Si parla sempre più spesso della compravendita di exlploit sul darkweb. Fanno notizia le offerte milionarie per quelli che sfruttano vulnerabilità zero-day, ossia le falle sconosciute per le quali non esitono patch o mitigazioni. In realtà questa è solo una parte del mercato nero. Come ha rivleato una ricerca condotta da trend Micro, il 22% degli exploit venduti nei forum underground ha più di tre anni.

Questo significa due cose. La prima è che se esiste un mercato dell'antiquariato dell'exploit, è perché esistono milioni di sistemi vulenrabili a queste armi, che sulla carta dovrebbero essere spuntate. Invece sono micidiali quando usate per attaccare sistemi a cui non sono state applicate le patch.

La questione non è nuova. A febbraio RiskSense aveva allertato circa il fatto che nel 2020 gli attacchi ransomware hanno sfruttato 223 vulnerabilità note. L'FBI aveva scavato ancora più indietro denunciando le 10 vulnerabilità più sfruttate negli ultimi 4 anni fra cui bug di Office, Windows, Adobe e Apache.

Il report The Rise and Fall of the N-day Exploit Market in Cybercriminal Underground rincara la dose, elencando diverse curiosità legate alle vulnerabilità e agli exploit legacy. Per esempio, l’exploit più vecchio venduto nell’underground era relativo alla vulnerabilità CVE-2012-0158, un RCE Microsoft legati al malware Dridex.
La vulnerabilità CVE-2016-5195, nota come exploit della “mucca sporca – dirty cow”, è ancora un'arma utile dopo cinque anni. Un altro grande classico senza tempo è WannaCry: nonostante gli allarmi, nel 2020 era ancora la famiglia di malware più rilevata. A marzo 2021 erano presenti oltre 700.000 dispositivi vulnerabili in tutto il mondo.

La stragrande maggioranza delle minacce elencate bersaglia Windows: il 47% dei criminali informatici ha cercato di prendere di mira i prodotti Microsoft negli ultimi due anni. È comprensibile, dato che è il sistema operativo più diffuso al mondo. Negli anni si sono succedute varie release di Windows, alcune sono già a fine vita e non più supportate: dovrebbero essere sparite dai radar, in relatà ci sono ancora migliaia di sistemi esoposti che ne fanno uso, introducendo un elevato livello di rischio.  

Qual è il problema? Come sottolinea Lisa Dolcini, Head of Marketing di Trend Micro Italia, “la validità di una vulnerabilità o di un exploit non è correlata alla disponibilità di una patch, gli exploit più vecchi sono più economici e quindi potrebbero essere più popolari tra i criminali che fanno acquisti nei forum underground. L'applicazione di patch virtuali rimane il modo migliore per mitigare i rischi di minacce note e sconosciute”.
La sostanza del messaggio è quindi chiara: sebbene gli zero-day facciano notizia e siano forieri di grandi preoccupazioni, spesso si perde di vista il problema principale, ossia che è imperativo chiudere le vulnerabilità datate, oltre che rincorrere quelle più attuali. Un modo rapido per uscire dall'impasse è affidarsi al virtual patching, basato sulla tecnologia di prevenzione delle intrusioni, che offre un modo semplice per proteggere i sistemi vulnerabili, o a fine ciclo, da minacce note e sconosciute.

Per le falle nuove, invece, la soluzione migliore è l'automazione, che sgrava i tema di security da perdite di tempo e assicura una protezione globale degli asset aziendali.