{"id":6393,"date":"2015-07-31T12:25:56","date_gmt":"2015-07-31T12:25:56","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=6393"},"modified":"2019-11-22T11:29:33","modified_gmt":"2019-11-22T09:29:33","slug":"exploits-problem-explanation","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/exploits-problem-explanation\/6393\/","title":{"rendered":"Cosa sono gli exploit e perch\u00e9 fanno cos\u00ec paura?"},"content":{"rendered":"<p>Gli esperti descrivono gli exploit come uno dei problemi pi\u00f9 preoccupanti nel campo della sicurezza informatica, anche se spesso non sappiamo di cosa stiano parlando realmente e perch\u00e9 siano cos\u00ec da temere. Diamo qualche chiarimento.<\/p>\n<p><strong>Cos\u2019\u00e8 un exploit?<\/strong><\/p>\n<p>Gli exploit sono un sottoinsieme dei malware. Questi programmi dannosi contengono dati o codici eseguibili in grado di sfruttare una o pi\u00f9 vulnerabilit\u00e0 di un software presente su computer locale o in remoto.<\/p>\n<p><strong>In soldoni<\/strong><\/p>\n<p>Immaginate che il vostro browser contenga una vulnerabilit\u00e0 che consente di avviare un \u201ccodice arbitrario\u201d (ovvero di installare e far partire un programma dannoso) sul sistema a vostra insaputa. Spesso il primo passo dei cybercriminali \u00e8 quello di ottenere sempre pi\u00f9 autorizzazioni sul sistema per poterne prendere il controllo.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">HP\u2019s Zero Day Initiative has released four new <a href=\"https:\/\/twitter.com\/hashtag\/zeroday?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#zeroday<\/a> in <a href=\"https:\/\/twitter.com\/hashtag\/IE?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#IE<\/a> <a href=\"https:\/\/t.co\/3MvmBKikdU\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/3MvmBKikdU<\/a> via <a href=\"https:\/\/twitter.com\/threatpost?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@threatpost<\/a> <a href=\"http:\/\/t.co\/fVuPQY4cxw\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/fVuPQY4cxw<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/624229438000091136?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">July 23, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>I browser, assieme a Flash, Java e Microsoft Office costituiscono le categorie pi\u00f9 colpite poich\u00e9 si tratta di programmi utilizzati praticamente da chiunque. Vengono analizzati al dettaglio tanto da esperti di sicurezza quanto da hacker e gli sviluppatori pubblicano regolarmente patch per risolvere le vulnerabilit\u00e0 riscontrate. L\u2019ideale sarebbe applicare le patch tutte insieme, ma purtroppo non succede sempre cos\u00ec. Ad esempio, per l\u2019aggiornamento \u00e8 necessario chiudere tutte le schede del browser o tutti i documenti, il che potrebbe comportare un fastidio.<\/p>\n<p>Un altro problema sono gli exploit di vulnerabilit\u00e0 ancora sconosciute, che sono state s\u00ec scoperte e utilizzate dai cybercriminali, le cosiddette vulnerabilit\u00e0 <strong>zero-day (o 0 day)<\/strong>. A volte passa del tempo prima che i vendor si accorgano del problema e inizino a lavorarci per risolverlo.<\/p>\n<p><strong>Metodi d\u2019infezione<\/strong><\/p>\n<p>I cybercriminali spesso prediligono gli exploit rispetto ad altri metodi d\u2019infezione come l\u2019ingegneria sociale (che possono fallire) in quanto portano praticamente a risultati sicuri.<\/p>\n<p>In due casi gli utenti possono essere ingannati dagli exploit. Innanzitutto, quando visitano un sito Internet che contiene un codice exploit dannoso. Oppure quando aprono un file apparentemente legittimo che nasconde al suo interno un codice dannoso. Come si pu\u00f2 facilmente immaginare, sono soprattutto le mail di spam o di <a href=\"https:\/\/www.kaspersky.it\/blog\/phishing-come-funziona-e-come-evitarlo\/4922\/\" target=\"_blank\" rel=\"noopener\">phishing<\/a> a contenere gli exploit.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Why <a href=\"https:\/\/twitter.com\/hashtag\/phishing?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#phishing<\/a> works and how to avoid it \u2013  <a href=\"https:\/\/t.co\/ksAYI9g2Jm\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/ksAYI9g2Jm<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/security?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#security<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/cybercrime?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#cybercrime<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/517329359859118080?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">October 1, 2014<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Come leggiamo su Securelist, gli exploit vengono progettati per colpire versioni specifiche del software che contiene vulnerabilit\u00e0. Se l\u2019utente \u00e8 in possesso della versione in questione del software e apre l\u2019oggetto dannoso (oppure se un sito Internet utilizza il suddetto software), allora l\u2019exploit pu\u00f2 partire all\u2019attacco.