata risolta da Microsoft, scaricando ed applicando la patch si blocca l’opportunità di utilizzarla.
È molto importante quindi procedere con l’installazione della patch il prima possibile.
Buona norma comunque sempre assicurarsi di applicare regolarmente le patche di sicurezza, soprattutto del Sistema Operativo, ma anche di altri software.
Meglio ancora se questi processi venissero eseguiti automaticamente.
Essere preparati
Esistono alcune semplici pratiche che possiamo adottare per migliorare la protezione:
- utilizzare una soluzione di sicurezza con capacità di rilevamento “predittiva” (anche detta “Preventive” o “Behavior-based” – preventiva e basata sul comportamento) per la protezione da minacce ancora sconosciute
- chiedere aiuto chi ha pratica del settore sicurezza, che conosce le minacce più recenti, ha accesso alla reportistica ed alle analisi riservate ad esperti del settore, anche per la scelta del prodotto più adatto
- investire in formazione: è sempre fondamentale assicurarsi che lo staff sia formato sulle pratiche corrette di “cybersecurity hygiene”, ovvero come evitare di subire passivamente gli attacchi; il 90% degli attacchi infatti si può prevenire se gli utenti adottano comportamenti corretti
tra l’altro queste soluzioni, essendo sempre più accessibili economicamente anche alle piccole realtà, diventano un obbligo di “adeguatezza”, così come richiesto dal GDPR.