cosa sono gli exploit

In passato, gli exploit erano responsabili dell’80% dei malware presenti nei sistemi operativi degli utenti.

Ultimamente, però, sembrano passare inosservati: significa forse che sono scomparsi? Assolutamente no!

Anzi, oggi come allora, continuano a mietere vittime a un ritmo serratissimo.

Approfondiamo, dunque, questa minaccia in modo da poter non solo conoscere il nemico, ma soprattutto non farci cogliere impreparati da un suo eventuale attacco.


Cos’è un exploit in informatica

In informatica un exploit è un programma, o una parte, di codice che sfrutta le vulnerabilità nella sicurezza di un’applicazione (o di un intero sistema IT) affinché i cybercriminali possano utilizzarle a proprio vantaggio.

Non a caso, il verbo inglese “to exploit” si tra letteralmente “sfruttare”.

I malintenzionati inviano spesso exploit ai computer come parte di un kit, noti appunto con l’appellativo di exploit kit.

Quando un utente atterra su un sito fraudolento, il kit di exploit analizza automaticamente il suo computer per analizzare

  • quale sistema operativo utilizza,
  • quali programmi ha eseguito
  • ma,  soprattutto, se vi siano criticità sfruttabili.

Dopo averne scoperto i punti deboli, l’exploit utilizza il suo codice per forzare il sistema e rilasciare malware (noti in questo caso come payload), oltretutto riuscendo spesso ad aggirare diversi layer di sicurezza.

A questo punto verrebbe spontaneo chiedersi: ma, quindi gli exploit possono essere classificati come malware veri e propri? Tecnicamente, no.

Gli exploit sono, infatti, metodi di distribuzione del malware. Un exploit kit non infetta il tuo computer, ma apre una finestra per permettere a un software malizioso di penetrarvi.

Come funziona un exploit

Gli utenti spesso si imbattono in exploit di siti web trappola con alto traffico. Al contrario di quanto si potrebbe pensare, infatti, i pirati informatici in genere scelgono siti popolari e affidabili per nascondervi i loro exploit kit

Ma come viene compromesso un portale web? Le possibilità sono due:

  • o del codice malevolo viene immesso di nascosto nel codice sorgente del sito
  • oppure possono venire infettati gli annunci pubblicitari presenti al suo interno. Questa tipologia di Ads, nota come malvertising,  è particolarmente pericolosa, poiché gli utenti non devono nemmeno fare click sull’annuncio per essere esposti alla minaccia.

In entrambi i casi, il reindirizzamento verso una landing page invisibile che ospita il kit di exploit è quasi del tutto immediato.

A questo punto, se il sistema intercettato non dovesse possedere tutti i requisiti di sicurezza necessari, gli hacker avrebbero carta bianca per agire.

Come accennavamo in precedenza,

  1. gli exploit identificano le vulnerabilità
  2. rilasciano i payload dannosi, ovvero malware
  3. mentre questi ultimi, poi, si occupano di infettare il tuo computer.

In questo contesto, i malware che vanno per la maggiore negli ultimi tempi sono proprio i celeberrimi ransomware.

Tipi di exploit

Gli exploit software possono essere raggruppati in due grandi categorie. A distinguerle vi è un unico fattore: ovvero il loro essere o meno già noti agli esperti di sicurezza informatica.

Analizziamo nel dettaglio le loro caratteristiche.

  • Gli exploit noti sono quelli che i ricercatori hanno già scoperto e documentato. Questi exploit sfruttano  vulnerabilità nei programmi e nei sistemi software che spesso gli utenti non hanno aggiornato per molto tempo. Professionisti della sicurezza e sviluppatori anno già creato patch per la correzione di tali criticità, ma può essere difficile tenere il passo considerando velocità e frequenza degli attacchi.
  • Conosciuti anche come exploit zero-day, sono utilizzati su vulnerabilità che non sono ancora state segnalate al pubblico (le vulnerabilità zero-day, appunto). Ciò significa che i cybercriminali hanno individuato la falla prima che gli sviluppatori stessi la notassero, o prima che la correggessero. In alcuni casi, i developer impiegano mesi per scoprire dov’è il problema, se non anni! Gli zero-day sono particolarmente pericolosi perché anche se il software è aggiornato, possiede comunque un rischio  ancora molto alto di essere violato.

A queste può essere aggiunta una terza categoria, legata invece alla componente hardware dei sistemi. Gli hacker, infatti, possono tranquillamente prendere di mira le componenti fisiche, intaccando l’integrità del firmware.

Tornando alla discussione lato software, ultimamente si è sentito molto parlare di un exploit zero-day che colpisce alcune vulnerabilità di iOS e Android messo in vendita as-a-Service per 8 milioni di dollari.

L’exploit in questione, denominato NOVA Suite, promette la distribuzione diretta di malware da un browser ai sistemi operativi Android 12 e iOS 15.4.1., ma non è chiaro quanti altri dispositivi risultino vulnerabili.

Il pacchetto comprende anche

  • una piattaforma di gestione e analisi con la possibilità di fare ricerche nei dati, filtrarli e gestirli
  • una raccolta di 100 infezioni
  • e persino una garanzia di utilizzo.

Il sistema è in grado di gestirne fino a 10 contemporaneamente per entrambi i sistemi, cioè un totale di 10 infezioni.

Come proteggersi

L’istinto potrebbe essere quello di non intraprendere azioni per proteggersi dagli exploit, poiché ptrebbe sembrare che gli hacker abbiano sempre un netto vantaggio sulle vittime.

In realtà, un paio di semplici pratiche di sicurezza possono aiutarti a stare sul pezzo.

Le società di software sanno che i programmi che sviluppano possono contenere vulnerabilità. Poiché vengono apportati aggiornamenti quotidiani alle app al fine di migliorarne funzionalità, aspetto, l’esperienza utente, nonché la sicurezza generale.

Queste correzioni sono chiamate appunto patch e vengono spesso rilasciate a cadenza regolare, ad esempio un giorno preciso ogni mese.

I problemi delle patch sono sostanzialmente due:

  1. spesso non vengono rilasciate immediatamente, quindi i criminali hanno tutto il tempo di agire.
  2. e inoltre, la maggior parte degli exploit si rivolge alle falle che sono già state patchate da molto tempo. Infatti, i pirati informatici sono perfettamente consapevoli che la maggior parte delle persone non aggiorna regolarmente i propri device.

Per le vulnerabilità zero-day, non ancora scoperte e corrette dai developer, vengono in aiuto apposite tecnologie anti-exploit sviluppate da società di sicurezza informatica. Queste rappresentano una sorta di barriera per i programmi vulnerabili, bloccando gli exploit in più fasi di attacco. In tal modo, non viene loro mai concessa la possibilità di rilasciare i malware nei sistemi.

In sintesi, ricordati quindi di:

  • aggiornare i programmi: innanzitutto, aggiorna quotidianamente programmi software, plugin e sistemi operativi. Di tanto in tanto puoi anche controllare le impostazioni per vedere se ci sono notifiche di patch che potrebbero esserti sfuggite
  • investire nella sicurezza: contatta un’azienda specializzata in sicurezza informatica, così da proteggerti da exploit e altre minacce
  • installare software di sicurezza.

Conclusioni

In questo periodo, gli exploit sono un po’ usciti di scena, il che è un buon segnale tanto per coloro che sono nel settore della sicurezza quanto per chiunque usi un computer da semplice utente.

Questo perché nel 2016, un sofisticato exploit kit, responsabile di quasi il 60% di tutti gli attacchi a livello mondiale. è stato eliminato. Da allora, pur nel proliferare della minaccia, non è stato più implementato un kit di pari pericolosità.

I cybercriminali si sono rivelati un po’ restii nel continuare a investire negli exploit, per paura di un’altra chiusura. Ora l’attenzione è spostata su alcune forme di attacco più tradizionali, tra cui il phishing.

Ma come per tutte le forme di cybercrimine, gli exploit, i loro metodi di infezione e il malware che rilasciano sono in costante evoluzione.

Tuttavia, sarà bene rimanere sempre all’erta, controllando che i programmi siano costantemente aggiornati e dotati di ogni misura di sicurezza necessaria.

Cyberment

Cyberment è un’azienda specializzata in consulenza di sicurezza informatica da oltre 20 anni.

Il nostro red team è composto da hacker etici e esperti specialisti in cybersecurity.

Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.

Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001, nonché azienda etica.
Abbiamo sede legale a Milano e sede operativa a Porto Mantovano, mentre Londra è il cuore del nostro reparto ricerca e sviluppo.

Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!