Anatomia di un attacco

Thames and fog / Tamigi e nebbiaGli 0-day dei software, specialmente quelli molto diffusi, non valgono nemmeno più la pena di essere citati tutti.

Quello scoperto da poco in Adobe Reader è interessante per come è stato sfruttato. Purtroppo la scansione degli eventi che segue potrebbe essere falsata dalle differenze di fusi orari, ma per ora dobbiamo convivere con questa maledizione. 🙂

Adobe ha diramato il bollettino di sicurezza il 6 dicembre avvisando di un problema critico alle versioni 10 e 9 del Reader (quelle precedenti non sono più supportate e non dovrebbero essere utilizzate). La data è probabilmente riferita ad uno dei fusi orari americani.

Il 7 dicembre verso le 21:00 CET Mikko Hypponen twitta la notizia del ritrovamento di un PDF che sfrutta la vulnerabilità.

Un’ora dopo Mikko twitta che quel PDF è stati utilizzato per attaccare Mantech, un fornitore della Difesa americana. Subito dopo un altro utente aggiunge che l’attacco a mezzo PDF colpirebbe più fornitori della Difesa. A stretto giro di twit Mikko rivela che il PDF con cui è stata attaccata Mantech si chiama ManTech Employee Satisfaction Survey.pdf, rivelando un ovvio sfruttamento di una tecnica di social engineering paragonabile a quella utilizzata per attaccare RSA.

Contagio pubblica un’analisi di questo exploit da cui si vede che il finto PDF tenta di installare una copia di Sykipot; il trojan tenta quindi di effettuare un collegamento https verso l’URL www.prettylikeher.com/asp/kys_allow_get.asp?name=getkys.kys

Al momento in cui sto scrivendo la pagina non esiste più, ma https://www.prettylikeher.com contiene ancora una copia piuttosto sgangherata di una pagina di Yahoo!

Le conclusioni e gli insegnamenti che si possono trarre da questo evento sono sia i soliti (tenere aggiornato il software e diffidare degli attachment) sia uno relativo all’utilizzo del social engineering che fa leva sulle comunicazioni provenienti dalla direzione del personale, o, come si dice adesso con una locuzione orribile, dalle risorse umane (HR).

È evidente che un messaggio proveniente da HR è tenuto molto in considerazione ed è quindi un potenziale vettore di attacco attraverso sistemi di social engineering.

Per evitare questi rischi è bene fare in modo che le comunicazioni arrivino solamente da un unico indirizzo utilizzato per questo scopo, magari blacklistato sul mail server di frontiera verso Internet, per evitare che malintenzionati lo utilizzino come mittente per attacchi di questo tipo. Va da sé che tutti gli utenti, dirigenti inclusi, devono essere coinvolti in queste politiche di sicurezza e questa è probabilmente la parte più ardua della procedura.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

Spazio per un commento