Che cos'è un exploit nell'ambito della sicurezza informatica?
Gli exploit sono programmi specializzati o frammenti di codice che sfruttano una vulnerabilità software o un difetto nel sistema di protezione. In questo articolo daremo la definizione di exploit, ne esploreremo le conseguenze nell'ambito della sicurezza informatica e ti mostreremo come una soluzione dedicata può proteggere il tuo computer o il tuo dispositivo mobile dagli exploit.
Scritto da
Ivan Belcic
Pubblicato il giorno
October 22, 2020
Cos'è un exploit?
Un exploit è un tipo di programma creato per colpire un punto debole, detto "vulnerabilità", in un software o in apparecchiature hardware. Un exploit può presentarsi in varie forme, tra cui applicazioni software complete, stringhe di codice e dati oppure semplici sequenze di comandi.
In altre parole, un exploit è uno strumento che consente a un hacker di sfruttare per i propri fini una vulnerabilità nella protezione. Un exploit è insomma qualsiasi cosa si possa programmare per sfruttare una vulnerabilità software o hardware.
Questo articolo contiene
:
Come funzionano gli attacchi exploit?
Gli exploit software non potrebbero esistere senza un difetto di progettazione nel software preso di mira. Una volta identificata questa vulnerabilità, un hacker può scrivere un exploit con il preciso scopo di sfruttarla ("exploit" in inglese significa proprio "sfruttare").
Molti hacker utilizzano gli exploit per diffondere malware. Vediamo un esempio di attacco di exploit. Stai navigando in Internet e imbatti in un sito Web contenente un annuncio pubblicitario dannoso. L'annuncio sembra regolare, ma in realtà nasconde un kit di exploit (ne parleremo tra poco) progettato per scansionare il tuo computer in cerca di eventuali punti deboli noti.
Se ne trova uno, l'annuncio utilizzerà un attacco di tipo exploit per accedere al tuo computer, quindi farà penetrare il malware direttamente nel tuo sistema. Quando gli exploit vengono utilizzati per installare malware, quest'ultimo rappresenta la vera forza distruttiva, ciò che in gergo viene chiamato payload.
A livello tecnico, gli exploit informatici non sono considerati malware poiché non vi è in essi nulla di intrinsecamente dannoso. Il pericolo di un exploit deriva da quello che fa il suo autore dopo averlo utilizzato per infiltrarsi in un sistema. Non parliamo quindi di ransomware né di virus (non esistono "virus di tipo exploit"). Gli exploit sono piuttosto il modo con cui viene distribuito un malware in un attacco a più fasi.
Che differenza c'è tra un exploit e una vulnerabilità?
Vulnerabilità ed exploit sono strettamente collegati. Tuttavia, non sono esattamente la stessa cosa.
Per vulnerabilità intendiamo qualsiasi punto debole in un'applicazione software. Ma non tutte le vulnerabilità possono essere sfruttate per la distribuzione di payload malware nei sistemi presi di mira. Certe vulnerabilità potrebbero non essere sfruttabili, ad esempio se altri sistemi di sicurezza impediscono a qualcuno di utilizzarle. Nel 2019 è stata scoperta una nuova vulnerabilità in Windows 7. Denominata Bluekeep, questa vulnerabilità è stata ritenuta altamente pericolosa, tanto che la NSA ha emesso un avviso di sicurezza in proposito.
Un exploit è un attacco che utilizza una vulnerabilità del software per causare un qualche tipo di effetto indesiderato nel sistema sotto attacco, come la distribuzione di malware oppure l'accesso o il controllo remoto da parte dell'hacker. Anche in presenza di una determinata vulnerabilità, il pericolo non è imminente finché qualcuno non trova il modo di creare un exploit per trarne vantaggio. Tuttavia, non appena scoperta la vulnerabilità, puoi stare certo che qualcuno proverà a sviluppare un exploit.
