Două fişiere excel, o vulnerabilitate „zero-day” şi o reţea prost configurată

Mediatizatul caz de hacking de la RSA Security a fost cauzat de două fişiere Excel trimise prin mail unor angajaţi ai acestei firme. Fişierul Excel ce purta denumirea “2011 Recruitment Plan.xls”, a fost deschis de unul din angajaţi pe unul din computerele companiei. Fişierul exploata o vulnerabilitate de tipul “zero-day” (nedescoperită) în Adobe Flash.

Pe computer-ul pe care a fost deschis fişierul, a fost instalată o versiune a utilitarului de administrare de la distanţă Poison Ivy. Folosind acest utilitar, atacatorii au extras datele de autentificare ale utilizatorilor precum şi alte date confidenţiale, care apoi au fost arhivate, parolate şi trimise pe Internet via FTP folosind server-ul de fişiere al RSA Security.

Din moment ce s-a reuşit instalarea utilitarului Poison Ivy pe unul din sisteme informatice din reţeaua internă a RSA Security, precum şi accesarea fişierelor sistem ce memorau datele de autentificare ale celorlaţi utilizatori, rezultă faptul că această reţea a fost greşit configurată. În mod normal, accesarea fişierelor ce memorează datele de autentificare ale utilizatorilor nu poate fi făcută decât de acei utilizatori ale căror conturi le reprezintă sau de către utilizatorii cu drepturi administrative, fapt ce ne poate duce la ideea că acea persoană care a deschis fişierul Excel chiar avea drepturi administrative . De asemenea, conectarea la Internet a unei reţele informatice ce procesează informaţii deosebit de sensibile se dovedeşte fi fost o greşeală majoră.