Vai al contenuto

La “mitigazione degli exploit” ha subito una battuta d'arresto intorno al 2008. Gli attacchi, invece, no.

L'intelligenza artificiale trasforma un bug corretto in un exploit funzionante nel giro di poche ore. Perché la mitigazione degli exploit sugli endpoint ha subito una battuta d'arresto nel 2008 e come si presenta oggi un livello di mitigazione attivo per default.

Mark Loman

Il fulcro del mio ultimo articolo era un'asimmetria. Un attacco può svilupparsi in due passaggi oppure in venti, ma il "vocabolario" da cui attinge non si amplia mai. Lo stesso ristretto insieme di elementi fondamentali (memoria eseguibile, flusso di controllo, manipolazione dei processi, accesso alle credenziali, cifratura) è tutto ciò di cui qualsiasi attacco abbia mai avuto bisogno. Proteggi questo insieme di elementi e la forma dell'attacco smette di avere importanza.

Da allora, due sviluppi hanno reso il quadro ancora più chiaro. Il primo ha quantificato la velocità con cui si sta muovendo il fronte degli attaccanti. Il secondo ha mostrato come l'intero settore, comprese le stesse aziende che sviluppano modelli di intelligenza artificiale, stia convergendo verso la risposta che Sophos costruisce da anni.

Insieme, questi due aspetti mettono in luce un divario scomodo: la risposta su cui oggi tutti sembrano concordare non è quella che la maggior parte dei prodotti offre realmente.

Il nuovo dato: da N-day a N-hour

A giugno, il team di red teaming di Anthropic ha pubblicato uno studio sulle vulnerabilità N-day, ossia quelle falle che sono già state corrette tramite patch ma rimangono comunque sfruttabili sui sistemi che non hanno ancora applicato l'aggiornamento. Disponendo unicamente delle patch pubbliche, il modello Mythos è riuscito a trasformarle in exploit funzionanti: otto exploit per l'esecuzione di codice ricavati da 18 patch di Firefox e otto catene complete di escalation dei privilegi ottenute da 21 patch del kernel di Windows.

Nel caso di una vulnerabilità di Firefox, il modello ha generato un exploit funzionante in meno di un'ora. Il browser corretto, invece, ha impiegato 18 giorni per raggiungere gli utenti. La conclusione di Anthropic è chiara: il termine N-day" è diventato pericolosamente fuorviante. "N-hour" descrive ormai molto meglio la realtà.

L'intervallo di tempo tra il rilascio di una patch e il momento in cui quella patch protegge effettivamente un sistema si misura ormai in ore.

È significativo notare che il laboratorio abbia condotto la valutazione utilizzando jsshell, il motore JavaScript standalone che opera al di fuori della sandbox del browser e dei meccanismi di mitigazione dei processi, scelto per rendere la verifica degli exploit più semplice e affidabile. Questa scelta conferma implicitamente un punto fondamentale: sono proprio le mitigazioni a trasformare uno sfruttamento affidabile in uno sfruttamento inaffidabile. Rendere l'exploit inaffidabile è precisamente il compito di questo livello di protezione.

Leggi tutto l’articolo: https://www.sophos.com/en-us/blog/sophos-exploit-mitigation