I Cyber-criminali, per la compromissione di sistemi e infrastrutture, sfruttano spesso delle vulnerabilità dei software e dei sistemi per ottenere un accesso, per effettuare l’escalation dei privilegi o per muoversi lateralmente nell’infrastruttura. Identificare le vulnerabilità più critiche e porvi rimedio è una attività particolarmente importante e da non sottovalutare in quanto impedirebbe o limiterebbe i movimenti dei criminali sui propri sistemi.

Applicare gli aggiornamenti di sicurezza permette di ridurre l’esposizione ad attacchi informatici. Ma non bisogna dimenticare che, molto spesso, i criminali sfruttano logiche e misconfigurazioni per muoversi nell’infrastruttura senza l’ausilio di exploit e vulnerabilità. L’identificazione di movimenti interni può avvenire esclusivamente con attività di Security Monitoring, Malware Analysis e Threat Hunting.

Come dall’analisi, di seguito una lista delle vulnerabilità più abusate dai criminali:

Molte di queste CVE sono datate, sono già presenti patch per la risoluzione di quest’ultime. Dall’analisi effettuata da analisti di altre società, risulterebbe che le CVE più discusse cambiano anche in base alla lingua utilizzata nei forum. Per quelli in russo la CVE-2019-19781, per quelli in cinese la CVE-2020-0796, per quelli in inglese CVE-2019-19781 e CVE-2020-0688, mentre per quelli in turco la CVE-2019-6340.

CVE-2020-1472

Vulnerabilità legata all’elevazione dei privilegi quando un utente malintenzionato stabilisce una connessione al domain controller su un canale Netlogon, vulnerabilità di Netlogon Remote Protocol.
Un attaccante che riesce a sfruttare tale vulnerabilità può eseguire un processo appositamente realizzato su un dispositivo della rete‎.
‎Per sfruttare la vulnerabilità, l’utente malintenzionato non autenticato dovrebbe utilizzare MS-NRPC per connettersi a un controller di dominio.‎

CVE-2020-0796

‎La vulnerabilità nell’esecuzione di codice in modalità remota è causata dal modo con cui il protocollo SMBv3 (Microsoft Server Message Block 3.1.1) gestisce determinate richieste. Un utente malintenzionato che abbia sfruttato correttamente la vulnerabilità può eseguire codice sul server o sul client di destinazione.‎

‎Per sfruttare la vulnerabilità rispetto a un server, l’attaccante non autenticato potrebbe inviare un pacchetto appositamente creato a un server SMBv3 di destinazione. 

‎L’aggiornamento della protezione risolve la vulnerabilità correggendo il modo in cui il protocollo SMBv3 gestisce queste richieste appositamente realizzate.‎

CVE-2019-19781

Un problema in Citrix Application Delivery Controller (ADC) e Gateway 10.5, 11.1, 12.0, 12.1 e 13.0.
La vulnerabilità permette a un utente remoto e non autenticato, tramite Directory Traversal, di scrivere un file in un percorso su disco.‎
Se combinata con Perl Templating Toolkit, questa vulnerabilità permette l’esecuzione di codice remoto sul sistema vulnerabile.

CVE-2019-0708

La vulnerabilità risiede nella possibilità di eseguire codice sfruttando il servizio di Desktop remoto e l’invio di richieste create appositamente. Questa vulnerabilità non richiede alcuna interazione con l’utente. L’attaccante che abbia sfruttato correttamente questa vulnerabilità potrebbe eseguire codice arbitrario sul sistema di destinazione.

‎L’aggiornamento risolve la vulnerabilità correggendo il modo in cui Servizi Desktop remoto gestisce le richieste di connessione.‎

CVE-2017-11882

‎Nel software Microsoft Office esiste una vulnerabilità di esecuzione di codice in modalità remota quando il software non riesce a gestire correttamente gli oggetti in memoria. Un utente malintenzionato che abbia sfruttato correttamente la vulnerabilità potrebbe eseguire codice arbitrario nel contesto dell’utente corrente. Gli utenti i cui account sono configurati per avere meno diritti utente sul sistema potrebbero essere meno interessati rispetto agli utenti che operano con diritti utente amministrativi.‎

‎Lo sfruttamento della vulnerabilità richiede che un utente apra un file appositamente creato con una versione vulnerabile del software Microsoft Office o Microsoft WordPad.

CVE-2017-0199

‎Esiste una vulnerabilità nell’esecuzione di codice in modalità remota nel modo in cui Microsoft Office e WordPad analizzano file appositamente creati. Un utente malintenzionato che abbia sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo di un sistema interessato. L’attaccante potrebbe quindi installare programmi; visualizzare, modificare o eliminare dati; o creare nuovi account con pieni diritti utente.‎

‎Lo sfruttamento di questa vulnerabilità richiede che un utente apra o esilighi un file appositamente creato con una versione vulnerabile di Microsoft Office o WordPad. In uno scenario di attacco tramite posta elettronica, un utente malintenzionato potrebbe sfruttare la vulnerabilità inviando un file appositamente creato all’utente e quindi convincendo l’utente ad aprire il file.‎