Una vulnerabilità zero-day all’interno di Silverlight, tecnologia web utilizzata per visualizzare contenuti multimediali. A individuare il bug che avrebbe consentito a un criminale informatico di ottenere l’accesso completo ai computer violati ed eseguire un codice nocivo con lo scopo di rubare informazioni segrete e compiere altre azioni illegali, sono stati gli esperti di Kaspersky Lab. La vulnerabilità, chiamata CVE-2016-0034, è stata corretta durante l’ultimo Patch Tuesday, spiega Kaspersky in una nota, aggiornamento rilasciato da Microsoft il 12 gennaio 2016. La scoperta è il risultato di un’indagine cominciata oltre cinque mesi fa e pubblicata in un articolo di Ars Technica.
Nell’estate del 2015, infatti, un articolo riguardante l’attacco hacker contro l’azienda Hacking Team riportava la notizia e parlava di una fuga di notizie su una presunta corrispondenza tra i rappresentanti di Hacking Team e Vitaliy Toropov, un exploit-writer indipendente. Toropov, spiega il comunicato, provava a vendere ad Hacking Team uno zero-day particolare: un exploit all’interno della tecnologia Silverlight di Microsoft che risaliva a quattro anni prima e per il quale non era stata ancora rilasciata una patch. In seguito i tecnici di Kaspersky hanno scoperto che un utente che si chiamava Vitaliy Toropov collaborava attivamente al database Open Source Vulnerability, un ambiente nel quale ciascuno può postare informazioni riguardanti le vulnerabilità, e sono risaliti alla pubblicazione di un proof-of-concept (POC) che descriveva il bug in Silverlight e altri dettagli che hanno dato ai ricercatori di Kaspersky Lab un suggerimento su come l’autore dell’exploit era solito scrivere il codice.
Da qui sono scaturite le norme di rilevamento per le tecnologie di protezione: ogni qualvolta un utente, che ha scelto di condividere i dati sulle minacce con il Kaspersky Security Network (KSN), si trova di fronte a software nocivi che adottano un comportamento disciplinato da tali norme speciali di rilevamento, il sistema evidenzia il file come altamente sospetto e una notifica viene inviata alla società per essere analizzata. Diversi mesi dopo l’implementazione delle norme speciali di rilevamento, un utente di Kaspersky Lab era stato preso di mira da un attacco che utilizzava un file sospetto che aveva proprio le caratteristiche che i ricercatori stavano cercando. Gli esperti di Kaspersky Lab hanno analizzato l’attacco e hanno scoperto che veniva eseguito l’exploit di un bug sconosciuto all’interno della tecnologia Silverlight, e l’informazione ottenuta sul bug è stata riportata a Microsoft per essere validata.
“Sebbene non possiamo esserne certi, abbiamo ragione di credere che l’exploit che abbiamo scoperto sia lo stesso di quello menzionato nell’articolo di Ars Technica – sottolinea Morten Lehn, managing director di Kaspersky Lab Italia – Confrontando l’analisi di questo file con il precedente lavoro di Vitaliy Toropov abbiano notato che l’autore dell’exploit recentemente scoperto e l’autore dei Poc pubblicati su Osvdb a nome di Toropov erano la stessa persona. Allo stesso tempo, non escludiamo la possibilità di aver trovato un altro exploit zero-day in Silverlight. In ogni caso, questa ricerca ci ha aiutato a rendere il cyber spazio un po’ più sicuro aiutandoci a scoprire e divulgare un nuovo zero-day. Invitiamo, quindi, tutti gli utenti dei prodotti Microsoft ad aggiornare i propri sistemi prima possibile per correggere questa vulnerabilità”.
