L'alto livello di sofisticazione della comunicazione del browser Web, che interagisce con i dati archiviati nel PC, con le applicazioni del desktop e con i Web server, ha attirato l’attenzione di creatori di malware che si sono strutturati al meglio al fine di utilizzare la rete per inviare virus, spyware, Trojan, bot, rootkit e software di protezione fasulli. L’industria anti-virus definisce questo sistema cifrato di download del malware che avviene in determinati siti Web senza che vi sia la consapevolezza da parte dell’utente, con il termine “download drive-by”.
L’attacco avviene in due fasi. Gli utenti visitano un sito Web nel quale è stato installato il codice che a sua volta reindirizza il collegamento ad un server che ospita gli exploit. Questi exploit possono colpire le vulnerabilità del Web browser, oppure un suo plugin sprovvisto di patch, o un controllo ActiveX vulnerabile, oppure ogni altra falla presente all’interno di software di terze parti. Gli exploit kit maligni servono come motore per i download del tipo drive-by.
I kit, venduti su siti underground gestiti da hacker, sono dotati di exploit per le vulnerabilità in una gamma di applicazioni del desktop più diffuse tra cui Apple QuickTime media player, Adobe Flash Player, Adobe Reader, RealNetworks’ RealPlayer e WinZip. L’epidemia dei download drive-by viene largamente attribuita allo stato unpatched dell’ecosistema di Windows. Tranne che per rare eccezioni, gli exploit in circolazione bersagliano vulnerabilità software note e per le quali sono disponibili i patch.
Tuttavia, per varie ragioni, gli utenti finali sono lenti nell’applicare i necessari fix del software. Il meccanismo di aggiornamento automatico di Microsoft Update offre agli utenti un metodo ottimale per mantenere le vulnerabilità del sistema operativo “patched”, ma non può essere detta la stessa cosa, invece, per le applicazioni del desktop di terzi. L’approccio più pratico per difendersi dai download indesiderati è quello di fare molta attenzione alla componente di gestione della patch di difesa.
Fonte: Kaspersky
Nessun commento:
Posta un commento