Joshua CybeRisk Vision ha rilasciato lo scorso luglio una funzionalità, denominata Zero-Day Monitor, che sta dimostrando la sua efficacia nel rilevare tempestivamente le vulnerabilità che vengono sfruttate ( exploiting ), anche non pubblicamente.

Joshua intercetta in tempi estremamente ridotti gli annunci di zero-day, rendendone disponibili i dettagli agli specialisti di Intelligence del Defence Threat Center di Almaviva.

Ogni nuovo zero-day viene dunque intercettato automaticamente e tramite le azioni di arricchimento degli specialisti, viene prodotto un bollettino con la descrizione della minaccia, la vulnerabilità, il suo impatto, gli eventuali Indicatori di Compromissioni (IoC), le Remediation, e se non disponibili quest’ultime, i workaround per mitigare la problematica.

Joshua ha anticipato il prezioso lavoro svolto dal team di Intelligence del CSIRT Nazionale, comunicando di recente lo sfruttamento sui prodotti di Microsoft Exchange di due nuove vulnerabilità zero-day, ancor prima anche dell’assegnazione del codice identificativo CVE, informando i propri Clienti, che tempestivamente hanno potuto mitigare i rischi presenti sul prodotto Microsoft più diffuso al mondo per i servizi aziendali di posta elettronica

Di seguito si riporta la specifica timeline:

Orario Evento
03:00 Exploiting zero-day di tipo RCE su Microsoft Exchange
08:00 Joshua segnala l’evento
10:25 Gli specialisti del Defence Threat Center di Almaviva inviano il bollettino di dettaglio completo di IoC e Workaround
13:25 CSIRT Nazionale pubblica la notizia

Le vulnerabilità specifiche, collettivamente identificate con ProxyNotShell, consentono sia di falsificare le richieste lato server, vulnerabilità denominata SSRF (Server Side Request Forgery), permettendo l’elevazione di privilegi dell’utente che eseguire codice da remoto, vulnerabilità denominata RCE (Remote Command Execution), sui prodotti Microsoft in uso dalle primarie aziende sia italiane sia internazionali.

La rapidità della segnalazione, che ha anticipato di oltre 5 ore l’ente governativo preposto, seppur in assenza di CVE e di patch ufficiali, ha consentito agli amministratori di sistema dei Clienti di conoscere le azioni possibili per impedire che utenti malintenzionati tramite Internet potessero sfruttare illegittimamente il servizio di posta elettronica vulnerabile.

Inoltre, è stato segnalato ai propri Clienti anche come individuare un servizio che fosse già stato compromesso nei minuti o nelle ore precedenti, utilizzando le funzionalità di sistema (Powershell) comunemente presente in tutti i dispositivi Windows.

Un’ampia panoramica delle funzionalità di Joshua è disponibile nella sezione “Solution” del sito www.cyberiskvision.com.

È possibile verificare parte delle potenzialità di Joshua accedendo alla versione Joshua Community Edition che permette a qualsiasi utente di monitorare in tempo reale lo stato di sicurezza della propria postazione di lavoro con il servizio on-line CheckMe.