Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 25 Gennaio 2024 15:37
Autori: Jaime Duque, Bobby Dean, Alex Merriam, Damon Duncan e Nicolas Zilio di CrowdStrike
Siamo ben consapevoli dell’effetto devastante che possono avere gli insider quando utilizzano il loro accesso e le loro conoscenze per colpire la propria azienda. Questi incidenti possono provocare ingenti danni monetari e di reputazione. Le entità piccole e grandi, in tutti i settori, possono essere vittime di minacce insider.
Gli incidenti che coinvolgono la cybersecurity causati da insider sono sempre più frequenti – e più costosi: un rapporto del Ponemon Institute afferma che il numero di eventi di cybersecurity causati da minacce interne è aumentato del 44% dal 2020 al 2022. Il costo medio per incidente doloso e non doloso è salito rispettivamente a 648.000 USD e 485.000 USD. Questi incidenti possono anche provocare danni al marchio e alla reputazione che, pur essendo difficili da quantificare, hanno un impatto significativo.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Ai fini di questo articolo, per insider threat si intende un individuo con il potenziale di utilizzare – intenzionalmente o meno – il proprio accesso per compromettere la riservatezza, l’integrità o la disponibilità delle informazioni o dei sistemi informatici dell’azienda. In questo contesto, un utente non autorizzato che sfrutta un exploit di escalation privilegiato per ottenere le autorizzazioni necessarie a cancellare i registri di rete o a nascondere le proprie attività sulla tastiera, rappresenta un esempio di minaccia insider intenzionale. Al contrario, un individuo che ha il permesso di utilizzare gli exploit nell’ambito delle proprie mansioni, ma che inavvertitamente utilizza il computer/sistema sbagliato o non segue le procedure operative standard per la gestione della sicurezza, rappresenta un esempio di minaccia insider inconsapevole.
Dal 2021, CrowdStrike Intelligence ha osservato come le minacce interne raggiungano i loro obiettivi attraverso lo sfruttamento di vulnerabilità conosciute. Sebbene queste attività siano difficili da rilevare, non è tutto rose e fiori. Un’analisi dei casi noti basata sull’intelligence, mostra che molte azioni difensive utilizzate per rilevare e limitare le intrusioni mirate e gli attacchi di eCrime sono efficaci anche per fermare le attività delle minacce interne, date le sovrapposizioni tra vulnerabilità e attività successive allo sfruttamento. Falcon Complete può aiutare a rilevare e contenere queste minacce, proteggendo i clienti sia dalle minacce interne che dagli avversari esterni.
CrowdStrike Counter Adversary Operations e CrowdStrike Falcon Complete hanno analizzato gli incidenti da gennaio 2021 ad aprile 2023 per dedurre le vulnerabilità più diffuse e sfruttate senza autorizzazione dagli utenti interni nel loro ambiente aziendale. Si tratta di una valutazione qualitativa ad alta affidabilità basata su comportamenti osservati coerenti con lo sfruttamento tentato o riuscito in base ai dati degli incidenti di Falcon Complete. Questi incidenti rientrano in due grandi categorie:
Pur trattando di vulnerabilità specifiche, questo articolo non intende identificare in modo definitivo tutte le vulnerabilità potenzialmente collegate alle attività di insider threat. A seconda del bersaglio e degli obiettivi prefissati, altre vulnerabilità con exploit proof-of-concept pubblici potrebbero perseguire obiettivi simili.
Il sorpasso dell’autorizzazione è la fase intermedia tra l’accesso iniziale e il raggiungimento dell’obiettivo effettivo durante un’intrusione informatica. È considerata una fase critica nella catena di attacco, poiché molte delle fasi successive, come l’elusione della difesa e la manipolazione di programmi/sistemi sensibili, richiedono un livello di accesso elevato. Questo è importante per gli insider che di solito hanno un accesso di basso livello all’ambiente di destinazione.
Un insider che aumenta il proprio livello senza autorizzazione sta abusando del proprio accesso e, come minimo, sta cercando di aggirare il principio del minimo privilegio (POLP). Secondo questo principio, agli utenti vengono concessi solo i permessi minimi necessari per svolgere i compiti loro assegnati. Il POLP è ampiamente considerato una delle pratiche più efficaci per rafforzare la sicurezza informatica di un’azienda e consentire di controllare e monitorare l’accesso alla rete e ai dati.
