Informatica Generale, Microsoft, Sicurezza Informatica

Sicurezza : Criticità “zero days” in Internet Explorer

L’articolo di oggi tratta una criticità “zero days” riscontrata da numerosi analisti sulla rete e riguardante Microsoft Internet Explorer, per la quale è stato rilasciato un aggiornamento straordinario per via della condizione di rischio a cui espone i client in rete. La criticità è nota con l’identificativo CVE-2018-8653 (al link il bollettino).
La problematica è causata da alcune lacune nella gestione della memoria all’interno del motore di scripting di Microsoft “jscript.dll”, che permette ad attaccanti remoti di eseguire codice arbitrario sulle macchine bersaglio a seguito della navigazione su pagine web malevole o compromesse.
Il Produttore ha confermato la problematica attraverso un apposito bollettino di sicurezza, dove risultano afflitte le versioni Internet Explorer 9, 10 ed 11 su sistemi Windows 7, 8.1, 10, Server 2008, 2012, 2016 e Windows Server 2019, confermando inoltre la presenza di campagne di attacco che sfruttano questa criticità.
A questo proposito si consiglia caldamente di pianificare l’applicazione degli aggiornamenti di sicurezza al Vostro parco macchine Microsoft e, qualora non possibile in tempi adeguati, di valutare l’applicazione delle mitigazioni temporanee suggerite dal Produttore per restringere l’accesso alla libreria vulnerabile riportati in seguito:
Restrizione accesso a “JScript.dll”
32bit cacls %windir%\system32\jscript.dll /E /P everyone:N
64bit cacls %windir%\syswow64\jscript.dll /E /P everyone:N
Ripristino accesso a “JScript.dll”
32bit cacls %windir%\system32\jscript.dll /E /R everyone
64bit cacls %windir%\syswow64\jscript.dll /E /R everyone

Informatica Generale, Linux, ransomware, Sicurezza Informatica

Malware su Mac : i riscontri

Alzino la mano tutti quelli che almeno una volta hanno sentito dire : “Beh con il Mac, non prendi i Virus”!
Beh se a me avessero dato 1€ ogni volta che ho sentito questa frase, oggi sarei ricco.
Duole infrangere questa miliare certezza su cui molti consumatori fondavano il dispiacere di dover spendere cifre astronomiche per comprarsi il sottile Pc con la mela.


Seppur benfatto macOS è un sistema operativo come un altro, è solo strutturato in modo più sicuro, ma ha anch’esso le sue debolezze.

Nell’ambito di una recente ricerca che ho condotto e approfondito ho rilevato riscontri circa la scoperta riguardante un malware per sistemi macOS distribuito mediante un sedicente programma per “crack” di Adobe Zii (suite Adobe per MAC), al momento riscontrato in due casi simili.

Ma facciamo un passo indietro, l’affermazione di inzio articolo è vera?
La risposta è No. O meglio, non è propriamente esatta, ma l’argomentazione è abbastanza strutturata e merita approfondimento:

OS X è un sistema operativo Unix-Based (bastao su Unix), tali sistemi risultano essere molto più sicuri dei sistemi Windows per la loro logica di permessi associata agli utenti.

Nei sistemi Unix-Based, ad ogni file o cartella (anche se la definizione di cartella in ambito unix non è corretta) possono essere associati 3 tipi di permessi (e la loro relativa negazione):

– Lettura: indicata con una “r”;
– Scrittura: indicata con una “w”;
– Esecuzione: indicata con una “x”.

La presenza o meno della “lettera” identificativa associa il relativo permesso. A questo va aggiunto il concetto della tripletta “UGO“: User, Group, Other.

Cerchiamo di comprenderlo con un esempio:

Il file daniele.txt presenta i seguenti campi.

Campo 1: Serve al sistema per capire se sia un File o una Directory
Campo 2: Permessi assegnati al proprietario del file
Campo 3: Permessi assegnati al gruppo (cui potranno far parte più utenti)
Campo 4: Permessi assegnati a tutti gli altri

Nel nostro esempio, sappiano che: si tratta di un file (1) , il proprietario può leggere e modificare il file (dan rw-) , gli utenti appartenenti allo stesso gruppo e tutti gli altri utenti (che non fanno parte del gruppo “staff”) possono solamente leggerlo.

Compreso questo concetto sui file, lo estendiamo a tutto il sistema operativo. Quando avviamo la prima volta il sistema operativo, andremo a creare un nostro primo utente, per definizione, questo utente sarà anche amministratore del sistema e questo vuol dire che l’utente appena creato avrà anche i permessi di modificarne i file.
Non trattandosi, però, dell’utente “root“ (super-user), il sistema richiederà di inserire la password utente per consolidare eventuali modifiche.
L’esempio più lampante della necessità di inserire la password è sicuramente Preferenze di Sistema : alcune aree, lo avrete notate, hanno un “lucchetto” che deve essere sbloccato inserendo la password.
Questo perché le modifiche avranno effetto sull’intero sistema.