Pensa a un programma software come a una casa. L'ingresso è chiuso a chiave, ma al primo piano è stata lasciata aperta una finestra: una vulnerabilità. Se un ladro (un hacker) vuole usare (sfruttare) quella vulnerabilità per entrare in casa, dovrà usare una scala. È con l'utilizzo della scala per salire al primo piano che il ladro può sfruttare la finestra aperta ed entrare.
Nell'illustrazione precedente, la finestra a sinistra è chiusa, quindi non presenta vulnerabilità. La finestra a destra è aperta e vulnerabile, ma troppo in alto per essere sfruttata. La finestra al centro è aperta, vulnerabile e abbastanza vicina a terra per essere sfruttata.
A dire il vero, non tutte le vulnerabilità sono sfruttabili, o per lo meno, non ancora. La finestra della soffitta potrebbe essere aperta, ma se un ladro non ha una scala abbastanza lunga per raggiungerla, cioè se nessuno ha creato un exploit per sfruttare quella vulnerabilità, non ci sarà modo di trarne un vantaggio fraudolento.
Tipi comuni di exploit informatici
Gli exploit software sono tanti quante le vulnerabilità del software e quasi ogni giorno ne vengono scoperti di nuovi. Gli exploit possono essere suddivisi in due tipi, a seconda che qualcuno abbia già risolto la vulnerabilità presa di mira.
Exploit noti
Quando qualcuno scopre una vulnerabilità software, spesso avvisa lo sviluppatore, che potrà risolvere immediatamente la vulnerabilità con una patch di sicurezza. Può anche spargere la voce su Internet per avvertire altri utenti. In ogni caso, lo sviluppatore sarà (si spera) in grado di reagire e riparare la falla prima che un exploit possa trarne vantaggio.
Le patch di sicurezza vengono quindi inviate agli utenti tramite aggiornamenti software, motivo per cui dovresti sempre installare gli aggiornamenti non appena sono disponibili. Qualsiasi exploit che prende di mira una vulnerabilità che ha già ricevuto la patch viene chiamato exploit noto, poiché tutti conoscono già la falla corrispondente.
Invece di monitorare tu stesso tutti i programmi installati per gli aggiornamenti, lascia che sia AVG TuneUp a farlo per te. La funzionalità Aggiorna software interamente automatizzata monitorerà i tuoi programmi preferiti e li aggiornerà automaticamente non appena una patch viene pubblicata, mantenendo la tua "casa" al sicuro dagli hacker che tentano di penetrarla.
WannaCry e NotPetya sono due famigerate forme di ransomware che utilizzano un exploit noto di Windows 7 chiamato EternalBlue. Entrambi gli attacchi sono stati sferrati dopo che Microsoft aveva già corretto la vulnerabilità. Ma poiché molte persone non si preoccupano di aggiornare il proprio software, WannaCry e NotPetya sono entrambi riusciti a causare miliardi di dollari di danni.
Exploit zero-day (exploit sconosciuti)
A volte gli exploit colgono tutti di sorpresa. Quando un hacker scopre una vulnerabilità e crea immediatamente un exploit, questo viene chiamato "zero-day", perché l'attacco avviene lo stesso giorno in cui viene rilevata la vulnerabilità. In quel momento, lo sviluppatore è a conoscenza della vulnerabilità da "zero giorni".
Gli attacchi di exploit zero-day sono molto pericolosi perché nessuno dispone di una soluzione ovvia o immediata. L'aggressore è l'unico ad avere scoperto la vulnerabilità e solo lui sa come sfruttarla. Per rispondere all'attacco, uno sviluppatore software deve creare una patch, che però non sarà in grado di proteggere chi è già stato preso di mira.
Exploit hardware
Sebbene gli exploit software ottengano la maggior parte dell'attenzione dei media, non sono gli unici tipi di exploit in circolazione. A volte gli hacker sfruttano i difetti dell'hardware fisico (e del relativo firmware) di un dispositivo.
Meltdown e Spectre sono due vulnerabilità hardware divenute famose a causa della loro potenziale pericolosità. Sebbene la gamma di minacce di Meltdown si limiti ai dispositivi con processore Intel, ovvero milioni di dispositivi, la vulnerabilità Spectre è presente in qualsiasi processore.