<\/p>\n<p>Dopo essere entrato nel sistema attraverso la vulnerabilit\u00e0, l\u2019exploit carica altri malware dal server dei cybercriminali in grado di eseguire molteplici operazioni, come furto di dati personali, uso del computer in una botnet per diffondere spam o effettuare attacchi DDoS o qualsiasi altra azione illegale indicata dai cybercriminali.<\/p>\n<p>Gli exploit costituiscono una minaccia anche per gli utenti pi\u00f9 diligenti che si preoccupano di aggiornare sempre i software. Il fatto \u00e8 che esiste un gap di tempo tra la scoperta della vulnerabilit\u00e0 e la pubblicazione della patch. Durante questo intervallo di tempi, gli exploit agiscono impunemente e minacciano la sicurezza di quasi tutti gli utenti di Internet (tranne coloro che hanno installato tool automatici in grado di prevenire gli attacchi exploit).<\/p>\n<p>E non dimentichiamo ci\u00f2 che abbiamo detto pocanzi circa la sindrome delle schede aperte: il prezzo da pagare per l\u2019aggiornamento \u00e8 la chiusura di tutte le attivit\u00e0 del momento e molti utenti non sono disposti a pagare questo prezzo quando la patch \u00e8 disponibile.<\/p>\n<p><strong>Pack di exploit<\/strong><\/p>\n<p>Gli exploit spesso vengono in un \u201cpack\u201d unico, in questo modo il sistema vittima viene analizzato alla ricerca di un ampio spettro di vulnerabilit\u00e0. Quando se ne individua una o pi\u00f9 di una, entra in azione l\u2019exploit corrispondente. Gli exploit kit utilizzano dei sistemi per nascondere la natura dei loro codici, oppure criptano i percorsi URL per evitare che i ricercatori possano studiarli.<\/p>\n<p>Gli exploit kit pi\u00f9 famosi sono:<\/p>\n<p><strong>Angler<\/strong><\/p>\n<p>Si tratta di uno dei kit pi\u00f9 sofisticati nel mercato sotterraneo. Ha cambiato la storia degli exploit kit in quanto riesce a individuare la presenza di antivirus e macchine virtuali (spesso utilizzate dai ricercatori come esca) e perch\u00e9 utilizza file dropper criptati. \u00c8 uno dei kit in grado di introdurre velocemente nuove vulnerabilit\u00e0 zero-day e i suoi malware si avviano direttamente dalla memoria, senza dover essere riscritti sull\u2019hard disk delle vittime. In questo <a href=\"https:\/\/threatpost.com\/analyzing-angler-the-worlds-most-sophisticated-exploit-kit\/110904\" target=\"_blank\" rel=\"noopener nofollow\">link<\/a> troverete la descrizione tecnica del pack.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Angler Exploit Kit Exploiting New Adobe Vulnerability, Dropping Cryptowall 3.0 \u2013 <a href=\"http:\/\/t.co\/DFGhwiDeEa\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/DFGhwiDeEa<\/a> <a href=\"http:\/\/t.co\/IirQnTqxEO\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/IirQnTqxEO<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/604691335015243776?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">May 30, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>Nuclear Pack <\/strong><\/p>\n<p>Colpisce le vittime con exploit Java e Adobe PDF, cos\u00ec come attraverso il famoso Trojan bancario Caphaw. Su questo <a href=\"https:\/\/threatpost.com\/askmen-site-compromised-by-nuclear-pack-exploit-kit\/106822\" target=\"_blank\" rel=\"noopener nofollow\">link<\/a> maggiori dettagli.<\/p>\n<p><strong>Neutrino<\/strong><\/p>\n<p>Questo kit russo che contiene alcuni exploit Java <a href=\"http:\/\/news.softpedia.com\/news\/Neutrino-Exploit-Kit-Reportedly-Put-Up-for-Sale-by-Its-Author-430253.shtml\" target=\"_blank\" rel=\"noopener nofollow\">\u00e8 apparso su tutti i giornali lo scorso anno<\/a> poich\u00e9 il suo proprietario lo ha messo in vendita a un prezzo davvero basso, 34 mila dollari. Probabilmente tale ribasso \u00e8 dipeso dall\u2019arresto di Paunch, creatore dell\u2019exploit kit di cui vi parleremo qui di seguito.<\/p>\n<p><strong>Blackhole Kit<\/strong><\/p>\n<p>La minaccia pi\u00f9 pericolosa del 2012, colpisce le vulnerabilit\u00e0 presenti nelle vecchie versioni di browser come Firefox, Chrome, Internet Explorer e Safari, cos\u00ec come popolari plugin tipo Adobe Flash, Adobe Acrobat e Java. Dopo aver ingannato o reindirizzato l\u2019utente a una landing page, il kit determina ci\u00f2 che \u00e8 presente nel computer della vittima e carica tutti gli exploit per il quale il computer \u00e8 vulnerabile.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">'Paunch' Arrest Puts Blackhole Hackers on Data Diet, Kaspersky's <a href=\"https:\/\/twitter.com\/k_sec?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@K_Sec<\/a> weighs in. <a href=\"http:\/\/t.co\/uao2eINlkZ\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/uao2eINlkZ<\/a> via <a href=\"https:\/\/twitter.com\/technewsworld?