Prepariamoci a dire addio a Flash

Se mai esiste un pensiero unanime all’interno della community degli esperti di sicurezza IT, questo riguarda proprio il comune atteggiamento critico, se non negativo, nei confronti di Adobe Flash Player. Succede di rado che una campagna APT, o una campagna malevola basata sul dispiegamento degli exploit, non sfrutti proprio le vulnerabilità individuate in questo popolare prodotto software, allo scopo di realizzare il furto della proprietà intellettuale, di segreti industriali, password o dati sensibili relativi alle carte di credito. Tale situazione, che si trascina ormai da tempo, sta mettendo a dura prova la pazienza degli esperti di sicurezza informatica; non costituisce quindi motivo di particolare sorpresa il fatto che vengano colte, sempre più spesso, ripetute voci che invocano il definitivo abbandono di Flash Player.

“Flash è davvero un esempio lampante delle problematiche che possono sorgere quando si ha a che fare con del codice legacy all’interno di un’applicazione che circola ormai da tempo, – ha dichiarato Cody Pierce, responsabile della divisione di Endgame specializzata nelle ricerche riguardo alle vulnerabilità di sicurezza. – Flash offre agli utenti un ricco ambiente di sviluppo, ma la costante volontà di ampliare le possibilità esistenti genera, inevitabilmente, una diminuzione del grado di affidabilità del prodotto. In un simile contesto, che lo si voglia oppure no, si è indotti a preservare il supporto per i formati di file legacy; questo produce, purtroppo, una situazione in cui i malintenzionati possono disporre di vettori di attacco in pratica illimitati: video, audio, immagini, protocolli di vario genere ed un linguaggio di scripting realmente ricco, quale lo è, di fatto, ActionScript. Tutto questo favorisce lo sfruttamento e la ricerca delle vulnerabilità”.

La scorsa settimana, Adobe ha compiuto uno dei primi timidi passi di allontanamento da Flash, in direzione dell’HTML5; si è forse trattato, per Flash, delle prime note del canto del cigno. Lo sviluppatore ha annunciato di aver rinominato Flash Professional CC in Animate CC, disponibile dall’inizio del prossimo anno; Adobe intende affidare a quest’ultimo il ruolo di strumento principale relativamente alla creazione di contenuti HTML5. “I nostri clienti ci hanno fatto chiaramente comprendere che si attendono un ulteriore perfezionamento del pacchetto Creative Suite, volto ad estendere il supporto verso molteplici standard e formati; da parte nostra, siamo pronti a far fronte a tali esigenze”, – hanno dichiarato, attraverso il proprio annuncio, gli esponenti della suddetta società.

Adobe, tuttavia, non intende sbarazzarsi subito di Flash; essa continuerà, pertanto, a rilasciare patch di sicurezza e aggiornamenti per le funzionalità del software; allo stesso tempo, la società in questione manterrà la propria collaborazione con i principali vendor di browser – Microsoft, Mozilla e Google – allo scopo di ridurre il livello di rischio. Gli esperti, ad ogni caso, si attendono che la decisione di Adobe possa suscitare un certo clamore, vista l’effettiva presenza di un enorme numero di applicazioni legacy e di contenuti web che si basano proprio su Flash.

“Il messaggio principale contenuto nell’annuncio è che la situazione attuale rimarrà invariata a lungo, – commenta Mike Hanley, responsabile R&D presso Duo Security. – Nella migliore delle ipotesi, si tratta di aver riconosciuto il fatto che Flash, in futuro, è destinato a perdere il suo abituale ruolo di piattaforma Internet dominante. Tuttavia, vista la mancanza di una precisa timeline e di un programma ben definito riguardo al “pensionamento” di tale programma, un’elevata quantità di contenuti web e numerose applicazioni legacy continueranno a fare affidamento su piattaforme “storicamente” problematiche, quali Flash, allo scopo di raggiungere, anche negli anni futuri, un pubblico più vasto possibile”.