Il 55% degli episodi di minaccia insider identificati da CrowdStrike Counter Adversary Operations riguardava tentativi di escalation dei privilegi locali (LPE) per supportare azioni successive. Ad esempio, gli insider hanno cercato di ottenere privilegi più elevati per scaricare software non autorizzati, rimuovere prove forensi o risolvere i problemi dei sistemi IT. Tentando di aumentare il livello di accesso, questi utenti interni hanno introdotto, volontariamente o meno, un rischio nella loro rete e, di conseguenza, questi incidenti rientrano nell’ambito della minaccia insider, indipendentemente dall’intento malevolo (cfr. Figura 1).
Questi incidenti hanno sfruttato sei vulnerabilità ben note che hanno un codice proof-of-concept (POC) di exploit pubblicamente disponibile su GitHub e sono incluse nel catalogo delle note vulnerabilità sfruttate (KEV) della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti. L’ampia gamma di vulnerabilità utilizzate evidenzia il gran numero di potenziali vettori di attacco e l’ampiezza della superficie di attacco.
| CVE Number | CVE Name | Targeted OS | In CISA KEV |
| CVE-2017-0213 | Windows Component Object Model (COM) Elevation of Privilege Vulnerability | Windows | Yes |
| CVE-2022-0847 | Linux Kernel Privilege Escalation Vulnerability (aka DirtyPipe) | Linux | Yes |
| CVE-2021-4034 | Polkit Out-of-Bounds Read and Write Vulnerability (aka PwnKit) | Linux | Yes |
| CVE-2019-13272 | Linux Kernel Improper Privilege Management Vulnerability | Linux | Yes |
| CVE-2015-1701 | Microsoft Win32k Privilege Escalation Vulnerability | Windows | Yes |
| CVE-2014-4113 | Microsoft Win32k Privilege Escalation Vulnerability | Windows | Yes |
Table 1. Vulnerabilities observed being leveraged by insiders to escalate privileges
All’inizio di aprile 2023, CrowdStrike Falcon Complete ha rilevato e bloccato il tentativo di un utente interno di sfruttare una vulnerabilità di sorpasso delle autorizzazioni del Component Object Model (COM) di Windows (CVE-2017-0213) presso un’azienda di vendita al dettaglio con sede in Europa occidentale. In particolare, l’utente interno ha sfruttato l’applicazione di messaggistica WhatsApp per scaricare un exploit mirato a CVE-2017-0213 nel tentativo di sorpassare le autorizzazioni e installare l’applicazione di file-sharing uTorrent e giochi non autorizzati.
Lo sfruttamento di CVE-2017-0213 consente a un utente autenticato di eseguire un codice arbitrario con privilegi elevati. Da aprile 2022, CrowdStrike Falcon Complete ha rilevato altri sei incidenti che coinvolgono utenti interni che hanno tentato di sfruttare CVE-2017-0213 per condurre attività successive non autorizzate. In particolare, a fine luglio 2022, un dipendente licenziato di una società di media con sede negli Stati Uniti ha tentato senza successo di sfruttare questa vulnerabilità per condurre attività non autorizzate.
I restanti casi hanno coinvolto utenti interni che hanno sfruttato cinque vulnerabilità di sorpasso delle autorizzazioni per ottenere privilegi elevati e condurre operazioni successive non autorizzate. In particolare, a metà luglio 2022, un utente interno di una società tecnologica con sede in Australia ha tentato di eseguire un exploit per CVE-2021-4034 (PwnKit) per ottenere diritti amministrativi e risolvere i problemi del proprio computer host. Inoltre, a metà ottobre 2022, un utente interno di un’azienda tecnologica con sede negli Stati Uniti ha sfruttato CVE-2015-1701, una vulnerabilità di sorpasso delle autorizzazioni di Microsoft Win32k, per ottenere le autorizzazioni necessarie ad aggirare i controlli interni e consentire l’installazione non autorizzata di una macchina virtuale Java.
Il 45% degli incidenti legati a minacce insider identificati da CrowdStrike Counter Adversary Operations ha coinvolto insider che hanno involontariamente introdotto rischi nel loro ambiente scaricando exploit non autorizzati o scaricando altri strumenti di sicurezza offensivi a scopo di test o formazione. In questi incidenti, gli insider, che potrebbero essere responsabili dell’utilizzo di exploit e di strumenti offensivi nell’ambito delle loro normali mansioni, hanno involontariamente introdotto rischi nel loro ambiente non seguendo le procedure di gestione sicura (cfr. Tabella 2). Ad esempio, in alcuni incidenti, gli insider avrebbero dovuto scaricare gli exploit in macchine virtuali o altri host specifici per garantire una migliore segmentazione della rete tra gli ambienti di test e quelli di produzione.
