Informatica Generale, Microsoft, ransomware, Sicurezza Informatica

Attenzione : Vulnerabilità di Internet Explorer

by Daniele Quattrini

Se siete dei fedeli utilizzatori del browser Internet Explorer allora leggete attentamente le righe che seguono: è infatti da qualche giorno sempre più frequente il rilevamento di  cyber-attacchi volti alla compromissione di client di rete per via dello sfruttamento di alcune vulnerabilità all’interno di Internet Explorer.

La criticità in questione è nota con l’identificativo CVE-2018-8373.

A seguito della pubblicazione dei dettagli tecnici relativi alla problematica, sono stati registrati tentativi di attacco  (rif. https://blog.trendmicro.com/trendlabs-security-intelligence/new-cve-2018-8373-exploit-spotted/) di varia natura che mirano a sfruttare delle lacune nel motore VBScript all’interno delle recenti versioni dei browser web Microsoft. La pericolosità di questa vulnerabilità risiede nella limitata interazione utente richiesta: un eventuale attaccante di rete può essere in grado di eseguire codice arbitrario sulla macchina vittima a seguito della sola navigazione su siti web compromessi o malevoli. Ciò significa che la vulnerabilità è silente e l’utente può trovarsi compromesso pur solo navigando sul sito sbagliato.

La criticità è stata sfruttata all’interno della serie di exploit “Double Kill” (rif. in lingua originale https://ti.360.net/blog/articles/analyzing-attack-of-cve-2018-8373-and-darkhotel/ ) operati dall’attore malevolo “Dark Hotel” in ambito cyber-espionage (rif. Early Warning N040518), oltre che in recenti campagne di propagazione di varianti malware RAT/Quasar.

Il Produttore ha trattato la problematica in un apposito bollettino di sicurezza pubblicato lo scorso Agosto ( rif. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8373)  dove sono stati resi disponibili aggiornamenti di sistema per i browser Internet Explorer 9, 10 e 11.

Le circostanze recentemente osservate, la tipologia di vulnerabilità ed il suo abuso da parte di più attori malevoli, suggeriscono un crescente rischio di tentativi di compromissioni facenti uso di schemi di attacco di tipologia “Watering Hole”, “Malvertising” ed “Exploit-Kit”.

A questo proposito si suggerisce  caldamente di verificare lo stato di aggiornamento del Vostro parco macchine Microsoft.

Come consueto per eventuali approfondimenti o necessità contattatemi pure.

ransomware, Sicurezza Informatica

Nuova Campagna di attacco -“Trojan/Gootkit”

by Daniele Quattrini

Con la presente desidero informarvi relativamente al rilievo di una nuova campagna di attacco rivolta a molteplici Organizzazioni ed Aziende italiane. I tentativi di compromissione sono caratterizzati dall’invio di email fraudolente che simulano comunicazioni legate a documentazione di bolle di spedizione.

All’interno delle email recapitate è presente un collegamento ad un archivio compresso “Nuova immagine bitmap (2).zip” contenente uno script eseguibile Javascript malevolo. Una volta eseguito, lo script è in grado di ingannare l’utente simulando l’apertura di un reale documento pdf, tuttavia nel frattempo procede all’installazione di malware della famiglia Trojan/Gootkit: minaccia in grado di intercettare comunicazioni effettuate dall’host infetto, smartcard inserite e digitazioni utente.

Porzione di Codice

Figura 1.  Porzioni di codice dell’impianto Gootkit estratti in sede di analisi

Si consiglia infine di mantenere alto il livello di consapevolezza aggiornando periodicamente, informasi sullo stato delle minacce in corso e consultare un team di esperti per salvaguardare la sicurezza del proprio “cyber”.

