Vulnerabilità zero-day trovata in molti dei dispositivi odierni.
Lo zero-day trovato è stato denominato CVE-Occulto ed è una tipologia di Exploit inerente anche, ma non solo al “Malvertisements”.
L’exploit colpisce le versioni più recenti dei software e sono presenti al momento della istallazione quindi essendo pericolsi lasciano aperte delle porte fino dal principio e queste vengono eseguite tramite l’utilizzo di un Kit Angler (i vettori sono calcolati su vulnerabilità ottenute facendo Reverse Engineering), simile alle tecniche di offuscamento la catena d’infezione è molto insidiosa come tutti gli 0-Day.
Con un buon Firewall FORTINET questa infezione viene esclusa a priori e automaticamente inquanto i vettori della infezione che vengono prodotti in uscita sono identificati e fermati in entrata inquanto che la pubblicità, è progettata per caricare l’agente infettante una volta che l’utente visita uno dei siti portatori e si sostituisce al sistema ospitante.
Gli inneschi rispondono a stimoli situati in una piattaforma pubblicitaria che non è contenuta nel sito stesso per cui l’insidia è più occulta, però, essendo l’ingegneria di poco valore, viene dal FORTINET rilevata in entrata immediatramente, inquanto non utilizza linquaggi esadecimali.
Noi tecnici abilitati FORTINET sappiamo come settare il Firewall in modo esatto perchè possa identificare come SWF_EXPLOIT e blocchi le URL in questione anche prima del nascere.
L’inizio dell’attacco è avvenuto il 14 gennaio e ha visto un picco di colpi agli IP relativi delle URL dannose, intorno al 27 gennaio.
La maggior parte degli utenti che accedono al server dannoso correlato nell’attacco è situato negli Stati Uniti, ma l’infezzione sta arrivando velocemente anche in Europa. Già da noi, lo abbiamo rilevato con scansione in 35 attività malevoli, trasmesse dai Browser consapevoli, non aggiornati.
Naturalmente compromette i siti non protetti. Se volete proteggervi – l’exploit colpisce l’ultima versione di Flash, 16.0.0.296, gli utenti possono valutare la disattivazione Flash Player fino a quando non viene rilasciata una versione fissa.
Adobe ha confermato che si tratta di un exploit zero-day e la patch dovrebbe essere disponibile questa settimana.