Gli exploit zero-day utilizzati sempre più spesso all’interno di attacchi informatici possono, in realtà, avere caratteristiche di “durabilità”, arrivando a rimanere sui sistemi infetti per anche più di due anni. La minaccia è, però, utilizzata in genere nell’ambito di attacchi molto mirati, che raramente hanno un impatto diffuso.
Le tendenze emergono da uno studio scientifico pubblicato questa settimana. L’analisi “Before we knew it: An empirical study of zero-day attacks In the real world”, condotta dai ricercatori del vendor di sicurezza Symantec Leyla Sentina e Tudor Dumitras, ha esaminato gli exploit zero-day lungo un periodo di quattro anni, dal 2008 al 2011.
Lo studio ha concluso che l’industria della sicurezza potrebbe essere stata la prima a sottovalutare la durata degli attacchi zero-day. “Per quel che ne sappiamo, questo rappresenta il primo tentativo di misurare la gravità e la durata degli attacchi zero-day, così come l’impatto della vulnerabilità sul volume di attacchi osservati – sostengono i ricercatori -. Mentre la durata media è di circa 10 mesi, il fatto che tutte le vulnerabilità divulgate dopo il 2010, tranne una, siano rimaste sconosciute per più di 16 mesi fa pensare che possiamo aver sottovalutato, e non poco, la durata degli attacchi zero-day”.
Una volta che una falla zero-day viene resa pubblica, il volume degli attacchi aumenta notevolmente accelerando la probabilità di un’infezione, hanno osservato i ricercatori.
L’analisi ha identificato 18 vulnerabilità sfruttate in modo incontrollato prima della loro divulgazione.
I ricercatori hanno analizzato a fondo i dati raccolti su 11 milioni di sistemi Windows, per ricavarne informazioni significative. “Uno dei motivi sottostanti la proliferazione del numero di nuovi file diversi che sfruttano le vulnerabilità zero-day potrebbe essere che si tratta di versioni ripacchettizzate degli stessi exploit. Tuttavia, non è certo che il repacking da solo possa spiegare un aumento che arriva fino a 5 ordini di grandezza. Più probabilmente, questo incremento è il risultato dell’ampio riutilizzo di exploit collaudati all’interno di altre minacce informatiche”.
Lo studio suggerisce che ci possano essere più exploit zero-day di quanto si possa pensare. I ricercatori hanno detto che il 60% delle vulnerabilità zero-day identificate nello studio non è, infatti, ancora conosciuta.
La buona notizia, secondo il report, è che “le tecnologie di protezione basate sulla reputazione, che assegnano un punteggio a ciascun file in base alla sua diffusione e in relazione a una serie di altri fattori, possono ridurre l’efficacia degli exploit”.
I ricercatori hanno anche riconosciuto che alcuni exploit zero-day rappresentano un’eccezione ai risultati. Conficker ha infettato milioni di sistemi e Stuxnet è stato rilevato su migliaia di macchine prima della divulgazione su larga scala di questa vulnerabilità.
Lo studio ha rilevato che la piena divulgazione delle vulnerabilità comporta rischi significativi per gli utenti finali, ma fa sì che i fornitori accelerino la loro corsa verso le patch. L’analisi ha chiarito che l’80% delle vulnerabilità riscontrate nel 2007 è stata scoperta oltre 30 giorni prima della data di divulgazione. A peggiorare le cose, c’è il fatto che anche dopo che una patch viene rilasciata, i meccanismi di aggiornamento risultano essere troppo lenti e “intoppano” i meccanismi di distribuzione delle patch, specie per gli utenti di sistemi Windows.
I limiti della raccolta automatizzata
Lo studio ha messo in luce anche alcune imprecisioni contenute nella relazione annuale Symantec Internet Threat Report, con la quale il fornitore di software antivirus elenca le vulnerabilità zero-day note. Con il sistema di raccolta automatizzato, infatti, le imprese hanno “perso”, ovvero non sono riuscite a isolare, fino a 24 minacce zero-day nel corso degli ultimi quattro anni.
I ricercatori di Symantec sostengono che con il metodo di rilevamento automatico si perdono, in media, tre vulnerabilità zero-day note ogni anno, in quanto il sistema si limita a registrare i soli attacchi basati su host. “Per rilevare gli attacchi basati sul Web, come ad esempio gli attacchi di cross-site scripting, ci sarebbe bisogno di analizzare i sistemi di rilevamento delle intrusioni”, hanno detto gli esperti.
Il malware polimorfico, che cambia costantemente per evitare di essere scoperto, ha mostrato la sua efficacia essendo riuscito a eludere il processo di raccolta operato da Symantec. Infine, anche gli exploit zero-day incorporati all’interno di file non eseguibili sono riusciti a eludere il sistema.