Microsoft, ransomware, Sicurezza Informatica

Alert dalla Polizia Postale (fonte diretta)

by Daniele Quattrini

Ricevo e riporto dal servizio di allerta nazionale della Polizia Postale:

Livello di Allerta Giallo

“ È in corso massiva attività di spamming a scopo estorsivo con l’invio di e-mail in cui gli utenti vengono informati dell’ hackeraggio del proprio account di posta elettronica ad opera di un gruppo internazionale di criminali.

Secondo tali missive l’account sarebbe stato hackerato attraverso l’inoculamento di un virus mentre venivano visitati siti per adulti. Da qui scaturisce la minaccia di divulgare pubblicamente il tipo di siti visitati e la conseguente richiesta di denaro in criptovaluta.

ATTENZIONE, nulla di tutto ciò è reale: rappresenta  un’invenzione dell’autore del reato, elaborata al solo scopo di gettare nel panico ed indurrei a pagare la somma illecita.

Ecco dunque alcuni consigli su come comportarsi:

  • Mantenere la calma: Il criminale non dispone, in realtà, di alcun filmato né, con tutta probabilità, delle password dei profili social da cui ricavare la lista di nostri amici o parenti;
  • Non pagare assolutamente alcun riscatto: l’esperienza maturata con riguardo a precedenti fattispecie criminose (come #sextortion e #ransomware) dimostra che, persino quando il criminale dispone effettivamente di nostri dati informatici, pagare il riscatto determina quale unico effetto un accanimento nelle richieste estorsive, volte ad ottenere ulteriore denaro
  • Proteggere adeguatamente la nostra email (ed in generale i nostri account virtuali)

                       – cambiare  – se non si è già provveduto a farlo – la password, impostando password complesse;

                       – non utilizzare maila stessa password per più profili;

                       – abilitare, ove possibile, meccanismi di autenticazione “forte” ai nostri spazi virtuali, che associno all’inserimento della password, l’immissione di un codice di sicurezza ricevuto sul                             nostro telefono cellulare.

Tenere presente che l’inoculazione (quella vera) di virus informatici capaci di assumere il controllo dei nostri dispositivi può avvenire soltanto se i criminali informatici abbiano avuto disponibilità materiale dei dispositivi stessi, oppure qualora siano riusciti a consumare, ai nostri danni, episodi di phishing informatico: è buona norma quindi non lasciare mai i nostri dispositivi incustoditi (e non protetti) e guardarsi dal cliccare su link o allegati di posta elettronica sospetti.”

FONTE: www.commissariatodips.it

LINK DIRETTO DEL COMUNICATO : qui

Linux, Microsoft, ransomware, Sicurezza Informatica

Una nuova minaccia Xbash colpisce l’Europa

by Daniele Quattrini

Importante novità in campo “Corporate Security”  relativamente ad una nuova pericolosa ondata di attacchi in grado di creare gravi disservizi ai sistemi bersaglio.

I cyber attacchi sono originati da una particolare minaccia malware nota come “Xbash”, potenzialmente legata al gruppo criminale “Iron Group”, la quale presenta caratteristiche di grande virulenza e capacità di autopropagazione cross-piattaforma sia all’interno di sistemi Linux che Windows.

Ricercatori di terze parti hanno individuato varie tipologie di capacità offensive all’interno del codice dell’impianto malevolo, come la capacità di utilizzare exploit per propagarsi sui sistemi sfruttando software vulnerabili presenti al loro interno. Ad esempio Xbash risulta in grado di sfruttare criticità in servizi software come:

  • “Hadoop YARN”  ( vulnerabilità RCE risalente al 2016 nel Resource Manager di Hadoop YARN) ;
  •  “Redis”  ( vulnerabilità risalente al 2015 in grado di permettere scritture arbitrarie ed RCE non autenticati );
  • “ActiveMQ” (vulnerabilità in grado di permettere scritture arbitrarie sul sistema)

Oltre allo sfruttamento di queste vulnerabilità, l’impianto malware è in grado di effettuare scansioni di rete attive ed effettuare attacchi di tipo bruteforce con credenziali di default sui servizi di rete VNC, Rsync, MySQL, MariaDB, Memcached, PostgreSQL, MongoDB, e phpMyAdmin.

