Articolo di Guido Grillenmeier, Chief Technologist di Semperis
Durante la conferenza Blackhat, il ricercatore di SafeBreach Or Yair,, ha svelato una lacuna sulla sicurezza nelle soluzioni EDR (Endpoint Detection and Response) e ha effettuato una dimostrazione. Attraverso un account non privilegiato, ha utilizzato in modo improprio diverse soluzioni EDR per mettere fuori uso le postazioni, costringendo le EDR a cancellare i dati critici degli amministratori o persino i file di sistema, rendendo così i sistemi inavviabili. A seguito della rivelazione di una debolezza critica durante la sessione BlackHat, è stato messo a disposizione un apposito tool per sfruttarla, l’AikidoWiper, su GitHub. È pertanto possibile supporre che questo strumento sia già disponibile e utilizzato dagli aggressori.
L’Aikido wiper costringe la soluzione EDR a cancellare i file per conto di un utente non privilegiato, senza malware aggiuntivo. Ciò ha conseguenze devastanti per l’azienda bersaglio: oltre ai dati distrutti, il wiper ha un impatto negativo sulle operazioni e sulla reputazione dell’azienda.
Un wiper è estremamente pericoloso se per l’eliminazione utilizza un’entità fidata del sistema, in particolare un controllo di sicurezza. In effetti, gli aggressori potrebbero prendere di mira intenzionalmente i controlli di sicurezza a causa dei loro privilegi molto elevati e del loro livello di fiducia. Con la diffusione dei wiper, diventa ancora più cruciale assicurarsi che l’EDR sia costantemente aggiornato.
La migliore difesa contro l’Aikido wiper, o qualsiasi altro attacco informatico, è prendere in considerazione che i malintenzionati abbiano già violato il proprio ambiente. Inoltre, bisogna supporre che, una volta entrati, non vorranno solo cancellare i dati su tutti i computer, ma anche possedere l’Active Directory per accedere a risorse ancora più cruciali presenti nell’ambiente.
Partendo da questo presupposto, le aziende devono concentrarsi sulla creazione di un solido piano di resilienza operativa. Un piano di questo tipo prepara meglio al recovery, nel caso in cui si verifichi il peggio, includendo tutti i sistemi critici, come Active Directory, di cui l’azienda ha bisogno per sopravvivere. Il ripristino della foresta AD sarà una parte vitale del piano di resilienza informatica di qualsiasi azienda, in quanto può ripristinare in modo pulito l’AD a seguito di disastri informatici come ransomware e attacchi wiper, anche quando i controller di dominio sono infetti o cancellati, e garantire un rapido ritorno al regolare funzionamento. Seguendo questi passaggi, le aziende potranno proteggersi a lungo dalla continua evoluzione delle minacce informatiche.