Questo può causare danni in diversi modi. Testare gli exploit su sistemi non autorizzati potrebbe interrompere le operazioni, poiché alcuni exploit potrebbero causare crash di sistema o altre azioni negative non volute. Inoltre, un avversario con un punto d’appoggio nella rete delle minacce interne potrebbe sfruttare questi exploit oppure strumenti per supportare le proprie attività dannose. Infine, il download di codice non verificato può provocare l’introduzione di backdoor o altri artefatti dannosi nella rete dell’utente interno.
Di seguito sono riportate alcune delle vulnerabilità coinvolte nei casi di minacce interne che mettono involontariamente a rischio la propria azienda.
| CVE Number | CVE Name | Targeted OS | In CISA KEV |
| CVE-2021-42013 | Apache HTTP Server 2.4.49 and 2.4.50 Path Traversal | Mac | Yes |
| CVE-2021-4034 | Polkit Out-of-Bounds Read and Write Vulnerability (aka PwnKit) | Linux | Yes |
| CVE-2020-0601 | Windows CryptoAPI Spoofing Vulnerability | Windows | Yes |
| CVE-2016-3309 | Windows Kernel Privilege Escalation Vulnerability | Windows | Yes |
| CVE-2022-21999 | Windows Print Spooler Elevation of Privilege Vulnerability | Windows | Yes |
| N/A | Metasploit Framework | N/A | N/A |
| N/A | ElevateKit | N/A | N/A |
Table 2. Vulnerabilities observed being leveraged by insiders for testing/defensive purposes
Nell’ottobre 2022, CrowdStrike Falcon Complete ha rilevato e contenuto uno script che sfruttava CVE-2021-42013 per lanciare una reverse shell Apache presso un’azienda tecnologica con sede negli Stati Uniti. Lo sfruttamento di CVE-2021-42013 consente a un aggressore non autenticato di eseguire il codice da remoto. In questo caso, l’utente interno ha sfruttato questa vulnerabilità senza autorizzazione per sfruttare un server nell’ambito di una competizione Capture-the-Flag (CTF). Questo incidente evidenzia l’importanza di definire e comunicare correttamente qualsiasi restrizione relativa a CTF ed esercizi simili nelle reti aziendali.
Altri incidenti hanno coinvolto utenti interni che hanno sfruttato singole vulnerabilità a scopo di test e/o formazione. Sebbene questi utenti – spesso in ruoli di sicurezza – siano autorizzati a testare gli exploit come parte delle loro mansioni, non erano autorizzati a condurre tale attività negli host specifici, sui quali si è attivato il sensore CrowdStrike Falcon®. Ad esempio, nel febbraio 2023, un utente interno di un’azienda tecnologica con sede negli Stati Uniti ha tentato di scaricare un exploit per CVE-2016-3309, una vulnerabilità di sorpasso delle autorizzazioni del kernel di Windows sul proprio computer aziendale invece che sul sistema approvato per questo tipo di attività (una macchina virtuale separata). Il team di Falcon Complete è stato in grado di analizzare rapidamente i registri degli eventi registrati con l’applicazione Endpoint Activity Monitoring (EAM) di Falcon per fornire un contesto aggiuntivo sul download iniziale dell’exploit CVE-2016-3309.
Da maggio 2022 a febbraio 2023, Falcon Complete ha osservato diversi incidenti che hanno coinvolto l’implementazione non autorizzata del Metasploit Framework su host Windows e Linux da parte di utenti insider. Il Metasploit Framework è un noto framework per i test di penetrazione che può essere utilizzato per lo sfruttamento, l’enumerazione, il post-exploitation e altre attività offensive. Questo strumento è comunemente utilizzato dai team di sicurezza per testare ed eseguire gli exploit, ma può anche fornire agli insider un meccanismo facilmente disponibile per condurre attività di pre- e post-exploitation. Sebbene ogni incidente sia stato valutato come correlato ad attività di test incentrate sulla difesa, la distribuzione non autorizzata del Metasploit Framework da parte di un utente interno introduce rischi per la rete aziendale.
Nel dicembre 2022, Falcon Complete ha osservato un incidente che coinvolgeva un utente interno che scaricava e metteva in scena ElevateKit, un framework per il sorpasso delle autorizzazioni comunemente utilizzato insieme a Cobalt Strike. ElevateKit registra moduli con il payload di Cobalt Strike Beacon per consentire il sorpasso delle autorizzazioni utilizzando exploit disponibili pubblicamente. Oltre a ElevateKit, l’utente ha messo in scena anche Mimikatz e PowerLurk, due strumenti comunemente utilizzati nei test di penetrazione per il dumping delle credenziali, e per stabilire la persistenza tramite Windows Management Instrumentation (WMI). Sebbene questo incidente sia stato in seguito determinato come legato alla preparazione di test di sicurezza non autorizzati, un attore di minacce potrebbe potenzialmente abusare di questi strumenti precedentemente implementati per aumentare i privilegi, spostarsi lateralmente o stabilire la persistenza.
Gli utenti interni non si limitano a sfruttare le vulnerabilità per ottenere i loro risultati. Oltre a utilizzare le proprie credenziali, le minacce interne potrebbero sfruttare altri metodi per aumentare i privilegi, eludere le difese e/o eseguire codice arbitrario. Di seguito è riportato un elenco non esaustivo di altri potenziali approcci e metodi:
La difficoltà intrinseca nell’identificare le minacce insider e la dimensione limitata del campione, precludono osservazioni definitive e dettagliate. Tuttavia, un’analisi degli incidenti e delle vulnerabilità associate alle minacce interne dal gennaio 2021 all’aprile 2023 mette in evidenza diversi fattori che possono aiutare a prevenire e rilevare future attività di minacce interne.
Molte delle vulnerabilità descritte in questo articolo sono state sfruttate anche per intrusioni mirate e di utenti legati all’eCrime. Pertanto, molte delle popolari misure di difesa in profondità applicate dai difensori della rete per rilevare e limitare le intrusioni mirate o le attività di eCrime contribuiranno a identificare e neutralizzare le minacce interne, date le analoghe sovrapposizioni nelle tattiche, tecniche e procedure osservate e nelle azioni desiderate sull’obiettivo (ad esempio, l’esfiltrazione dei dati, la distruzione dei dati e così via).
CrowdStrike Counter Adversary Operations ritiene che più della metà degli episodi di minacce insider identificati coinvolgano utenti interni che utilizzano o tentano di utilizzare exploit per sorpassare le autorizzazioni e per perseguire obiettivi successivi. Questa valutazione si basa su dati forensi disponibili e sull’attività di osservazione diretta. Sebbene non sia noto il calcolo individuale di ciascun utente per selezionare le vulnerabilità specifiche da sfruttare, le vulnerabilità scelte hanno exploit pubblicamente disponibili su GitHub e sono state sfruttate in natura. Per questo motivo, limitare o monitorare il download di exploit da GitHub e da altri repository di codice online da parte di personale che non necessita di tale accesso nell’ambito delle proprie mansioni abituali potrebbe limitare questa minaccia: limitando l’accesso a exploit pronti all’uso si può impedire alle minacce interne di eseguire attività dannose.
L’uso di vecchie vulnerabilità, alcune divulgate già nel 2015, sottolinea che queste possono rimanere utili a tutti gli aggressori (interni o esterni) fino a quando non vengono applicate le patch o limitate. Ciò è particolarmente rilevante per i sistemi interni che tendono ad avere un ciclo di patch più lento rispetto a quello dei sistemi esposti a Internet. Gli utenti interni sono ben posizionati per sfruttare le vecchie vulnerabilità di sorpasso delle autorizzazioni locali, perchè spesso possiedono già i permessi di basso livello e/o le credenziali necessarie per eseguire con successo questi exploit, e hanno una migliore conoscenza dell’ambiente host per eseguire comandi di ricognizione di base con un rischio minore, rispetto a un attaccante remoto.
Circa il 45% degli episodi di minaccia insider ha riguardato utenti abilitati a sfruttare exploit e strumenti offensivi nell’ambito delle loro normali mansioni, che hanno involontariamente introdotto rischi nel loro ambiente scaricando in modo non autorizzato exploit o altri strumenti di sicurezza offensivi. Il mancato rispetto delle procedure corrette relative alla gestione degli exploit e di altri strumenti offensivi può causare crash di sistema, o altri effetti negativi sull’ambiente host. Sebbene CrowdStrike Counter Adversary Operations non l’abbia osservato finora, un malintenzionato con un punto d’appoggio nella rete potrebbe anche sfruttare questi strumenti o exploit offensivi per le proprie operazioni.
È fondamentale patchare tempestivamente le vulnerabilità per proteggere i dispositivi aziendali. CrowdStrike Falcon Exposure Management offre visibilità istantanea e in tempo reale sulle vulnerabilità nuove ed emergenti, utilizzando la tecnologia di valutazione delle vulnerabilità integrata senza scansione con il sensore CrowdStrike Falcon®. Questa tecnologia stabilisce le priorità dei rischi in base a un modello avanzato di intelligenza artificiale, e integra le informazioni sulle minacce fornite dal team di intelligence di CrowdStrike per restituire informazioni sulle minacce di tendenza.
Le minacce interne possono anche sfruttare vettori di attacco non basati su exploit, il che suggerisce che una patch tempestiva è da sola insufficiente per affrontare le potenziali minacce. Per questo motivo è essenziale che le aziende implementino più livelli di difesa, come Falcon Complete MDR e CrowdStrike® Falcon OverWatch™ managed threat hunting.
Il team Falcon Complete monitora attivamente e corregge i comportamenti di sfruttamento e post-exploitation analizzando le caratteristiche e i comportamenti dei processi sospetti, utilizzando l’apprendimento automatico per rilevare payload dannosi, monitorando l’esecuzione di script e altro ancora. Inoltre, il servizio di threat hunting Falcon OverWatch, attivo 24 ore su 24 e 7 giorni su 7, fornisce indicatori immediati dell’attività degli attori delle minacce e dei tentativi di sfruttamento. Falcon Overwatch integra gli indicatori di compromissione (IOC) e le informazioni sulle minacce fornite da CrowdStrike Intelligence per identificare, prevenire e fornire indicazioni sulle minacce emergenti.
Anche l’analisi del comportamento degli utenti è una tecnica chiave che CrowdStrike Falcon® Complete Identity Threat Protection sfrutta per rilevare un avversario che potrebbe utilizzare credenziali rubate da un utente legittimo o identificare attività sospette da parte di un insider. Basandosi sul comportamento normale di ogni utente in base all’autenticazione e ai dati storici (ad esempio, a quali macchine l’utente accede di solito), utilizzando algoritmi avanzati e tecnologie di apprendimento automatico per classificare automaticamente gli account (utenti e server), ad esempio quelli privilegiati, furtivi, di servizio, i tipi di server come VDI e così via, e mettendoli in relazione con i possibili percorsi di attacco AD e per il sorpasso delle autorizzazioni, costruiamo profili comportamentali dettagliati per ogni entità, aiutando l’analista (e il motore di rilevamento) a capire cosa si considera un comportamento normale e cosa no. Qualsiasi deviazione da questo comportamento di base dell’utente fa scattare il rilevamento di un avversario nell’ambiente o di un insider con intenti malevoli, che può attivare risposte automatiche (avviso, autenticazione multifattoriale o blocco) in base a criteri precostituiti.
Data la natura inconsapevole di molti degli incidenti discussi in questo articolo, una formazione personalizzata (per entrambi i dipendenti nuovi ed esistenti) su come scaricare, archiviare ed eseguire in modo corretto exploit e strumenti offensivi per scopi di test e formazione potrebbe quasi certamente ridurre tali episodi in futuro. Diversi incidenti coinvolgevano nuovi dipendenti non sufficientemente informati sulle politiche specifiche dell’azienda riguardanti la gestione degli exploit e l’uso di macchine esterne/virtuali per scopi di test, suggerendo che sia di primaria importanza assicurarsi che i nuovi dipendenti, in particolare quelli in ruoli di sicurezza informatica, ricevano la formazione necessaria durante il loro processo di inserimento aziendale.
Inoltre, molti di questi incidenti sono avvenuti presso organizzazioni del settore tecnologico, suggerendo che una formazione più mirata per i dipendenti esperti in tecnologia possa contribuire a mitigare futuri episodi di questo tipo. Tuttavia, le organizzazioni dovrebbero garantire che le nuove e attuali procedure di sicurezza per prevenire questi tipi di incidenti non siano eccessivamente restrittive e ingombranti, al punto da spingere gli utenti interni a cercare modi per aggirarle.
RedazioneAncora non sono chiari i motivi che hanno causato un grave Blackout in Spagna e Portogallo nelle ultime ore. Vaste aree sono rimaste senza energia elettrica, scatenando un’ondata di speculazion...
Un’improvvisa e massiccia interruzione di corrente ha colpito la Penisola Iberica, gettando vaste zone di Spagna e Portogallo al buio e causando significative interruzioni alle infras...
Il report DarkMirror Q1 2025 di DarkLab, il laboratorio di Cyber Threat Intelligence di Red Hot Cyber, offre un’analisi dettagliata dell’evoluzione del ransomware in Italia e nel mondo. ...
Lo sviluppo di supercomputer per l’intelligenza artificiale sta entrando in una nuova orbita: in termini di scala, costi e consumi energetici e infrastrutture e megaprogetti. Uno studio condott...
Il 25 Aprile, data simbolo della Liberazione italiana dal fascismo, ci ricorda il valore della libertà, conquistata con il sacrificio di partigiani e combattenti. In un’era dominata dal di...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
