Secondo le societร sviluppatrici delle piรน efficaci soluzioni per la protezione degliย endpointย aziendali, il 70% delle minacce giungerebbe da documenti Office malevoli.
Le principali aziende che si occupano di sicurezza informatica stanno pubblicando in questi giorni dei resoconti le cui conclusioni appaiono molto simili:ย le principali fonti di infezione nelle imprese sono diventati documenti Office malevoli.
Gli esperti di Kaspersky spieganoย che i criminali informatici, soprattutto per gli attacchi mirati, utilizzano molto di meno le vulnerabilitร web mentreย preferiscono sfruttare vulnerabilitร della suite Microsoft Office.
Negli ultimi mesi del 2018, Office รจ diventato il vettore d’attacco preferito con il 70% del totale mentre due anni fa la percentuale non superava il 16%.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
La superficie d’attacco che contraddistingue Office รจ infatti estremamente ampia: tanti sono i formati che la suite Microsoft gestisce, tante le interazioni possibili con il sistema operativo e gli altri software, molteplici le tecnologie che gli utenti possono utilizzare.
Proprio a partire dallo scorso anno, il numero diย zero-dayย รจ aumentato significativamente nel caso di Office, segno evidente del rinnovato interesse da parte dei criminali informatici per la suite di casa Microsoft.
Kaspersky osserva come gli aggressori preferiscano errori logici e come le varie lacune di sicurezza vengano rapidamente inserite inย toolย automatici, disponibili in rete, che permettono di “confezionare” documenti Office malevoli.
Gli esperti russi sottolineano che le vulnerabilitร a suo tempo scoperte nell’equation editordi Office (identificativiย CVE-2017-11882ย eย CVE-2018-0802) restano ancor oggi le piรน sfruttate in assoluto (vedereย Vulnerabilitร in tutte le versioni di Office permette l’esecuzione di codice malevoloย eย Rubare le password altrui con un semplice documento Word รจ possibile).
Kaspersky fa notare che a meno che gli utenti non aggiornino Office (persiste quindi il problema legato alla scarsa propensione nell’installazione degli aggiornamenti su tutti i sistemi usati nell’impresa),ย le vulnerabilitร individuate nell’equation editorย funzionano su tutte le versioni di Word rilasciate negli ultimi 17 anni.
Fare leva su tali lacune, inoltre, non presuppone di disporre di particolari abilitร tecniche. Inoltre, nessuna delle vulnerabilitร piรน sfruttate interessa Office in sรฉ quanto, piuttosto, componenti software ad esso collegati.
Dall’azienda fondata da Eugene Kaspersky si cita anche l’interessante esempio della vulnerabilitร ย CVE-2018-8174: il codiceย exploitย รจ stato individuato in un documento Word malevolo, utilizzato per mettere a segno attacchi mirati, ma la vulnerabilitร riguarda di fatto il vecchio Internet Explorer. In altre parole, il documento Word viene sfruttato come leva per eseguire codice nocivo sulla macchina dell’utente invocando il caricamento di Internet Explorer indipendentemente dal browser web configurato come predefinito.
Come bloccare gli attacchi che utilizzano documenti Office malevoli
Vista la diffusione su larga scala degli attacchi che sfruttano falle di sicurezza via a via emerse nelle varie versioni di Office, รจ importante adottare alcune precauzioni al fine di scongiurare problemi che possano provocare la sottrazione di informazioni riservate, perdite di dati e di denaro.
Per difendersi suggeriamo innanzi tutto di seguire i suggerimenti pubblicati nell’articoloย Sicurezza informatica, come difendersi dalle minacce piรน moderne in ufficio e in azienda.
Le principali aziende che si occupano di sviluppare soluzioni per la sicurezza informatica mettono a disposizione dei clientiย strumenti avanzati per la protezione degliย endpoint. Il concetto diย sicurezza deve fare rima con prevenzione, rilevazione e rispostaย e in azienda รจ oggiย indispensabile utilizzare un approccio centralizzato per il rilevamento e il blocco tempestivo di eventuali minacce.
