News5 min
Microsoft Defender: Due Zero-Day Attive, Cosa
Due zero-day di Microsoft Defender sono ancora attive dopo il caso Nightmare-Eclipse. Il ricercatore ha pubblicato tre exploit su GitHub: uno è stato patchato, due no.
LeggiLe luci dell'open space erano ancora spente
Marco ha sentito il telefono vibrare sul comodino alle 6:42 del mattino. Un numero interno dell'azienda. All'altro capo, il tecnico del turno notte aveva la voce rotta.
"Marco, devi vedere questo. Tre workstation nel reparto commerciale hanno processi figli di winlogon che non dovrebbero esistere. E hanno privilegi SYSTEM. L'ultimo aggiornamento di sicurezza l'abbiamo fatto giovedì, tutto pulito."
Marco si è alzato senza finire il caffè.
Ieri sera, mentre lui guardava una serie in streaming, qualcuno aveva caricato su un repository pubblico tre frammenti di codice. Proof of concept. Vulnerabilità zero-day di Windows che fino a quel momento erano segreti custoditi da chi le aveva scoperte. Stamattina, quei tre frammenti erano già dentro un documento Word spedito all'ufficio vendite. La catena si chiudeva così: una email arrivata alle 8:03, un allegato aperto senza sospetti, e dieci minuti dopo il controllo totale delle macchine.
Marco ha guardato lo schermo del laptop in remote desktop. I log mostravano l'esecuzione di tre exploit distinti. Ognuno sfruttava una falla diversa nel kernel di Windows. In sequenza, avevano permesso a un semplice utente locale di diventare padrone del sistema. SYSTEM. Il livello più alto. Quello che può installare rootkit, rubare credenziali, cancellare tracce.
Quando il codice scappa di mano
Per capire cosa è successo a Marco, dobbiamo fare un passo indietro.
Esistono ricercatori che passano mesi a scavare dentro Windows. Trovano falle. Di solito, il protocollo etico prevede di avvisare Microsoft in privato, attendere la patch, e solo dopo rendere pubblico il codice. Ma non sempre va così.
A volte il codice viene rubato da server compromessi. A volte viene venduto sul mercato nero e poi, per sfortuna o per arroganza, trapelato. A volte qualcuno decide che la gloria immediata è più importante della sicurezza collettiva.
Quando tre zero-day per Windows trapelano contemporaneamente, il danno è esponenziale. I criminali non devono più scoprire nulla. Devono solo copiare, incollare, adattare. Il tempo tra la pubblicazione e lo sfruttamento si misura in ore, non in giorni.
Secondo i report recenti del settore, la metà degli exploit per Windows vengono usati in attacchi reali entro 48 ore dalla divulgazione pubblica. Non è un caso. È un modus operandi. I gruppi criminali hanno infrastrutture pronte, botnet che scansionano internet, campagne email già impostate che aspettano solo il payload giusto.
Come funziona l'attacco: il making of
Entriamo nel dettaglio tecnico. Senza parole complicate, ma con precisione da inchiesta.
Le tre vulnerabilità permettevano operazioni diverse ma complementari. La prima consentiva a un processo di basso livello di ottenere handle privilegiati. La seconda manipolava i token di accesso, quei "lasciapassare" digitali che Windows assegna agli utenti. La terza bypassava i controlli di integrità della memoria del kernel.
Insieme, formavano una catena perfetta.
Ecco come si svolgeva lo spettacolo, passo dopo passo.
L'ingresso. L'attacco iniziava quasi sempre con un'email. Non un missile tecnologico, ma una banale comunicazione con un allegato PDF o un documento Office. Un finto ordine, una fattura, una nota di aggiornamento. L'allegato conteneva macro malevole o, più spesso, sfruttava parser vulnerabili per eseguire codice iniziale senza che l'utente dovesse cliccare "abilita contenuto". Bastava aprire il file.
La prima fase. Il codice iniziale girava con i diritti dell'utente loggato. Limitati. Non poteva installare nulla di persistente. Ma poteva scaricare il secondo stadio.
L'escalation. Qui entravano in scena le tre zero-day. Il codice scaricato verificava la versione di Windows. Se patchata, si ritirava silenziosamente. Se vulnerabile, scatenava la sequenza. Primo exploit: acquisizione di handle di sistema. Secondo: sostituzione del token di processo con quello di SYSTEM. Terzo: aggiramento delle protezioni anti-manipolazione.
