In questi giorni è emerso un annuncio sul forum underground exploit.in: un exploit 0day per WinRAR e WinZIP è stato messo in vendita, con potenziali rischi per milioni di utenti. In questo articolo scopriamo cos’è questa vulnerabilità, come funziona l’attacco e soprattutto come difendersi.
Nel mondo della sicurezza informatica, un exploit è un codice che sfrutta una vulnerabilità in un software per alterarne il comportamento. Quando si parla di exploit 0day (zero-day), ci si riferisce a una falla che è ancora sconosciuta al produttore del software e quindi non ha una patch disponibile. Proprio per questo, gli 0day sono molto ricercati e costosi, soprattutto nel mercato nero.
Queste vulnerabilità rappresentano un grave rischio, perché gli utenti non hanno modo di proteggersi finché il bug non viene scoperto e corretto. In mani sbagliate, un exploit 0day può portare all’accesso non autorizzato, al furto di dati o all’installazione di malware sul sistema della vittima.
Secondo quanto emerso nel forum underground exploit.in, è attualmente in vendita un exploit 0day che colpisce due dei software di archiviazione più utilizzati al mondo: WinRAR e WinZIP.
Il tipo di vulnerabilità è una RCE (Remote Code Execution), cioè, permette a un attaccante di eseguire codice dannoso a distanza sul computer della vittima.
In pratica, basta che l’utente apra un archivio ZIP o RAR infetto per attivare l’exploit. Non è necessario installare nulla né cliccare su link sospetti: l’apertura del file è sufficiente a compromettere il sistema.
L’annuncio sul forum è stato pubblicato da un utente chiamato zeroplayer, che offre l’exploit per una cifra tra gli 80.000 e i 100.000 dollari. Il venditore dichiara che si tratta di un bug non ancora noto pubblicamente, quindi non legato a CVE noti.
Il metodo più usato è l’e-mail di phishing. Un attaccante invia un messaggio che sembra legittimo, con un allegato ZIP o RAR apparentemente innocuo. La vittima, pensando di aprire un semplice documento o immagine compressa, attiva involontariamente l’exploit RCE integrato nell’archivio.
Questo tipo di attacco è particolarmente insidioso perché non richiede interazioni sospette: l’utente non deve fare altro che aprire l’allegato. Da quel momento, il sistema può essere infettato con malware, ransomware, o persino una backdoor che permette all’attaccante di controllare il computer da remoto.
Vista la diffusione globale di WinRAR e WinZIP, questo exploit può essere usato in campagne mirate contro aziende, enti pubblici e utenti comuni, con altissimi tassi di successo.
Exploit.in è uno dei forum underground più noti nel mondo del cybercrime. Si tratta di una piattaforma chiusa, accessibile solo su invito o tramite registrazione a pagamento, dove si scambiano malware, dati rubati ed exploit 0day come quello segnalato.
Il venditore di questo specifico exploit per WinRAR e WinZIP, noto come zeroplayer, è un utente nuovo, senza una reputazione verificata. Non ha ancora concluso transazioni certificate tramite il sistema interno chiamato Garant, un meccanismo di intermediazione usato per ridurre il rischio di truffe tra criminali.
Anche se l’annuncio potrebbe essere autentico, la mancanza di credenziali rende difficile capire se si tratta di una minaccia reale o di una truffa ben confezionata per guadagnare sfruttando la paura di una vulnerabilità critica.
Anche se non esiste ancora una patch per questa vulnerabilità 0day, ci sono alcune buone pratiche per ridurre il rischio:
Questa vicenda dimostra quanto sia importante non sottovalutare i software di uso quotidiano. Anche strumenti semplici come i programmi per aprire file compressi possono diventare veicoli di attacco avanzati, se trascurati.
Per proteggere davvero i tuoi sistemi, affidati a SitoWebSicuro.com. Richiedi subito una valutazione gratuita del tuo livello di protezione: la tua sicurezza non può aspettare.
Fonte: RedHotCyber.com
