Gli hacker possono approfittare di un aggiornamento software per compromettere un sistema?
Sì, gli attacchi alla catena di fornitura sono una minaccia insidiosa e crescente

Redazione ANSA
26 agosto 2024 - 15:43
Tilt informatico dopo l'aggiornamento CrowdStrike © EPA

Cosa verifichiamo

Il recente caso dei disservizi a milioni di computer nel mondo causati dall’incidente dell’azienda di sicurezza Crowdstrike pone il tema se un attaccante malevolo possa beneficiare di problemi causati da aggiornamenti software difettosi o peggio sfruttare falle nei processi di aggiornamento di un’applicazione.

Analisi

Negli ultimi anni abbiamo assistito a diversi incidenti in cui aggiornamenti software sono diventati vettori di minacce oppure hanno causato diffusi malfunzionamenti a causa difetti in essi presenti. I processi di aggiornamento sono critici all’interno del ciclo di vita di un software, eventuali difetti o configurazioni errate potrebbero consentire ad un attaccante di interferire con le relative applicazioni e causare seri danni. Un aggiornamento software consente di migliorare le funzionalità, correggere bug e risolvere vulnerabilità di sicurezza in un’applicazione. Problemi in un aggiornamento potrebbero introdurre nuovi difetti, ivi comprese vulnerabilità di sicurezza.

Un aggiornamento difettoso potrebbe ad esempio consentire ad un attaccante di ottenere un accesso non autorizzato ad un sistema. In taluni casi è possibile sviluppare dei codici in grado di sfruttare le falle introdotte (exploit) per bypassare le misure di sicurezza. Inoltre, potrebbe addirittura disabilitare temporaneamente le funzionalità di software di sicurezza, consentendo ad un attore malevolo di eseguire attacchi senza che essi siano rilevati. Difetti in un aggiornamento di un software antivirus potrebbero rendere i sistemi vulnerabili ad attacchi malware. Un aggiornamento difettoso potrebbe dar luogo a condizioni di instabilità dei sistemi che necessitano quindi di un intervento manuale da parte di tecnico specializzato per il recupero dell’operatività. Tutto ciò potrebbe inevitabilmente assorbire parte delle capacità di risposta ad incidenti di un’azienda, esponendo la stessa ad attacchi che potrebbero accadere in simultanea.

Un attaccante inoltre potrebbe approfittare della confusione generata da un aggiornamento difettoso per lanciare campagne di phishing mirate o utilizzare tecniche di social engineering per ingannare gli utenti ed indurli in operazioni potenzialmente pericolose. Questo è quanto accaduto nel caso Crowdstrike, immediatamente dopo la segnalazione dei problemi: attaccanti in rete hanno cominciato a diffondere falsi software per la risoluzione dei difetti negli aggiornamenti con l’intento di diffondere malware. Un attaccante potrebbe anche prendere di mira il processo di aggiornamento di un software per diffondere un malware su larga scala.

Nei cosiddetti attacchi alla supply chain , gli hacker possono compromettere il processo di distribuzione del software. Un attore malevolo, ad esempio, potrebbe compromettere i sistemi di un fornitore di software e modificare gli aggiornamenti prima che vengano distribuiti agli utenti finali. In questo modo, in luogo dell’aggiornamento legittimo potrebbe essere distribuito un aggiornamento con all’interno un codice malevolo. Un caso studio è l'attacco a SolarWinds in cui gli hacker hanno compromesso il software di gestione IT della nota azienda, per infettare i sistemi di decine di migliaia di suoi clienti in tutto il mondo, tra cui agenzie governative. Gli attacchi alla supply chain sono particolarmente insidiosi perché difficili da rilevare, il software compromesso apparirà legittimo agli ignari utenti.

Altro scenario è quello in cui un attaccante a conoscenza di una vulnerabilità in un aggiornamento, la sfrutti per compromettere il sistema che esegue il software aggiornato.

Per proteggersi da attacchi che sfruttano aggiornamenti difettosi e attacchi alla supply chain, ci sono alcune raccomandazioni degli esperti. Ad esempio, prima di installare un aggiornamento è fondamentale verificarne l'autenticità, scaricare gli aggiornamenti solo da fonti ufficiali e controllare le firme digitali quando possibile. Inoltre, prima di installare un aggiornamento testarlo in un ambiente controllato per identificare eventuali problemi, questo aiuta a prevenire l'introduzione di vulnerabilità nei sistemi di produzione. Vanno poi implementati sistemi di monitoraggio per rilevare attività sospette e condotti audit regolari sui sistemi per identificare eventuali vulnerabilità. Infine, bisogna formare il personale sui rischi associati agli aggiornamenti software e sulle tecniche di social engineering adottate dagli attaccanti.

Conclusioni

Gli attaccanti malevoli possono sfruttare vulnerabilità e difetti nei processi di aggiornamento software per diffondere malware e compromettere i sistemi. Gli attacchi alla supply chain rappresentano una minaccia insidiosa e purtroppo crescente per il cui contrasto è importante adottare misure preventive e monitorare costantemente i propri sistemi.

Fonti

Pierluigi Paganini, Ceo di Cyberhorus, professore di Cybersecurity presso l'Università Luiss Guido Carli e coordinatore scientifico Sole 24 Ore formazione

ANSA

Proofpoint

Crowdstrike

APNews

Riproduzione riservata © Copyright ANSA
Il Fact-check è uno strumento dell'agenzia ansa contro la disinformazione
Offriamo informazioni utili contro le falsità che circolano attraverso la rete

I nostri team fanno del loro meglio per consultare tutte le domande che ci vengono sottoposte. Lavoriamo per rispondere alle richieste e proposte che ci pervengono sulla base di diversi criteri e ci riserviamo il diritto di operare una selezione tra tutte le richieste dando priorità a quelle più rilevanti e interessanti per il pubblico. Riteniamo che i reclami fantasiosi, infondati, offensivi, minacciosi o chiaramente derivanti da un'azione coordinata di spam non richiedano una nostra risposta. Per consentirci di rispondere a una richiesta di verifica, il messaggio o la dichiarazione su cui si richiede di indagare devono alludere a fatti o dati. Non verifichiamo opinioni o, in genere, affermazioni su eventi non ancora accaduti.

Informativa privacy

(*) Tramite il modulo è possibile inviare informazioni su possibili errori nei fact check ANSA

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.