Il controllo. In pochi secondi, il malware girava con privilegi massimi. Poteva disabilitare antivirus, creare utenti nascosti, esfiltrare dati, preparare il ransomware.
La diffusione. Da una workstation, l'attaccante si spostava lateralmente. Usava le credenziali rubate per toccare i server. Domain Controller. Database. Backup.
Tutto questo, da una sola email aperta la mattina del lunedì.
Il conto da pagare
Marco ha passato il weekend in ufficio.
Non per sistemare il problema. Quello, alla fine, è stato contenuto. Ma per capire cosa era stato rubato, quali backup erano intatti, se i clienti erano stati esposti.
Il costo diretto? Dopo 72 ore di lavoro d'emergenza, l'azienda ha dovuto pagare consulenti esterni per il forensics. Poi arrivano i costi legali per la notifica ai clienti, nel caso fosse scattato l'obbligo di disclosure del data breach. Poi la verifica di conformità. Poi, forse, la multa.
Ma il costo più duro da digerire è quello invisibile. La fiducia persa. Quando scopri che un file Excel aperto da un commerciale ha dato a uno sconosciuto le chiavi di casa tua, cambia qualcosa. L'atmosfera diventa pesante. Ogni email diventa sospetta. Ogni allegato, un potenziale nemico.
E il timing peggiora sempre tutto. Le zero-day trapelate colpiscono quando sei più vulnerabile: il fine settimana. Quando il SOC è a basso organico. Quando le patch non sono ancora pronte. Quando Microsoft è ancora in fase di analisi.
Cosa si poteva fare
Marco, seduto nella sala server vuota la domenica sera, ha ricostruito la catena del disastro. Ha capito che l'errore non è stato unico, ma una serie di anelli deboli.
Primo anello: l'ingresso. Se l'email con l'allegato malevolo fosse stata intercettata prima della casella dell'utente, la catena si sarebbe spezzata all'inizio. Una protezione email che analizza gli allegati in sandbox isolata, esaminando comportamenti reali anziché solo firme antivirus, avrebbe potuto vedere il codice sospetto che tenta di scaricare payload esterni. Noi sviluppiamo MailSniper proprio con questo approccio: bloccare la minuta prima che tocchi terra.
Secondo anello: la segmentazione. Quella workstation del commerciale non avrebbe dovuto poter parlare direttamente con i server critici. Reti isolate, privilegi minimi, zero trust. Concetti che suonano astratti finché non devi spiegare al direttore generale perché un PDF ha formattato i server di produzione.
Terzo anello: il monitoring comportamentale. L'escalation di privilegi avviene in pochi secondi, ma lascia tracce. Processi figli di winlogon. Token sostituiti. Se il sistema di rilevamento delle minacce endpoint è configurato per guardare questi comportamenti specifici, può fermare l'attacco anche quando la firma del virus è sconosciuta.
Quarto anello: la reattività. Avere un piano per isolare macchine in 60 secondi. Non in due ore. Non dopo aver consultato tre livelli gerarchici. Un pulsante di emergenza chiaro, testato, pronto.
Chi tiene le chiavi dei nostri sistemi?
Lunedì mattina successivo, Microsoft ha rilasciato un aggiornamento fuori ciclo. Le tre falle sono state tappate. Marco ha installato le patch su tutto il parco macchine prima del pranzo.
Ma la domanda che lo tormenta è un'altra.
Chi detiene queste armi digitali prima che diventino pubbliche? E chi decide quando, come, e se rivelarle? Il mercato grigio delle vulnerabilità gira milioni di dollari. I governi le accumulano. I criminali le comprano. E a volte, per un errore di sicurezza o per un gesto di vanità, finiscono su GitHub.
La prossima volta potrebbero non essere tre falle di Windows. Potrebbero essere quelle del tuo gestionale, del tuo telefono, della tua automobile connessa. E la catena inizierà sempre allo stesso modo: una email che sembra normale, aperta in un martedì qualunque, mentre fuori piove e tu pensi che la cybersecurity sia affare di altri.
Fino a quando il telefono non squilla alle 6:42 del mattino.
Vuoi approfondire come funziona una analisi del rischio completa per la tua posta elettronica? Oppure scopri le caratteristiche della nostra protezione avanzata pensata per interrompere queste catene di attacco prima che tocchino i tuoi sistemi.