Un mese fa, in un nostro articolo abbiamo parlato di un exploit che riguardava una vulnerabilità presente in Microsoft Windows. Ebbene, le nostre tecnologie proattive hanno individuato un altro exploit zero-day e, ancora una volta, l’exploit colpisce una vulnerabilità del sistema operativo sconosciuta in precedenza. In questo caso, e essere a rischio sono solo Windows 7 e Windows Server 2008.
Il fatto che la minaccia sia più circoscritta, non vuol dire che sia meno pericolosa. Sebbene da gennaio 2015, Microsoft non fornisca più assistenza generale per Windows Server 2008 e abbia proposto l’upgrade gratuito in occasione del lancio di Windows 10, non tutti hanno effettuato l’upgrade. Gli sviluppatori continuano a fornire aggiornamenti di sicurezza e assistenza per entrambi i sistemi (e si dovrebbe andare avanti fino al 14 gennaio 2020), in quanto ci sono ancora numerosi clienti a cui bisogna garantire assistenza.
Lo scorso ottobre abbiamo identificato l’exploit e i nostri esperti hanno immediatamente informato Microsoft in merito alla vulnerabilità, allegando anche una proof of concept. Gli sviluppatori hanno risolto prontamente la vulnerabilità il 13 novembre scorso.
Cosa bisogna sapere della vulnerabilità e dell’exploit
Si tratta di una vulnerabilità zero-day nel driver win32k.sys che consentirebbe ai cybercriminali di ottenere le autorizzazioni necessarie per poter rimanere a lungo nel sistema della vittima.
L’exploit è stato utilizzato in numerosi attacchi APT, soprattutto in Medio Oriente, e ha colpito solo le versioni 32 bit di Windows 7. Per maggiori dettagli tecnici, potete leggere il nostro post su Securelist. Chi è iscritto ai nostri report di threat intelligence può ottenere ulteriori informazioni sull’attacco scrivendo un’e-mail a intelreports@kaspersky.com.
Come proteggersi
Su questo fronte, nulla di nuovo. Ma i nostri consigli per difendersi dalle vulnerabilità sono sempre utili:
- Installate immediatamente la patch appena pubblicata da Microsoft;
- Aggiornate regolarmente all’ultima versione tutti i software utilizzati dalla vostra azienda;
- Non utilizzate software datati quando per loro non è più disponibile l’assistenza;
- Avvaletevi di prodotti di sicurezza che comprendano analisi delle vulnerabilità e gestione delle patch, affinché questi processi di aggiornamento siano automatici;
- Avvaletevi di una soluzione di sicurezza affidabile dotata di funzionalità di individuazione delle minacce in base ai comportamenti per una protezione efficace dalle minacce sconosciute, exploit zero-day compresi.
Ricordiamo che, ancora una volta, abbiamo potuto individuare minacce fino ad ora sconosciute grazie alle nostre tecnologie proattive. Stiamo parlando del motore antimalware e di sandbox avanzata di Kaspersky Anti Targeted Attack Platform (soluzione creata per difendersi dalle minacce APT) e della tecnologia di Prevenzione Automatica degli Exploit, sottosistema integrale di Kaspersky Endpoint Security for Business.