Intermezzo promozionale ... continua la lettura dopo il box:
Alcune minacce sono progettate per gli attacchi su larga scala (si pensi ai ransomware che prendono di mira quanti piรน utenti possibile per chiedere loro un riscatto in denaro) ma le aggressioni APT (Advanced Persistent Threat), pensate per bersagliare un singolo professionista o un’impresa ben precisa, sono purtroppo sempre piรน comuni.
Anche chi utilizza lato server soluzioni antivirus e antispam evolute avrร certamente notato che sulle workstation di dipendenti e collaboratori talvolta arrivano comunque messaggiย phishingย che invitano ad aprire gli allegati malevoli.
Sempre piรน spesso (capita sovente anche a noi), i criminali informatici usano tecniche astute per catturare l’attenzione dei destinatari dell’email inserendo nel messaggio riferimenti, scritti in italiano, alle attivitร dell’azienda, alle sue procedure e ai suoi flussi di lavoro.
In questo caso si parla diย spear phishingย perchรฉ gli aggressori, nell’intento di persuadere l’utente ad aprire un allegato malevolo, forniscono informazioni che all’apparenza paiono legittime e correlate.
L’errore di un dipendente nell’aprire un file malevolo allegato all’email puรฒ avere serie conseguenze per le aziende e gli enti pubblici.
Se la rete locale non fosse correttamente configurata, isolando ad esempio i dispositivi che forniscono funzionalitร critiche e operando una corretta gestione dei permessi, un aggressore puรฒ sfruttare la singola workstation del dipendente per farsi largo all’interno della LAN e delle risorse condivise.
Con i dati rubati i criminali possono appropriarsi di informazioni sensibili dal punto di vista commerciale, commettere atti di spionaggio industriale, provocare danni, sottrarre denaro e molto altro ancora.
Alcuni passaggi utili a bloccare gli attacchi APT e impedire l’utilizzo di documenti Office come leva per aggredire l’impresa:
1)ย Informazione e formazione. Innanzi tutto, i dipendenti dell’azienda devono essere consapevoli delle minacce. Devono sapere che nelle loro caselle di posta potrebbero arrivare messaggi dannosi contenenti allegati pericolosi.
2)ย Proteggere gli endpoint. Giร una buona soluzione per la sicurezza dei singoli endpoint protegge dalla maggioranza delle minacce (quelli che vengono chiamatiย commodity malware). La scelta di una buona soluzione antimalware che sia in grado di svolgere una verifica sul comportamento di ciascun file aperto sul sistema รจ fondamentale.
3)ย Gestione dei permessi degli account e delle risorse condivise. In azienda non si dovrebbero mai fornire a collaboratori e dipendenti account utente dotati dei diritti amministrativi. A questo proposito รจ fondamentale controllare che ciascun utente possa accedere alle risorse condivise di sua esclusiva competenza.
ร inoltre opportuno verificare che in LAN non vi siano risorse accessibili senza password o con credenziali generiche note a gruppi piรน o meno ampi di utenti.
4)ย Adottare un’efficace politica per i backup. Gli utenti, soprattutto dipendenti e collaboratori, non dovrebbero mai essere in grado di accedere al contenuto del NAS o del server utilizzato per il backup dei dati. O meglio, possono essere messi nelle condizioni di accedere alle versioni di backup piรน recenti ma non alle versioni precedenti dei medesimi file.
Negli articoliย Backup, le migliori strategie per proteggere i dati,ย OpenMediaVault, cos’รจ e come costruire un NAS da soliย eย Cos’รจ e come funziona Synology Active Backup for Businessย abbiamo presentato diverse soluzioni per gestire efficacemente ilย versioningย dei dati e attivare la deduplicazione, cosรฌ da ridurre lo spazio necessario per la conservazione delle copie di backup.
