Durante l’acclamato hackathon Pwn2Own, organizzato dalla Zero Day Initiative (ZDI), sono state scoperte ben 29 nuove vulnerabilità 0-day, tra cui alcune che hanno colpito i veicoli Tesla e i principali browser web. Trend Micro ha annunciato che i suoi clienti sono protetti già 70 giorni prima il rilascio ufficiale di una patch.
Una delle maggiori sfide per le organizzazioni, nella gestione del rischio informatico, è gestire un crescente volume di minacce con le risorse di sicurezza disponibili: le società di software e i produttori di veicoli elettrici devono identificare e assegnare le priorità alle vulnerabilità da risolvere e questo comporta un numero elevato di problemi noti ma non risolti. Il tempo medio per rispondere a una vulnerabilità e sviluppare una patch è di oltre 70 giorni.
La competizione, tenutasi a Vancouver, ha visto i partecipanti mettere alla prova la sicurezza di una vasta gamma di tecnologie identificando nuove vulnerabilità in Windows, Linux, Chrome, VMware e in tecnologie molto diffuse. Tra le scoperte più significative, i ricercatori hanno individuato ben 29 vulnerabilità 0-day, per un totale di premi del valore di oltre 1.132.500 dollari. Inoltre, tutti i principali browser web sono stati compromessi.
Una delle vulnerabilità più rilevanti è stata rivelata nell’unità di controllo elettronico (ECU) della Tesla Model 3, dimostrando la possibilità di un exploit over-the-air. I ricercatori hanno anche dimostrato la prima fuga Docker in assoluto, ossia quando un utente malintenzionato è in grado di oltrepassare un container e ottenere l’accesso al sistema host.
La ZDI, che raccoglie le scoperte dei ricercatori indipendenti durante Pwn2Own e durante l’intero anno, gioca un ruolo cruciale nel fornire informazioni tempestive sulle vulnerabilità agli sviluppatori software, permettendo di conoscere e contrastare le vulnerabilità prima che i criminali informatici possano sfruttarle pienamente, fornendo un vantaggio significativo alle aziende nel mitigare i rischi di sicurezza.
Frank Dickson, Vice Presidente del Gruppo per la Sicurezza e la Fiducia presso IDC, ha sottolineato l’importanza di affrontare tempestivamente le vulnerabilità informatiche per evitare rischi aggiuntivi per le organizzazioni.
Quando una vulnerabilità viene individuata, il processo tradizionale richiede tempo per il rilascio di una patch. Tuttavia, grazie alla conoscenza approfondita delle minacce, inclusa quella ottenuta da eventi come Pwn2Own, Trend Micro può fornire ai suoi clienti patch virtuali che garantiscono una protezione continua. La ZDI scopre e divulga mediamente oltre 1.000 vulnerabilità all’anno, contribuendo così a mantenere al sicuro gli utenti e le aziende.
Alessio Agnello, Direttore Tecnico di Trend Micro Italia, ha evidenziato il ruolo cruciale dei ricercatori che partecipano a Pwn2Own nel rilevare e condividere le nuove vulnerabilità prima che possano essere sfruttate dai cybercriminali. Questo, afferma Agnello, rappresenta un elemento differenziante fondamentale per la capacità di prevenzione e intelligence sulle minacce di Trend Micro.
La scoperta e la mitigazione tempestiva delle vulnerabilità contribuiscono significativamente a ridurre il rischio informatico in tutto l’ambiente aziendale. Eventi come Pwn2Own non solo premiano i ricercatori per la loro rilevazione responsabile delle vulnerabilità, ma anche spingono l’intero settore a progredire nella lotta contro la criminalità informatica.