Sebbene le vulnerabilità informatiche vengano scoperte, segnalate e corrette costantemente, alcune di esse persistono nei sistemi per anni, rappresentando una potenziale minaccia per la sicurezza.
Questo è il caso della CVE-2013-3900, una vulnerabilità risalente al 2013, ma che ancora oggi viene identificata in numerosi dispositivi. In questo articolo, esploreremo in dettaglio le caratteristiche di questa vulnerabilità, le sue implicazioni e le misure da adottare per mitigarla.
Cos’è la CVE-2013-3900?
La CVE-2013-3900 è una vulnerabilità di tipo “remote code execution” che riguarda Microsoft Office e Windows Server.
La CVE consente ad un attaccante di eseguire codice arbitrario sul sistema vittima, semplicemente inducendo l’utente a visualizzare o aprire un file specificamente creato.
Implicazioni per la sicurezza informatica
Un sistema vulnerabile può essere compromesso con facilità da un attaccante, anche senza interazioni avanzate da parte dell’utente finale. Ciò significa che il mero fatto di aprire un file malevolo può portare a una compromissione del sistema. Una volta che l’attaccante ha guadagnato accesso al sistema, può sfruttare ulteriori vulnerabilità o utilizzare tecniche di movimento laterale per compromettere altre parti dell’infrastruttura IT.
Cosa comporta l’exploit CVE-2013-3900 di convalida della firma WinVerifyTrust?
L’exploit associato alla vulnerabilità CVE-2013-3900 sfrutta una debolezza nella convalida della firma digitale delle applicazioni Windows attraverso la funzione WinVerifyTrust. Questa vulnerabilità è particolarmente critica perché, se sfruttata con successo, può permettere ad un attaccante di bypassare le misure di sicurezza e far sembrare che un file malevolo sia firmato digitalmente da un fornitore affidabile.
Alcuni dettagli tecnici
La funzione WinVerifyTrust è utilizzata in Windows per verificare le firme digitali dei file.
La vulnerabilità CVE-2013-3900 permette di eludere questa verifica attraverso un meccanismo chiamato “file spoofing”.
In sostanza, un attaccante può creare un file malevolo e associargli una firma digitale che appare come valida per Windows, pur non essendolo.
Quando un file viene percepito come proveniente da una fonte attendibile, le probabilità che venga eseguito dall’utente finale aumentano notevolmente.
Questo perché gli utenti tendono a fidarsi dei file firmati, considerandoli sicuri.
Dispositivi e sistemi colpiti
La vulnerabilità CVE-2013-3900 affligge nello specifico i prodotti Microsoft.
Ecco una lista dei sistemi operativi e dei software noti per essere vulnerabili:
Sistemi operativi Windows:
- Windows Vista (tutte le versioni)
- Windows Server 2008 (tutte le versioni)
- Windows 7 (tutte le versioni)
- Windows Server 2008 R2 (tutte le versioni)
- Windows 8
- Windows 8.1
- Windows Server 2012
- Windows Server 2012 R2
- Windows RT
- Windows RT 8.1
Software Microsoft:
- Microsoft Office 2003
- Microsoft Office 2007
- Microsoft Office 2010 (versione 32-bit)
- Microsoft Office 2013 (versione 32-bit)
- Microsoft Office 2013 RT
- Microsoft Lync 2010 (versione 32-bit)
- Microsoft Lync 2013 (versione 32-bit)
È importante notare che, sebbene questi prodotti siano vulnerabili, non tutti sono esposti al medesimo pericolo. Alcuni sono vulnerabili solo in specifiche configurazioni o circostanze.
Perché è ancora un problema?
Nonostante Microsoft abbia rilasciato una patch per questa vulnerabilità poco dopo la sua scoperta, molti sistemi non sono stati aggiornati. Le ragioni possono essere diverse:
- Mancata consapevolezza: non tutti gli IT manager o i responsabili tecnici sono al corrente di tutte le vulnerabilità e delle relative patch disponibili.
- Alcune organizzazioni potrebbero evitare di installare patch per timore di problemi di compatibilità con software o applicazioni interne.
- In un panorama in cui emergono continuamente nuove minacce, alcune vulnerabilità più vecchie potrebbero essere trascurate.
Come mitigare la CVE-2013-3900?
La soluzione più ovvia che ha come obiettivo quello di risolvere la vulnerabilità è quello di installare la patch rilasciata da Microsoft. Assicuratevi di aver installato la patch rilasciata da Microsoft per questa vulnerabilità e di implementarla su tutti i sistemi interessati.
Al fine poi di identificare e mitigare gli effetti delle CVE in generale, consigliamo di implementare quanto prima un servizio di scansione della vulnerabilità per identificare sistemi che potrebbero essere ancora esposti. Considerate la possibilità di effettuare scansioni regolari per assicurarvi che nuove installazioni o configurazioni non reintroducano la vulnerabilità.
Conclusione
Nonostante la sua “età”, la CVE-2013-3900 rimane una vulnerabilità critica che deve essere affrontata con serietà. L’importanza di mantenere i sistemi aggiornati e di avere una solida comprensione delle minacce esistenti non può essere sottovalutata. Invitiamo tutti gli IT manager e i tecnici informatici a prendere le misure necessarie per proteggere le loro infrastrutture da questa e altre vulnerabilità simili.
- Autore articolo
- Gli ultimi articoli
Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.