Nei giorni scorsi avevamo dato notizia del furto subìto da RSA (ved. questo articolo) e legato alla tecnologia SecurID. Secondo quanto rivelato dalla società, l’attacco sarebbe stato posto in essere sfruttando una vulnerabilità presente in Adobe Flash Player. La lacuna di sicurezza, poi sanata mediante il rilascio di una versione aggiornata del componente software, sarebbe stata utilizzata dagli aggressori inviando ad un ristretto numero di dipendenti di RSA, alcune e-mail contenenti degli allegati “maligni” in formato Microsoft Excel.
Stando a quanto reso noto da RSA, uno degli impiegati dell’azienda avrebbe aperto il foglio elettronico dannoso (dal titolo “2011 Recruitment plan.xls“), allegato al messaggio di posta. Tale file conteneva un contenuto in formato Flash che è stato utilizzato come “testa di ponte” per provocare l’esecuzione di ulteriore codice nocivo. Gli autori dell’attacco sono così riusciti ad eseguire un’applicazione di grado di comandare, da remoto, il funzionamento del sistema violato: utilizzando una variante del tool di “remote administration” denominato “Poison Ivy“, i malintenzionati sono riusciti a sottrarre le credenziali per l’accesso ad altri sistemi connessi alla rete di RSA avviando poi un’attività di ricerca e copia di dati sensibili ed informazioni importanti.
Sebbene RSA abbia preferito non offrire dettagli sul materiale rubato, l’azienda ha ammesso che alcune informazioni legate al funzionamento dell’algoritmo di autenticazione “a doppio fattore” utilizzato in SecurID sono state oggetto del “raid” di qualche settimana fa.
L’attacco sferrato a RSA mostra quanto sia sempre più importante provvedere all’applicazione tempestiva delle patch e, per i vari vendor, provvedere alla sempre più pronta risoluzione delle vulnerabilità via a via scoperte. RSA aveva dato notizia dell’attacco lo scorso 17 marzo mentre tre giorni prima Adobe aveva pubblicato un bollettino di sicurezza informando l’utenza circa l’individuazione di attacchi mirati tesi a sfruttare una vulnerabilità di Flash Player mediante l’impiego di documenti Excel “maligni” (ecco la nostra news in merito). L’aggiornamento per Flash Player è stato rilasciato da Adobe una settimana dopo, il 21 marzo (ved. questa pagina).
La gravità della situazione doveva essere lampante sin dall’inizio. Microsoft, infatti, proprio il 17 marzo, suggerì agli utenti di Office di proteggere i propri sistemi ricorrendo allo strumento di configurazione avanzata EMET (“Enhanced Mitigation Experience Toolkit“), un’applicazione che permette di attivare l’utilizzo di alcune tecnologia di difesa (ASLR e DEP) su applicazioni specifiche (abbiamo affrontato l’argomento in questo articolo). Le versioni più “datate” del pacchetto Office (ad esempio, Office 2003 ed Office 2007), non traggono vantaggio da tecnologie come DEP e “Protected View” (quest’ultima, aggiunta in Office 2010, consiste in una “sandbox” che impedisce la “fuoriuscita” di codice dal contesto del programma evitando qualsiasi interazione col sistema operativo).
Mentre RSA ha caratterizzato l’attacco come un’aggressione ben congegnata, Jeremiah Grossman – CTO di WhiteHat Security – ha polemizzato sulla vicenda osservando come qualche e-mail ed uno 0-day di Adobe Flash non possano essere considerati come un attacco particolarmente avanzato.