Un sistema operativo Unix-Based, infatti, non permette di modificare elementi che abbiano effetti sull’intero sistema operativo, senza averne i privilegi. Questi privilegi vengono controllati inserendo, appunto, la password.

Ora che abbiamo compreso come lavora il nostro Mac, almeno se con informazioni minimali, possiamo anche capire come rispondere alla domanda iniziale: il Mac prende virus?

La risposta è Si, se l’utente non fa attenzione.

Il virus è un programma. Un programma deve essere eseguito: non importa cosa esso faccia, quando il virus viene eseguito, se va ad intaccare componenti di sistema operativo, OS X richiederà la password dell’utente amministratore.
Alcuni malware non intaccano tutto il sistema operativo: in questo caso, purtroppo, non verrà richiesta nessuna password, in quanto siamo già autenticati per poter lavorare su tutti i file ed impostazioni afferenti al nostro utente.

Fatto questo doveroso escursus torniamo ai due casi di malware su macOS riscontrati:

Nel primo caso si tratta di un documento *.docm (file di Word con Macro) che si presenta come testo estratto da un “BitcoinMagazine”. Le macro malevole ivi contenute sono capaci di aggirare le restrizioni delle sandobox di macOS e di scaricare mediante uno script in Python una backdoor Meterpreter.

L’altro caso riguarda un’applicazione che si spaccia per un Messenger adottato da giocatori online, chiamato Discord. Di fatto l’applicazione non fa nulla per trarre in inganno le vittime; una volta aperta, avvia lo script Automator che decodifica un payload in Python capace di rubare screenshot. Nel suo codice è contenuto anche il setup della backdoor Empyre.
Tutti e tre i malware presentano alcune similitudini nel codice che tuttavia non sono sufficienti a sostenere un’attribuzione comune.

  1. Quando lanciate un programma, e questo vi chiede la password, fate sempre attenzione prima di inserirla e chiedetevi se effettivamente deve avere effetto o no su tutto il sistema;
  2. Create un secondo utente, senza privilegi di amministratore, con cui lavorare normalmente: se il virus chiederà la password, voi non potrete installarlo. Inoltre, se non dovesse chiedere la password, i danni li farà unicamente su questo utente. Basterà loggarsi con utente amministratore ed eliminare l’utente e la sua home directory;
  3. Fate attenzione cosa scaricate e da dove: conosciamo bene quali siti siano sicuri e quali meno;
  4. Attenzione alle mail: molti virus si propagano proprio tramite mail. Controllate sempre il mittente ed eventuali link (basta un semplice copia e incolla su un file di testo per vedere l’URL che richiamerà);
  5. Attivate Time Machine: male che vada potrete tornare indietro all’ultimo backup utile.

Come sempre, basta un pò di accortezza nelle cose e si eviteranno molti problemi.

Come al solito a disposizione per ogni possibile dubbio o approfonidimento.

Informatica Generale, Sicurezza Informatica

App Android viola Pay Pal

Siamo sotto le feste di Natale e come da tradizione, oltre al torrone, al Presepe e alla Messa di Mezzanotte c’è anche la forsennata corsa ai regali. Oggi con il commercio 2.0 gran parte di questa “faticata” si svolge comodamente da casa, con il proprio PC o il Smartphone virtualizzando maratone in centri commerciali e chilometriche code in cassa con pochi clic.

Questa evoluzione ha, gioco-forza, dato il via ad un nuovo modo di essere “ladro” che una volta si basava sul mischiarsi tra la folla allungando mani a destra e a manca nella speranza di finire nella tasca giusta, ma che oggi consiste nella creazione e affinamento di tecniche informatiche di alto profilo per l’accesso a dati delicati quali Carte di Credito e Account di payment services, la virtualizzazione del furto de portafoglio.

Il regalo di Natale che voglio farvi è portarvi a conoscenza che di recente è stato individuato un nuovo malware per Android (Smartphone o Tablet) che si finge un tool di ottimizzazione per la batteria ma in realtà è pensato per accedere all’account PayPal delle vittime e rubare denaro dall’applicazione, anche nel caso in cui sia stata attivata l’autenticazione a due fattori.
L’applicazione incriminata si chiama Optimization.Android ed è presente su store di terze parti; è anche in grado di lanciare attacchi overlay (coprendo cioè la schermata legittima) di Google Play, WhatsApp, Skype, Viber, Gmail, Uber, Netflix e numerose applicazioni bancarie da cui esfiltrare numeri di carte di credito e credenziali di login. La vittima non può fare nulla per liberarsi della falsa schermata se non compilare il form.
Per trasferire fondi sul conto dell’attaccante, il malware mima l’interazione dell’utente con PayPal servendosi di un accessibility service presente di default, la cui notifica viene camuffata da una richiesta urgente di verificare il proprio account. L’intera operazione, tesa a rubare l’importo di 1.000 euro, dura meno di 5 secondi, un arco di tempo così breve che non consente all’utente di bloccare la transazione.
Infine, la minaccia può anche intercettare, inviare o cancellare SMS, esfiltrare la lista contatti, fare chiamate e accedere alla lista delle app installate.