5)ย Utilizzare un prodotto con pannello centralizzato per la gestione degli endpoint. Gli strumenti software avanzati per il controllo della rete locale e dello stato degli endpoint offrono capacitร euristiche per il rilevamento di molteplici tipologie di minacce, comprese quelle veicolate attraverso documenti Office malevoli.
Le soluzioni piรน evolute, dopo una prima analisi, caricano i file sospetti all’interno di una sandbox per verificarne intelligentemente il comportamento e smascherare gli oggetti pericolosi.
Kaspersky Endpoint Security for Businessย consta delle funzionalitร utili per rilevare le minacce in transito sulla rete locale. Soluzioni simili sonoย Sophos Endpoint Protection,ย BitDefender GravityZoneย (Bitdefender contro le nuove minacce informatiche sempre piรน complesse) eย Malwarebytes Endpoint Protectionย (Malwarebytes, proteggere singoli PC e l’intera rete aziendale da un unico pannello cloud).
F-Secure mette a disposizione il servizioย Rapid Detection & Responseย che aiuta le aziende a fronteggiare eventuali attacchi informatici, prima durante o successivamente all’evento.
6)ย Corretta gestione delle vulnerabilitร . Strumenti diย asset discoveryย eย vulnerability scanningย aiutano a minimizzare la superficie d’attacco identificando vulnerabilitร critiche che possono essere sfruttate.
In azienda spesso si usano sistemi operativi e applicazioni non aggiornati, che contengono falle giร risolte ma per le quali non sono state installate le corrispondenti patch. La gestione delle patch Windows mediante WSUS (Windows Server Update Services) รจ un’ottima soluzione ma strumenti che aiutano a eseguire l’inventario dei software installati su ogniย endpointย (anche quelli di terze parti) e intervenire con l’installazione degli aggiornamenti di sicurezza si rivelano utilissimi per mettersi al riparo da rischi di aggressione:ย Windows Defender ATP: un unico pannello per controllare la sicurezza dei dispositivi.
Particolare attenzione deve essere riposta anche sull’aggiornamento del firmware dei dispositivi costantemente collegati alla rete e che magari vengono resi raggiungibili e accessibili dall’esterno (router, NAS, telecamere di sicurezza, device IoT,…). Se non adeguatamente protetti, tali device possono fungere da “testa di ponte” per attaccare l’intera infrastruttura aziendale.
F-Secure Radarย รจ una soluzione diย vulnerability managementย proposta dall’azienda finlandese che permette di minimizzare la superficie d’attacco identificando vulnerabilitร critiche sfruttabili da parte di malintenzionati.
7)ย Segmentare la rete e separare i sistemi critici. ร fondamentale esaminare ed eventualmente ripensare la struttura e la configurazione della rete verificando quali servizi l’azienda espone, segmentando ove necessario la LAN e isolando i sistemi piรน critici. La rete aziendale e i dispositivi ad essa collegati dovrebbero essere impenetrabili dall’esterno ed eventualmente utilizzabili solo previa attivazione di una VPN sicura.
A titolo esemplificativo dovrebbe essere il server NAS a “pescare” sulle risorse condivise e creare il backup dei file (conservando opportunamente le precedenti versioni) mentre non dovrebbero essere le singole workstation a inviare al NAS i loro dati.
8)ย In caso di dubbi, l’analisi su VirusTotal รจ sempre un buon approccio. Rispetto a qualche tempo fa, quando VirusTotal utilizzava soltanto un certo insieme di motori di scansione per analizzare i file, lo strumento ha subรฌto un’importante evoluzione: oggi infatti vengono utilizzati sandbox e intelligenza artificiale (oltre che l’analisi comportamentale) per accertare “l’identitร ” di un file e la sua potenziale pericolositร :ย VirusTotal: guida all’uso del servizio per controllare l’identitร dei file.
Su VirusTotal si possono controllare tutti i tipi di file: non soltanto gli eseguibili ma anche documenti Office.
https://www.ilsoftware.it/articoli.asp?tag=Riconoscere-un-documento-Office-malevolo-in-azienda_19098