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@TechNewsWorld<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/390214721829601282?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">October 15, 2013<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Blackhole, a differenza di altri kit, ha <a href=\"https:\/\/en.wikipedia.org\/wiki\/Blackhole_exploit_kit\" target=\"_blank\" rel=\"noopener nofollow\">una voce tutta sua su Wikipedia<\/a> anche se, dopo l\u2019arresto di Paunch, il kit \u00e8 <a href=\"https:\/\/threatpost.com\/blackhole-and-cool-exploit-kits-nearly-extinct\/103034\" target=\"_blank\" rel=\"noopener nofollow\">praticamente scomparso dalla piazza<\/a>.<\/p>\n<p><strong>Conclusioni<\/strong><\/p>\n<p>Gli exploit non vengono sempre individuati dai software di sicurezza, che devono effettuare analisi del comportamento (l\u2019unico metodo per combattere gli exploit). I malware sono tanti e diversi, ma la maggior parte ha delle matrici comportamentali simili.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Cosa sono gli exploit e perch\u00e9 fanno cos\u00ec paura?<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2FY7Wo&amp;text=Cosa+sono+gli+exploit+e+perch%C3%A9+fanno+cos%C3%AC+paura%3F\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p><a href=\"http:\/\/store.kaspersky.it\/prova_gratuita_kaspersky_internet_security_multidevice-769159.html?_ga=1.35756192.1279684190.1404989891&amp;typnews=it_SoMe-2015_pro_ona_smm__onl_b2c_fbo_lnk_______\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Internet Security<\/a>, e altri prodotti Kaspersky Lab, adottano la tecnologia \u201cPrevenzione Automatica degli Exploit\u201d, che utilizza tutte le informazioni circa i comportamenti abituali degli exploit pi\u00f9 conosciuti. Tali comportamenti abituali dei malware aiutano a prevenire le infezioni anche in caso di exploit che sfruttano vulnerabilit\u00e0 zero day sconosciute.<\/p>\n<p>Per maggiori informazioni sulla tecnologia Prevenzione automatica degli Exploit potete <a href=\"https:\/\/business.kaspersky.com\/case-6-automatic-exploit-prevention-against-targeted-attacks\/1338\" target=\"_blank\" rel=\"noopener nofollow\">cliccare qui.<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Gli esperti di sicurezza descrivono gli exploit come uno dei problemi pi\u00f9 preoccupanti, anche se spesso non sappiamo di cosa stiano parlando realmente e perch\u00e9 siano cos\u00ec da temere. Diamo qualche chiarimento.<\/p>\n","protected":false},"author":40,"featured_media":6395,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12],"tags":[1557,294,1556,22,638,1558,125,45],"class_list":{"0":"post-6393","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-aep","10":"tag-exploit","11":"tag-exploit-kits","12":"tag-malware-2","13":"tag-minacce","14":"tag-prevenzione-automatica-degli-exploit","15":"tag-protezione-2","16":"tag-sicurezza"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/exploits-problem-explanation\/6393\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/exploits-problem-explanation\/6049\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/exploits-problem-explanation\/5859\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/exploits-problem-explanation\/6520\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/exploits-problem-explanation\/8459\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/exploits-problem-explanation\/9448\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/exploits-problem-explanation\/4741\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/exploits-problem-explanation\/6010\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/exploits-problem-explanation\/5905\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/exploits-problem-explanation\/8327\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/exploits-problem-explanation\/8459\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/exploits-problem-explanation\/9448\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/exploits-problem-explanation\/9448\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/aep\/","name":"AEP"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/6393","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=6393"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/6393\/revisions"}],"predecessor-version":[{"id":19012,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/6393\/revisions\/19012"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/6395"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=6393"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=6393"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=6393"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}