Z1. Attacchi Zero Day

Z1.1 Descrizione

Una vulnerabilità zero day si verifica quando un difetto nel codice nel software viene scoperto e sfruttato prima che sia disponibile una patch. Una volta diffuso un exploit funzionante della vulnerabilità, gli utenti del software interessato sono inermi fino a quando non è disponibile una patch o fino a quando non viene adottata una qualche forma di contromisura da parte dell'utente. Nel 2007 si sono registrati numerosi attacchi zero day, quasi il doppio rispetto all'anno precedente. I passi da seguire per mitigare il pericolo e proteggersi da tale minaccia verranno indicati nel corso di questa sezione.

Z1.2. Sistemi operativi interessati

Per tutti i sistemi operativi e per tutte le applicazioni software è possibile scoprire ed eventualmente sfruttare una vulnerabilità zero day.

Z1.3. Riferimenti CVE

Lo scorso anno numerose vulnerabilità sono state sfruttate prima che fosse messa in circolazione una patch ufficiale o studiato un rimedio. Alcuni esempi di voci CVE che riflettono questa tendenza sono:

• Correttore grammaticale Brasiliano Portoghese di Microsoft Office 2003 CVE-2006-5574
• Microsoft Word CVE-2006-6456
• Microsoft Word CVE-2006-6561
• Microsoft Word CVE-2006-5994
• Microsoft Word CVE-2007-0515
• Windows Graphics Rendering Engine (ANI) CVE-2007-0038
• Windows DNS Server CVE-2007-1748
• Adobe Acrobat Reader plug-in CVE-2007-0045
• RealPlayer CVE-2007-5601
• Computer Associates BrightStor CVE-2007-1785

Z1.4. Come proteggersi da queste vulnerabilità

La protezione contro lo sfruttamento delle vulnerabilità zero day è una questione di grande preoccupazione per la maggior parte degli amministratori di sistema. Per ridurre la pericolosità degli attacchi zero day, è opportuno seguire alcune best practices quali:

• Adottare una posizione deny-all sui firewall e sui dispositivi perimetrali che proteggono le reti interne
• Separare i server con affaccio pubblico dai sistemi interni
• Disattivare i servizi non necessari e rimuovere le applicazioni che non siano richieste da esigenze operative
• Seguire il principio del minimo privilegio possibile nell'impostazione dei controlli di accesso, dei permessi e dei diritti degli utenti
• Impedire o limitare nei browser l'uso di codice attivo come Java script o ActiveX
• Sensibilizzare gli utenti in merito ai rischi connessi all'apertura di file allegati non richiesti
• Disabilitate la possibilità di seguire i link presenti nei messaggi di posta elettronica
• Disabilitate la possibilità di scaricare automaticamente le immagini da Web nei messaggi di posta elettronica
• Gestire internamente (o, se necessario affidare all'esterno) un servizio di gestione degli allarmi e degli avvisi di sicurezza rapido ed efficiente per essere certi di venire a conoscenza degli exploit zero-day exploit non appena diventano pubblici
• Utilizzare soluzioni di gestione end-point per rendere più rapida la distribuzione di patch o di soluzioni alternative appena queste si rendono disponibili
• Qualora si utilizzi Microsoft Active Directory, trarre il massimo vantaggio dai Group Policy Objects per controllare gli accessi degli utenti
• Non fare affidamento esclusivamente sulla protezione di un antivirus, in quanto gli attacchi zero-day spesso non si possono scoprire fino a quando non vengono rilasciate le nuove firme
• Quando possibile, utilizzare su tutti i sistemi protezioni da buffer overflow di terze parti
• Seguire le raccomandazioni dei produttori sulle soluzioni alternative e sulle strategie per la riduzione del rischio fino a quando diventa disponibile una patch