Patch Tuesday: risolve le vulnerabilità, ma solo se si installano gli aggiornamenti

Microsoft (e di conseguenza Adobe) ha rilasciato alcuni aggiornamenti di sicurezza in occasione dell’edizione di maggio 2013 di Patch Tuesday. Come sempre, se il tuo computer non è impostato per

Patch Tuesday

Microsoft (e di conseguenza Adobe) ha rilasciato alcuni aggiornamenti di sicurezza in occasione dell’edizione di maggio 2013 di Patch Tuesday. Come sempre, se il tuo computer non è impostato per scaricare automaticamente gli upgrade, vi consigliamo di farlo il prima possibile.

Patch Tuesday

Non voglio essere insistente, ma non c’è davvero nessun motivo per non installare gli aggiornamenti di sicurezza. Nessuno. Non devi fare nulla, solo cliccare ‘si’ o aspettare alcuni minuti mentre il tuo computer si riavvia e installa gli aggiornamenti automatici. Infatti, proprio in questo momento, mentre vi sto scrivendo, Adobe ci ha informato che l’update è stato realizzato con successo – e io non me ne sono nemmeno accorto. È davvero semplice e automatico.

Al di là della facilità, non installare gli aggiornamenti di sicurezza è come non vaccinarsi di fronte a una epidemia: mette tutti a rischio. Se per non aver effettuato l’upgrade, prendi un virus, entrerai a far parte di quell’immenso mare di computer facilmente sfruttabili e contribuirai alla diffusione dei virus. Quanti più computer vengono compromessi, tanta più forza e accessibilità acquisteranno i cybercriminali per realizzare attacchi phishing e continuare a compromettere sempre più computer.

Non si tratta di aggiornamenti intangibili, che nessuno capisce, ma di update importati per la tua sicurezza. I criminali infatti sfruttano le vulnerabilità dei sistemi non aggiornati per mettere a punto i loro attacchi, come è stato il caso delle vulnerabilità di Internet Explorer (ora è disponibile un patch) usate negli attacchi watering hole diretti verso il Dipartimento del Lavoro degli Stati Uniti (United States Department of Labor – DOL). L’attacco verso DoL pare abbia giocato un ruolo importante nella campagna diretta contro i ricercatori del programma nucleare del Dipartimento dell’Energia statunitense (Department of Energy – DoE). Nei giorni che seguirono, la stessa vulnerabilità è stata sfruttata in Cambogia per la realizzazione di attacchi watering hole contro l’Agenzia per lo Sviluppo Internazionale americana (Agency for International Development – USAID).

Il ‘water holing’ o ‘watering hole’ è una tecnica di attacco mediante la quale un hacker compromette il sito web che pensa che la vittima visiterà a breve. Con questo sistema, gli hacker hanno compromesso il sito web del DoL per incastrare i dipendenti della DoE o altri impiegati del governo. Questa tecnica è stata anche usata in Cambogia per realizzare attacchi contro gli impiegati della USAID.

Forse ancora più allarmante è l’attacco subito da Adobe. Adobe ha applicato un patch alla vulnerabilità riscontrata nella sua tecnologia ColdFusion che alcuni hacker avevano sfruttato per compromettere i server appartenenti al sistema giustiziario dello stato di Washington, mettendo a rischio più di 160.000 dati della previdenza sociale americana, patenti di guida e molti altri dati personali appartenenti a milioni di persone.

Come osservano gli esperti di Kaspersky Lab e Kurt Baumgartner, amico del blog, Microsoft ha messo a punto alcune correzioni per alcune vulnerabilità ‘meno nobili’, ma non per questo meno importanti. EoPs, così vengono chiamate, sono usate dopo una violazione per fare in modo che gli hacker possano ottenere il massimo dei privilegi e dei diritti utente sui computer infetti. Una volta che un hacker ha ottenuto tutti i diritti utente, può fare quello che vuole.

Consigli