Fortunatamente, non sono ancora stati creati exploit per sfruttare queste vulnerabilità e Intel e altri produttori di chip hanno introdotto patch per mitigare i rischi.
Cos'è un kit di exploit?
I criminali informatici più intraprendenti possono scegliere di investire in un kit di exploit "multiuso", una soluzione software contenente una varietà di exploit noti da utilizzare per violare i sistemi vulnerabili. I kit di exploit semplificano l'utilizzo di exploit per chi è a digiuno di programmazione, perché evitano di doverne creare di propri. Inoltre, sono spesso personalizzabili, quindi gli utenti possono aggiungere da sé nuovi exploit.
Un kit di exploit è quindi simile a una cassetta degli attrezzi software con una varietà di strumenti (exploit) che possono essere utilizzati per penetrare nei sistemi informatici vulnerabili.
I kit di exploit analizzano il sistema preso di mira in cerca delle vulnerabilità per le quali sono stati preparati i loro exploit. Se viene identificata una vulnerabilità adeguata, il kit sfrutterà l'exploit appropriato per garantire ai propri utenti l'accesso al sistema preso di mira.
In passato, molti kit di exploit si concentravano su plug-in per browser come Adobe Flash, poiché il loro aggiornamento avveniva separatamente da quello del browser. Ora che i browser moderni supportano gli aggiornamenti automatici e Flash non è più in voga, i kit di exploit nel complesso sono in declino.
Nonostante questo calo di popolarità, alcuni kit di exploit continuano a essere validi strumenti per il crimine informatico.
RIG, Magnitude e Neutrino
RIG, Magnitude e Neutrino sono i tre kit di exploit storicamente più diffusi. Ecco come funzionano.
RIG
RIG è stato utilizzato per distribuire una gamma sbalorditiva di payload, da ransomware e trojan a malware che sfruttano il computer di una vittima per eseguire il mining di criptovalute. Reso disponibile su modello SaaS (Software as a Service), RIG è acquistabile al prezzo, davvero basso, di 150 dollari a settimana.
I clienti di RIG in genere seminano pubblicità dannose su siti Web legittimi. Questi annunci reindirizzano i visitatori del sito alla pagina di destinazione di RIG (a volte direttamente, a volte in più passaggi). Quando una vittima raggiunge la pagina di destinazione di RIG, il kit di exploit consegna il payload scelto dal criminale informatico sul computer della vittima.
Magnitude
Magnitude è in circolazione dal 2013 ed è quindi uno dei più vecchi kit di exploit ancora sulla scena. Come RIG, la strategia di infezione di Magnitude è incentrata sul malvertising, ma attualmente prende di mira vittime in gran parte in Corea del Sud e altri paesi dell'Estremo Oriente. Mentre RIG è un kit di exploit flessibile abbinato a una varietà di payload, Magnitude funziona con una propria variante di ransomware.
Con Flash fuori dai giochi, Magnitude si concentra nell'infettare gli utenti di Internet Explorer tramite JavaScript. E poiché Microsoft ha sostituito il vecchio Internet Explorer con il browser Edge, Magnitude non ha più motivo di esistere. Puoi evitare gli attacchi Magnitude semplicemente passando a un browser e un sistema operativo aggiornati.
Neutrino
Il mercato dei kit di exploit è altamente competitivo. Nel 2016, Neutrino è stato uno dei kit più richiesti in circolazione. Tuttavia, gli sviluppatori di Neutrino hanno smesso di noleggiare il kit a nuovi clienti a settembre di quell'anno. Oggi è funzionalmente morto, avendo perso terreno rispetto ad altri kit come Magnitude e RIG.
Neutrino funzionava come gli altri kit di exploit sopra menzionati: reindirizzava le vittime a pagine di destinazione infette da cui l'exploit poteva sfruttare le vulnerabilità insite nel browser della vittima. Nel caso di Neutrino, il kit di exploit mirava a vulnerabilità note di JavaScript.
Chi è più vulnerabile a un attacco di exploit?
I più vulnerabili a un attacco exploit sono coloro che non aggiornano mai il proprio software. Pensaci: più a lungo un determinato software è sul mercato, più tempo c'è per trovarvi vulnerabilità e creare appositi exploit.
I kit di exploit di cui abbiamo parlato, RIG, Magnitude e Neutrino, si basano su software obsoleti come Internet Explorer e Adobe Flash. E quando WannaCry e NotPetya hanno sfruttato l'exploit EternalBlue, la vulnerabilità corrispondente era già stata corretta: le vittime semplicemente non avevano ancora aggiornato il loro software.
Gli exploit zero-day sono l'eccezione alla regola. In questi casi, non c'è alcun avviso, nessuna possibilità di installare una patch di sicurezza o un aggiornamento software, quindi tutti coloro che eseguono il software preso di mira sono vulnerabili. Gli sviluppatori si affretteranno a rilasciare patch di emergenza alla scoperta di exploit zero-day, ma i singoli utenti devono comunque aggiornare il proprio software, se questo non lo fa automaticamente.
Pertanto, gli strumenti per le prestazioni come AVG TuneUp sono ottimi modi per proteggere il tuo computer da exploit noti come EternalBlue. La funzionalità Aggiorna software integrata in AVG TuneUp monitora automaticamente il software installato e i tuoi programmi preferiti e li aggiorna dietro le quinte in modo da farti avere sempre a disposizione le versioni più recenti.
La buona notizia è che, in molti casi, puoi proteggerti dagli exploit. Mettendo in pratica abitudini di sicurezza intelligenti, puoi fare molto per isolarti dagli attacchi di exploit. Ecco un breve elenco delle migliori tattiche e tecniche anti-exploit:
Aggiorna sempre il software. Qualsiasi esperto di sicurezza informatica, come noi, ti dirà che uno dei modi migliori per proteggersi dagli exploit è utilizzare solo software aggiornato. Se il tuo dispositivo li consente, come nella maggior parte dei casi, abilita gli aggiornamenti automatici del software o utilizza un programma di aggiornamento software automatico come AVG TuneUp. Se devi installare manualmente un aggiornamento, fallo non appena ricevi una notifica.
Esegui il backup dei file. Anche se il software aggiornato assicura la protezione dagli attacchi di exploit noti, non c'è molto da fare quando un hacker scopre una vulnerabilità zero-day. Ma con un backup aggiornato di tutti i tuoi file più importanti sarai al sicuro nel caso in cui un criminale informatico utilizzi un exploit per colpire il tuo computer con ransomware o un altro tipo di malware pensato per danneggiare i file.
Se esegui il backup su un'unità esterna, scollegala quando non la utilizzi e conservala separatamente dal computer. Ciò impedirà a qualsiasi malware di alterarne i contenuti.
Utilizza software di produttori affidabili. Questo consiglio vale per applicazioni standalone, estensioni di browser e plug-in. Gli sviluppatori di software affidabili assicurano che i loro prodotti siano il più possibile a prova di exploit. E qualora emergesse un exploit zero-day, risponderanno al più presto con una patch di sicurezza.
Evita exploit e altre minacce a costo zero
Con la scansione e il rilevamento delle minacce in tempo reale, un robusto antivirus è il tuo più forte alleato nella lotta contro gli exploit. AVG AntiVirus Free è uno strumento di sicurezza informatica potente e affidabile in grado di proteggerti anche dagli exploit zero-day.
L'innovazione costante ci consente di stare al passo con gli attacchi di exploit. AVG AntiVirus Free è dotato di una protezione Web aggiornata che blocca download pericolosi e siti Web dannosi. Insieme al monitoraggio del software 24 ore su 24, che rileva qualsiasi attività sospetta sul tuo computer, ti garantisce protezione nel caso in cui emerga un subdolo attacco di exploit.
We use cookies and similar technologies to recognize your repeat visits and preferences, to measure the effectiveness of campaigns, and improve our websites. For settings and more information about cookies, view our Cookie Policy. By clicking “I accept” on this banner or using our site, you consent to the use of cookies.