Gli aggiornamenti sono ancora un anello debole

La prima mossa per ridurre la superficie d’attacco nei confronti dei sistemi informatici è quella di gestire in maniera corretta (ed efficiente) gli aggiornamenti software. Una regola semplice e di comprensione immediata, che sembra però stentare a ottenere cittadinanza nella coscienza degli amministratori IT.

La conferma arriva da un avviso di Microsoft riguardante un’ondata di attacchi che sfrutta una vulnerabilità di Office per distribuire malware attraverso documenti di Word contenenti codice malevolo. Qual è la sorpresa? Il fatto che i cyber-criminali autori di questa campagna di attacchi sfruttano una vulnerabilità che Microsoft ha corretto con un aggiornamento del novembre 2017. Più di 18 mesi fa.

La falla, che fa leva su un componente chiamato Equation Editor, è per giunta tutt’altro che trascurabile. Consente infatti di avviare l’esecuzione dl malware all’apertura stessa del documento, senza che sia necessaria alcuna interazione da parte dell’utente per attivare il codice.

Il fatto che il suo utilizzo sia ancora efficace è la (ennesima) conferma del fatto che le policy in tema di aggiornamenti stentano a prendere piede, sia tra gli utenti privati, sia nel mondo aziendale. E se nel primo caso si può solo puntare su una evoluzione nella consapevolezza o di quella che nel settore ci si ostina a chiamare “cultura della sicurezza”, nel mondo aziendale questa intrinseca debolezza non ha scusanti.

Dall’introduzione di rigorose policy all’utilizzo di sistemi di patch management centralizzato, gli strumenti per arginare fenomeni come questi sono nella disponibilità delle aziende da tempo. La mancata adozione, visti anche i segnali che arrivano da vicende come questa, non può nemmeno essere considerata una semplice “imprudenza”. È pura follia.