Nel frattempo, Flash rimarrà un bersaglio particolarmente appetibile per cybercriminali di ogni specie. Adobe, mese dopo mese, continua a rilasciare regolarmente decine di patch; si sono tra l’altro infittite anche le release di update straordinari, a seguito di ripetuti attacchi condotti nei confronti di vulnerabilità zero-day. Un caso del genere si è ad esempio verificato l’estate scorsa, quando è stato reso noto che un famoso vendor di software adibiti alla sorveglianza aveva da tempo inserito nel proprio “arsenale” alcune vulnerabilità di tipo zero-day individuate in Flash; tale società, tra l’altro, non aveva nemmeno provveduto a segnalare ad Adobe l’esistenza delle suddette falle di sicurezza. Hacking Team, ad ogni caso, non è l’unica azienda che cerca di sfruttare le debolezze di Flash a scopi di profitto. Zerodium, la nuova società creata lo scorso mese di settembre dal fondatore di VUPEN, in pratica appena comparsa sul mercato delle vulnerabilità zero-day, ha difatti annunciato che avrebbe pagato tra i 50.000 e gli 80.000 dollari per nuove vulnerabilità rilevate in Flash, ancora sconosciute.

“Considerando che un elevato numero di utenti sta ancora utilizzando player multimediali vulnerabili, i malintenzionati dispongono sempre, di fatto, di un vettore di attacco universale, – sottolinea Nick Buchholz, senior analyst della sicurezza di rete presso Damballa. – L’annuncio fatto da Adobe non è in grado di arrestare lo sviluppo di exploit destinati a Flash. Questi ultimi saranno utilizzati ancora a lungo; è in effetti alquanto improbabile che la domanda di simili “creature”, realizzate dai virus writer, accenni a diminuire”.

Mentre Adobe continua a combattere la sua giusta battaglia, Google e Mozilla, suoi partner, hanno già adottato specifiche misure per impedire il download automatico e la successiva esecuzione degli exploit nell’ambito dei browser Chrome e Firefox. “Ritengo che il progressivo abbandono di Flash sarà incoraggiato, così come in precedenza, da società terze e gruppi di lavoro i cui utenti si imbattono con maggior frequenza, rispetto agli altri, in insidiosi exploit durante l’impiego di Flash”, – suppone Mike Hanley, illustrando il punto di vista di Duo Security.

Quindi, secondo i pareri degli esperti, è lecito attendersi che gli hacker continuino a preferire le soluzioni cross-platform, quali Flash e Java. È in pratica possibile realizzare tale genere di exploit una sola volta; in seguito, risulta sufficiente adattare il codice malevolo in questione al funzionamento su diversi fronti; si può ad esempio introdurre un oggetto Flash dannoso in un documento Microsoft Office, e diffondere poi lo stesso tramite appositi messaggi di spam o di phishing.

“Sono ben convinto del fatto che Flash costituisca un bersaglio particolarmente attraente per i malintenzionati, visto che esso è supportato da tutti i browser e da tutte le piattaforme, – constata Craig Young, ricercatore di Tripwire specializzato in sicurezza IT. – La possibilità di eseguire il codice sui sistemi client rappresenta di sicuro un potente vettore di attacco, come si può vedere nel caso di Java, ActiveX e JavaScript. Tradizionalmente, Flash è presente su molti browser e numerose piattaforme; questo consente, indubbiamente, di innalzare in maniera considerevole il livello di efficacia degli exploit ad esso destinati”.

“Possiamo sicuramente attenderci che Flash conservi ancora per molti anni un’ampia base di utenti; per tale motivo, esso rimarrà una vera e propria spina nel fianco per la sicurezza degli endpoint, – continua Young. – È possibile che alcuni siti e servizi riescano a sostituire rapidamente il contenuto Flash con contenuto HTML5; Flash, ad ogni caso, continuerà a rappresentare un vettore di attacco particolarmente efficace, finché sarà supportato dai browser web più diffusi”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *