L’utilizzo di WordPress quale piattaforma CMS è uno di quelle cose che si definiscono tipicamente come uno “standard de facto”; il motore open-source per la costruzione di siti, blog e tutto quello che potete immaginare nel mondo del Web 2.0 è tra i più diffusi al mondo.

Sviluppato nel lontano 2003 in PHP con il backend dei dati realizzato mediante una istanza MySQL (ora Oracle), conta ad oggi oltre 700 milioni di siti, pari a circa il 43% del totale (stimato) del web pubblico.

Vanta tra i suoi utilizzatori alcune tra le “Fortune-500” (vedi https://wordpress.org/showcase/tag/fortune-500/), ossia le 500 più grandi aziende statunitensi così come stilate dalla periodica classifica redatta dalla rivista di settore Fortune. Tra queste ricordiamo solamente alcune aziende come Disney, Sony Music, Microsoft, ed altre certamente di grande calibro.

Purtroppo (parafrasando un altro detto) da gradi onori derivano grandi oneri, ed in questo l’onere più pesante è certamente quello di mantenere alto il livello di sicurezza del prodotto.

Compito difficile quando si ha una struttura estremamente personalizzabile mediante software di terze parti, quindi fuori dal controllo diretto. Sia chiaro: non è che il cuore del sistema CMS WordPress sia di per sé perfetto e che non soffra storicamente di limiti e problemi di sicurezza, ma è innegabile che la pletora di plug-in abbia innescato innumerevoli problemi di sicurezza, nonché una enorme difficoltà nell’analizzare le differenti condizioni di utilizzo delle componenti in uso nei siti.

Una nuova minaccia si affaccia sull’orizzonte degli utilizzatori di Microsoft Office.

La minaccia da macrovirus in ambiente Microsoft Office è ormai endemica, ma non smettono di stupire le forme sempre nuove di occultamento di questa minaccia che riescono a veicolare il vettore di attacco in casa dei malcapitati. Il metodo è sempre lo stesso: ingegneria sociale per recapitare il “pacco regalo” attraverso la posta elettronica.

Naturalmente tutto questo è noto agli strumenti ed analisti di difesa che da anni osservano il traffico di rete dei loro perimetri alla ricerca delle forme note di questa minaccia.

I formati Microsoft Office nel tempo sono mutati, ma la necessità di eseguire macro per l’automazione delle operazioni d’ufficio è rimasta coerente, pertanto è normale veder circolare, e dunque è necessario vigilare su, vecchi e nuovi formati che presuppongono l’inclusione di tali operazioni automatiche.

È dunque evidente come la questione si sia spostata ora sulle forme di occultamento più che sulla tecnologia si, tecnologia no. Tipicamente le forme di occultamento per questa minaccia erano legate alle forme del malware stesso. Ora una nuova minaccia incombe: un nuovo formato file si è dimostrato capace di veicolare la minaccia fino in casa, in barba a certa euristica e casi d’uso che prevedevano il diffondersi di tale minacce con i più canonici formati .doc, .xlts, ecc.

L’inatteso arriva da un

Abbiamo appena finito di parlarne (e aggiornare i nostri dispositivi), che ancora una volta Apple deve correre ai ripari per altre vulnerabilità zero-day, ancora una volta con obiettivo il motore WebKit per i suoi browser e naturalmente con il coinvolgimento dell’intero suo ecosistema (dagli iPhone ai dispositivi macOS). 

Come sempre accade in queste circostanze, Apple, come qualsiasi altro vendor in procinto di mitigare il rischio di uno zero-day appena svelato, non ha rilevato molti dettagli tecnici riguardo a queste vulnerabilità, così come non vi è ancora traccia documentale sul database NVD del NIST. 

Stiamo solo agli annunci relativi alle patch di sicurezza che Apple ha diffuso per i suoi dispositivi: si tratta dell’annuncio https://support.apple.com/en-us/HT213092 per i sistemi macOS (stiamo parlando dell’ultimo della famiglia, ossia la versione 12, che ha nome Monterey) e dell’annuncio per l’insieme più recente dell’ecosistema mobile di Apple (iPhone, iPad, iPod) https://support.apple.com/en-us/HT213093. 

Pur in ambienti differenti, tutti i casi citati derivano da problema che colpisce il framework WebKit, componente che gestisce la navigazione dei contenuti in questi ambienti, quindi la vulnerabilità consente la violazione semplicemente attraverso l’elaborazione di contenuti Web appositamente congegnati per il suo sfruttamento. 

In particolare la debolezza in termini di sviluppo software è la CWE-416, che indica un problema di utilizzo di memoria dopo che questa sia stata liberata (“use after free”), che

Il nome che si sente comunemente è “Virus”, ma questa è solo una delle forme che un “software malevolo” (questo il significato del nome malware) può assumere. Le forme sono in questo caso anche sostanza, sostanza che in un nome proprio (virus, worm, trojan, rootkit, keylogger, botware, adware, crimeware, ransomware, ecc) descrive il comportamento di questi programmi che hanno nel loro DNA solo intenti minacciosi verso di noi, le vittime designate. I malware in realtà intendono fornire un’arma per gli aggressori del cyberspazio per raggiungere i loro scopi: rubare informazioni, ricattarci al fine di estorcere denaro (tipicamente solo criptovaluta), spiare le nostre abitudini, rubare le nostre credenziali al fine di costruire nuove forme di aggressione, e tanto altro. Giungono a noi mediante varie forme di inganno, ovvero falsificazione (spoofing) delle forme di identità che governano a vari livelli la conversazione del cyberspazio, e per questo possono carpire la nostra buonafede e consentire loro di esistere così nei nostri computer: infatti un malware, ad oggi, viene veicolato nei nostri dispositivi tipicamente attraverso forme di comunicazione in realtà sotto il nostro controllo (quando scarichiamo programmi da siti e store) o comunque di nostro utilizzo quotidiano (come quando leggiamo la nostra posta elettronica). Proprio quest’ultimo caso è uno dei metodi di diffusione più perseguiti dagli attori di minaccia, il cosiddetto “phishing”, una strategia di diffusione di malware che come la pesca d’altura cerca di catturare con le sue reti più pesci possibile, ed in questo caso i