{"id":22527,"date":"2020-08-12T12:55:48","date_gmt":"2020-08-12T10:55:48","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=22527"},"modified":"2020-10-07T16:28:37","modified_gmt":"2020-10-07T14:28:37","slug":"cve-2020-1380-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/cve-2020-1380-vulnerability\/22527\/","title":{"rendered":"Operation PowerFall: due vulnerabilit\u00e0 zero-day"},"content":{"rendered":"<p>Di recente, le nostre tecnologie hanno impedito un attacco contro una societ\u00e0 sudcoreana. Potreste pensare che questo \u00e8 solo un nostro mercoled\u00ec tipo, ma mentre analizzavano gli strumenti dei cybercriminali, i nostri esperti hanno scoperto due intere vulnerabilit\u00e0 zero-day; la prima nel motore JavaScript di Internet Explorer 11. Questo ha permesso ai criminali informatici di eseguire in remoto un codice arbitrario. La seconda, rilevata in un servizio del sistema operativo, ha permesso ai cybecriminali di ottenere maggiori permessi e di eseguire azioni non autorizzate.<\/p>\n<p>Gli exploit per queste vulnerabilit\u00e0 operavano in tandem. In primo luogo, alla vittima \u00e8 stato passato uno script dannoso che una falla in Internet Explorer 11 ha permesso di eseguire; poi un difetto nel servizio di sistema ha ulteriormente aumentato i privilegi di accesso del processo dannoso. Di conseguenza, gli aggressori sono stati in grado di prendere il controllo del sistema. L\u2019obiettivo era quello di compromettere i computer di diversi dipendenti e di penetrare nella rete interna dell\u2019azienda.<\/p>\n<p>I nostri esperti hanno soprannominato questa campagna dannosa Operation PowerFall. Al momento, i ricercatori non hanno trovato alcun legame indiscutibile tra questa campagna e gruppi noti. Tuttavia, a giudicare dalla somiglianza degli exploit, non hanno escluso il coinvolgimento di <a href=\"https:\/\/www.kaspersky.com\/blog\/the-dark-story-of-darkhotel\/15022\/\" target=\"_blank\" rel=\"noopener nofollow\">DarkHotel<\/a>.<\/p>\n<p>Quando i nostri ricercatori hanno informato Microsoft delle loro scoperte, l\u2019azienda ha detto di essere gi\u00e0 a conoscenza della seconda vulnerabilit\u00e0 (nel servizio di sistema) e di averne persino elaborato una patch. Ma fino a quando non li abbiamo informati della prima vulnerabilit\u00e0 (in IE11), hanno ritenuto improbabile il suo impiego.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-22539\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2020\/08\/13101146\/CVE-2020-1380_list.png\" alt=\"\" width=\"918\" height=\"100\"><\/p>\n<h2>Come pu\u00f2 essere pericolosa la vulnerabilit\u00e0 CVE-2020-1380?<\/h2>\n<p>La prima vulnerabilit\u00e0 \u00e8 nella libreria jscript9.dll, che tutte le versioni di Internet Explorer da IE9 usano di default. In altre parole, l\u2019exploit per questa vulnerabilit\u00e0 \u00e8 pericoloso per le versioni moderne del browser. (\u201cModerno\u201d \u00e8 forse un termine un po\u2019 improprio, dato che Microsoft ha smesso di sviluppare Internet Explorer dopo il rilascio di Edge, con Windows 10). Ma insieme a Edge, Internet Explorer \u00e8 ancora installato per impostazione predefinita nell\u2019ultimo Windows, e rimane un componente importante del sistema operativo.<\/p>\n<p>Anche se non si usa volentieri IE, e non \u00e8 il browser predefinito, ci\u00f2 non significa che il sistema non possa essere infettato da un exploit IE, alcune applicazioni lo usano di tanto in tanto. Prendete ad esempio Microsoft Office: utilizza IE per visualizzare contenuti video nei documenti. I cybercriminali possono anche chiamare e sfruttare Internet Explorer attraverso altre vulnerabilit\u00e0.<\/p>\n<p>CVE-2020-1380 appartiene alla classe <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/use-after-free\/\" target=\"_blank\" rel=\"noopener\">Use-After-Free<\/a>, la vulnerabilit\u00e0 sfrutta l\u2019uso scorretto della memoria dinamica. Potete leggere una descrizione tecnica dettagliata dell\u2019exploit con indicatori di compromesso nel post \u201c<a href=\"https:\/\/securelist.com\/ie-and-windows-zero-day-operation-powerfall\/97976\/\" target=\"_blank\" rel=\"noopener\">Internet Explorer 11 e Windows 0-day sfrutta la catena completa utilizzata in Operation PowerFall<\/a>\u201d sul sito Securelist articolo in lingua inglese).<\/p>\n<h2>Come proteggervi<\/h2>\n<p>Microsoft ha <a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2020-0986\" target=\"_blank\" rel=\"noopener nofollow\">rilasciato una patch per CVE-2020-0986<\/a> (nel kernel di Windows) il 9 giugno 2020. Per quanto riguarda la seconda vulnerabilit\u00e0, <a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2020-1380\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2020-1380, la patch \u00e8 invece stata pubblicata\u00a0 l\u201911 agosto<\/a>. Se si aggiornano regolarmente i sistemi operativi, essi dovrebbero essere gi\u00e0 protetti contro gli attacchi di tipo Operation PowerFall.<\/p>\n<p>Tuttavia, le vulnerabilit\u00e0 zero-day compaiono di continuo. Per mantenere la vostra azienda al sicuro, \u00e8 necessario utilizzare una soluzione con tecnologie anti-exploit, come<a href=\"https:\/\/www.kaspersky.it\/small-to-medium-business-security?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Security for Business<\/a>. Uno dei suoi componenti, il sottosistema Exploit Prevention, identifica i tentativi di sfruttare le vulnerabilit\u00e0 zero-day.<\/p>\n<p>Inoltre, si consiglia di utilizzare browser moderni che ricevano regolarmente aggiornamenti di sicurezza.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Le nostre tecnologie hanno impedito un attacco. L&#8217;analisi degli esperti ha rivelato lo sfruttamento di due vulnerabilit\u00e0 precedentemente sconosciute. Ecco tutto quello che dovete sapere.<\/p>\n","protected":false},"author":2581,"featured_media":22528,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[592,584],"class_list":{"0":"post-22527","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-apt","11":"tag-vulnerabilita"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cve-2020-1380-vulnerability\/22527\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cve-2020-1380-vulnerability\/21674\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cve-2020-1380-vulnerability\/17137\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cve-2020-1380-vulnerability\/23004\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cve-2020-1380-vulnerability\/21195\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cve-2020-1380-vulnerability\/19890\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cve-2020-1380-vulnerability\/23630\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cve-2020-1380-vulnerability\/28892\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cve-2020-1380-vulnerability\/8697\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cve-2020-1380-vulnerability\/36698\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cve-2020-1380-vulnerability\/15437\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cve-2020-1380-vulnerability\/15897\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/cve-2020-1380-vulnerability\/13846\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cve-2020-1380-vulnerability\/24867\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/cve-2020-1380-vulnerability\/11794\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/cve-2020-1380-vulnerability\/28981\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/cve-2020-1380-vulnerability\/25845\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cve-2020-1380-vulnerability\/22717\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cve-2020-1380-vulnerability\/27964\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cve-2020-1380-vulnerability\/27794\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/vulnerabilita\/","name":"vulnerabilit\u00e0"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22527","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=22527"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22527\/revisions"}],"predecessor-version":[{"id":23037,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22527\/revisions\/23037"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/22528"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=22527"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=22527"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=22527"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}