La grande pericolosità della minaccia risiede nelle azioni malevole perpetrate a seguito di una propagazione dove, oltre ad installarsi persistentemente sul sistema tramite Cronjob Linux o Windows Startup item, è il grado di:

  • Cancellare i dati all’interno dei database acceduti e richiedere riscatto in bitcoin (Fake Ransomware)
  •  Scaricare malware di tipo Trojan/Cryptominer per sfruttare la capacità computazionale dell’host vittima, causando forti rallentamenti (Windows)
  •  Scaricare malware di tipo Trojan/Ransomware in grado di rendere inutilizzabili dati e file presenti all’interno della macchina infettata (Windows)

E’ stata inoltre osservata la presenza di capacità di propagazione in rete LAN all’interno del codice della minaccia, tuttavia queste funzionalità risultano disabilitate nelle versioni al momento circolanti.

 

Porzione di Codice

Consiglio vivamente di verificare lo stato di vulnerabilità e di configurazione di eventuali servizi bersaglio esposti su internet, di pianificare l’installazione degli aggiornamenti e l’applicazione di policy di sicurezza per gli account configurati su di essi. In secondo luogo si suggerisce di estendere le attività di patching anche agli host non direttamente esposti su internet, in quanto future ondate potrebbero includere capacità di propagazione attraverso la rete interna.

Informatica Generale, Microsoft, Sicurezza Informatica

Importanti Aggiornamenti di Sicurezza nel “Patch Tuesaday” di Settembre

by Daniele Quattrini

Nel breve articolo desidero portare all’attenzione il rilascio di importanti aggiornamenti di sicurezza per Prodotti e Sistemi Operativi Microsoft.

All’interno del pacchetto “Patch Tuesday” di Settembre 2018 sono infatti presenti mitigazioni per gravi vulnerabilità che possono permettere compromissioni con limitate interazioni utente, causare disservizi e malfunzionamenti, ed ottenere privilegi di sistema sulle macchine vittima di attacchi, in dettaglio:

  • CVE-2018-8440, vulnerabilità nelle funzionalità di Advanced Local Procedure Call (ALPC) del componente di sistema Task Scheduler in edizioni Windows da 7 a 10, incluse versioni server. La criticità è correntemente sfruttata da attori malevoli per ottenere privilegi amministrativi all’interno delle macchine bersaglio (e.g. minaccia “PowerPool”).
  • CVE-2018-8475, vulnerabilità presente nelle funzioni di gestione dei file di tipo immagine, con la quale un attaccante può essere in grado di eseguire codice arbitrario sulla macchina bersaglio. L’interazione utente necessaria allo sfruttamento della criticità è limitata in quanto è sufficiente l’apertura di immagini appositamente create, ad esempio inviate tramite email o caricate a seguito di navigazione web su portali compromessi.
  • CVE-2018-8457, vulnerabilità dello Scripting Engine di Microsoft, con la quale un attaccante può essere in grado di corrompere la memoria ed eseguire codice arbitrario. La criticità è potenzialmente sfruttabile da “Exploit-Kit” per infettare le vittime durante la navigazione, oppure in appositi controlli ActiveX inseriti in documenti Office malevoli.
  • CVE-2018-8409, vulnerabilità di tipo Denial-of-Service all’interno di componenti del framework .NET Core 2.1 ed ASP.NET Core 2.1. La criticità può essere sfruttata attraverso l’interazione remota e non autenticata con il componente “System.IO.Pipelines”.

Figura 1. Vulnerabilità del Patch Tuesday Settembre 2018 con dettagli pubblici (Fonte:TheZDI)

 

A questo proposito consiglio caldamente di pianificare l’installazione degli aggiornamenti di sicurezza resi disponibili dal Produttore all’interno del parco macchine Microsoft gestito presso le Vostre infrastrutture e di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso.