Informatica Generale, Microsoft, Recensioni, Sicurezza Informatica

Bye Bye Windows 7 : EOL!

Quando è stato rilasciato Windows 7, il 22 ottobre 2009, Microsoft si è impegnata a fornire 10 anni di supporto tecnico.
Questo periodo di 10 anni è ormai terminato e Microsoft ha interrotto il supporto in modo da potersi concentrare sulle tecnologie più recenti e sulle nuove user-experiences.

Il giorno specifico del fine-supporto per Windows 7 è stato il 14 gennaio 2020, data dalla quale l’assistenza tecnica e gli aggiornamenti software di Windows Update, che ti permettono di proteggere il PC, non sono più disponibili per il prodotto.

Microsoft (e non solo) consiglia vivamente di passare a Windows 10 per evitare che, in caso di bisogno, l’assistenza o il supporto non siano più disponibili.

Cosa comporta la fine del supporto ?

Come detto, dopo il 14 gennaio 2020 i PC in cui è in esecuzione Windows 7 non riceveranno più gli aggiornamenti della sicurezza, pertanto, è importante eseguire l’aggiornamento ad un sistema operativo moderno, ad esempio Windows 10, che può fornire gli ultimi aggiornamenti per mantenere i tuoi dati più sicuri.

Cosa si può fare?

Alla maggior parte degli utenti di Windows 7 conviene passare a un nuovo dispositivo con Windows 10, in virtù del fatto che i moderni PC sono più veloci, leggeri, ma anche potenti e più sicuri e con un prezzo medio considerevolmente inferiore rispetto a quelli di 10 anni fa.
E’ sicuramente possible anche effettuare l’upgrade del proprio PC a Windows 10 anche se non è da sottovalutare il salto tecnologico che in questi anni è stato abbastanza notevole.
E’ importante sapere però che l’aggiornamento del software ha un costo (quello della licenza completa del sistema operativo) e nel complesso quindi è conveniente acquistare un nuovo dispositivo, tecnologicamente al passo e con incluso il sistema operativo.

Ma l’aggiornmento gratuito?

L’offerta di aggiornamento gratuito a Windows 10 c’è stata per svariati mesi ed è scaduta il 29 luglio 2016.
Per ottenere l’aggiornamento a Windows 10 l’utente sarà costretto ad acquistare un nuovo dispositivo o, se ha un PC compatibile, una versione completa del software per aggiornare il dispositivo esistente. Il consiglio è di non installare Windows 10 in un dispositivo meno recente poiché alcuni dispositivi Windows 7 non sono compatibili con Windows 10 o potrebbero offrire una disponibilità ridotta delle funzionalità.

Che cosa accade se continuo a usare Windows 7?

Continuare ad usare Windows 7 dopo il termine del supporto, sarà possibile, ma il PC (e di conseguenza i suoi dati) sarà più vulnerabile ai rischi per la sicurezza e ai virus e non riceverà più da Microsoft gli aggiornamenti software, inclusi gli aggiornamenti della sicurezza, oltretutto piano piano anche le periferiche integrate e quelle esterne comincieranno a patire il fatto di non ricevere aggiornamenti (la maggior parte dei vendor manda gli update dell’hardware attraverso i Windows Update).

Internet Explorer continuerà a essere supportato in Windows 7?

Anche il supporto per Internet Explorer su un dispositivo Windows 7 è stato interrotto il 14 gennaio 2020.
In quanto componente di Windows, Internet Explorer segue il ciclo di vita del supporto del sistema operativo Windows su cui è installato.

Informatica Generale, Microsoft, ransomware, Sicurezza Informatica

Sicurezza delle password: le nuove regole del NIST

Nel garantire la sicurezza delle password è un errore imporre all’utente la modifica periodica e di seguire specifiche regole di scrittura (del tipo “almeno una maiuscola e un numero”).
Lo sostiene l’ultima versione delle linee guida del NIST, ma le aziende italiane ancora ignorano queste utili raccomandazioni.

Cos’è il NIST .

Il NIST è il National Institute of Standards and Technology, un’ agenzia del governo degli Stati Uniti d’America che si occupa della gestione delle tecnologie e fa parte del DoC, Department of Commerce (Ministero del Commercio).
Nato nel 1901, ha come compito istituzionale quello di sviluppare standard tecnologici, in particolare pubblica i Federal Information Processing Standard (FIPS), che definiscono gli standard obbligatori del governo statunitense.


Ovviamente gli standard definiti dal NIST non sono cogenti in Europa, tuttavia per la loro autorevolezza sono considerati un punto di riferimento a livello mondiale.


Lo sono, per esempio, tutte le pubblicazioni FIPS che definiscono gli standard di crittografia il DES (Data Encryption Standard) e l’AES (Advanced Encryption Standard), e quelle che riguardano gli algoritmi di Hash.

Le nuove regole per le password sono nella serie NIST SP 800 , un insieme di documenti che descrivono le politiche, le procedure e le linee guida del governo federale degli Stati Uniti per i sistemi e le reti informatiche.

La regola, divenuta “universale”, di obbligare gli utenti a cambiare le proprie password ogni 3-6 mesi nasce proprio nel 2003 dal NIST: tra i consigli c’era quello di creare password con tutti i tipi caratteri e di cambiarle spesso. Considerata l’autorevolezza del NIST, il manuale venne adottato in tutto il mondo e le sue regole per creare password sicure sono rapidamente diventate uno standard, ma nel 2017 il NIST ha rivisto le proprie linee guida sulla gestione delle credenziali, rimuovendo la richiesta di cambio password periodico e aggiornando i requisiti di complessità. Questo è accaduto con la pubblicazione, a giugno 2017 dell’aggiornamento NIST SP 800-63 “Digital Identity Guidelines”.

Il NIST ritiene superate quelle regole indicate nel 2003, in virtù sopratutto dell’aumento della potenza di calcolo e dell’efficacia dei software di password cracking ora in circolazione.

Inoltre, come ben noto agli addetti ai lavori, la maggior parte delle persone tende ad usare sempre le stesse tecniche di creazione delle password, per esempio – la parola “password” viene modificata – abitualmente e con scarsa fantasia – in P@ssword, PASSWORD, passw0rd, P@$$w0rd e via dicendo.
Questo rappresenta un punto debole che i criminal hacker conoscono. E che sfruttano con algoritmi di password cracking che tengono specificamente conto delle cattive abitudini degli utenti.

La pubblicazione NIST SP 800-63 è costituita da 4 documenti, quello che riporta le linee guida più utili sull’uso pratico delle password è il NIST SP 800-63B “Digital Identity Guidelines – Authentication and Lifecycle Management”.

Il cambio di orientamento che troviamo in questo aggiornamento è notevole:

  • nel cap.5.1.1.2 “Memorized Secret Verifiers”, alla pagina 14 del documento citato, leggiamo che: “Verifiers should not require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers shall force a change if there is evidence of compromise of the authenticator”.

Quindi, obbligare arbitrariamente le persone a cambiare periodicamente le password (definite “memorized secrets”) non è più considerata una pratica utile, anzi può portare l’utente ad utilizzare password banali per riuscire a ricordarle più facilmente.

In altre parole, le politiche di scadenza delle password fanno più male che bene, perché inducono gli utenti ad impostare password molto prevedibili e strettamente correlate tra loro: quindi la password successiva può essere dedotta sulla base della password precedente. Si aggiunge, tuttavia, che la password andrebbe comunque cambiata se c’è il sospetto o l’evidenza di una sua compromissione, anche perché le password, quando rubate, vengono sfruttate in tempi brevi: i cyber criminali usano quasi sempre le credenziali delle loro vittime non appena le compromettono.

La scadenza periodica della password è quindi una difesa solo contro la probabilità che una password venga rubata durante il suo intervallo di validità e venga utilizzata da un attaccante. Se una password non viene mai compromessa, non c’è bisogno di cambiarla, se si ha la prova – o il sospetto – che una password sia stata rubata, è opportuno che si agisca immediatamente piuttosto che aspettarne la scadenza per risolvere il problema.

Oggi, quindi, le linee guida più moderne suggeriscono di non obbligare l’utente a modificare frequentemente le password: tra i primi ad aver abbracciato questa impostazione c’è il National Cyber Security Centre (NCSC) della Gran Bretagna che ha aggiornato in tal senso la propria guida: “Password Guidance: Simplifying Your Approach”.

Anche Microsoft ha rinnovato la sua “Microsoft Password Guidance”, abbandonando la policy di scadenza delle password. Lo possiamo vedere nel documento rilasciato a maggio 2019 “Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903”.

Secondo quanto scritto in tale documento, Microsoft non raccomanderà più una policy che imponga agli utenti di cambiare periodicamente le loro password. E lo motiva con gli stessi argomenti usati dal NIST: “Quando gli esseri umani sono costretti a cambiare le loro password, troppo spesso fanno una piccola e prevedibile alterazione delle password esistenti e/o dimenticano le nuove password”.

Purtroppo, queste regole non sono state invece recepite dalla grande maggioranza delle aziende e dei siti – soprattutto quelli italiani, compresi i siti bancari – che continuano ad imporre il cambio periodico della password.

Nei paragrafi successivi vengono indicate altre utili linee guida, improntate al buon senso ed alla praticità d’uso.

  • La lunghezza minima per la password dovrebbe essere di almeno 8 caratteri, ma deve essere consentita una lunghezza massima di almeno 64 caratteri. E tutti i caratteri ASCII (RFC 20) dovrebbero essere accettati. È imbarazzante vedere ancora oggi molti siti che impongono lunghezze massime risibili e che addirittura non accettano i caratteri speciali. Questa limitazione, da considerarsi non più accettabile, è spesso causata dall’utilizzo di sistemi “legacy” che non permettono l’uso di password più lunghe di 8 caratteri e/o non accettano i caratteri speciali (o ne accettano solo alcuni).
  • Non dovrebbero essere imposte “regole di composizione”, come quelle che richiedono, per esempio, “un numero ed un carattere speciale”. È noto, infatti che in questi casi il pattern statisticamente più utilizzato dagli utenti è: maiuscola all’inizio, numeri e caratteri speciali in fondo. Questo serve solo a dare indicazioni all’attaccante che potrà limitare il numero di tentativi, concentrando l’attacco brute force sulle password più probabilmente usate dagli utenti.
  • Anche l’imposizione delle famigerate domande di sicurezza è deprecata dal NIST, che invita a non richiederle. Tali domande (dette “hint”, suggerimento) sono in genere di questo tipo:
Il nome del tuo primo animale?
La tua squadra del cuore?

Le risposte saranno molto banali e chi ci conosce potrebbe facilmente indovinarle.

  • Altra utile indicazione del NIST è che: “I verificatori dovrebbero consentire ai richiedenti di utilizzare la funzionalità di “incolla” quando si inserisce una password”. Questo facilita anche l’uso dei gestori di password (i password manager), che sono ampiamente consigliati e che aumentano la probabilità che gli utenti scelgano password più forti.
  • Ovviamente è anche consigliata l’autenticazione a due fattori, per la quale vengono esaminate le varie modalità disponibili. Per maggior sicurezza – e nella logica dell’autenticazione multi-fattore – lo smartphone deve essere preventivamente attivato da “qualcosa che sai” (una password di sblocco) oppure da “qualcosa che sei” (l’impronta digitale, la faccia ecc.).

Quest’ultimo non è un passaggio da sottovalutare e ci fa capire perché, con l’entrata in vigore della Direttiva (UE) 2015/2366 nota come PSD2 (recepita dall’Italia con il D.lgs. 15 dicembre 2017, n. 218), non sono più ammessi i token hardware (quelle chiavette in plastica che generavano un codice a 6 numeri) per l’autenticazione nei siti bancari: erano dispositivi non sicuri, perché potevano essere attivati senza alcun codice di sicurezza. Quindi in caso di furto o smarrimento, chiunque avrebbe potuto utilizzarli.

Microsoft

Databse Exchange smontato senza apparenti motivi : errore 665

Caso pratico occorso a un infrastruttura Exchange 2016 mono-istanza installata su una macchina virtuale Windows 2016.

Sintomo: i client di Outlook risultano disconnessi e non sincronizzati, non arrivano ne partono mail. Al contempo però la Vm Server risulta up & running, senza criticità di performance o di storage. Superati i controlli superficiali si verifica lo stato del DB tramite EMC, il DB risulta Smontato.

Per prima cosa si procede con il tentativo manuale di mount, il DB resta montato per qualche secondo poi torna in stato di errore.

A questo punto andando a seguire vari case studies sono stato fuorviato dai vari tentativi di verificare e sanificare il DB con l’eseutil, questi tentativi che ho parzialmente percorso sono risultati però inutili in quanto il problema non era nel DB; analizzando i log di sistema infatti ci si è imbattuti in questo errore :

Il log parla di errori di I/O tali da non consentire il failover e poi prosegue:

segnalando l’errore di sistema 665 – che Microsoft identifica come File System limitatiton. Piu nello specifico l’errore spiega che i DB non sono corrotti ma sono stati smontati per limitarne la crescita eccessiva determinata dalla frammentazione del file system NTFS. Esiste infatti un parametro di crescita che una volta superato provoca questo errore e di conseguenza l’impossibilità di proseguire le attività sul disco.

A questo punto, appurato la sanità dei DB e la loro consistenza, la strada unica da percorrere è la seguente :

  1. Aggiungere un nuovo .vmdk alla macchina virtuale, grande a sufficienza per contenere il DB.
  2. Stoppare tutti i servizi inerenti Exchange;
  3. Copiare tramite robocopy tutti i files contenuti nel disco delle mailbox nel nuovo disco appeso alla vm; (in questa fase ricordarsi di utilizzare l’attributo /sec per la copia sicura ) ;
  4. A copia ultimata, assegnare la lettera dell’unità del vecchio disco a quello nuovo;
  5. Riattivare i servizi inerenti a Exchange;
  6. Riavviare la vm e testare il funzionamento.

Essendo il DB sano, questa procedura dovrebbe essere efficace nel 99% dei casi. Una volta testata la ricezione/invio e la solidità del nuovo DB, è poi possibile eliminare il vecchio disco in modo da liberare lo spazio.

Informatica Generale, Microsoft, ransomware, Sicurezza Informatica

Nuova truffa “Microsoft like”

E’ in atto una nuova ondata di truffe ai danni di utenti che, navigando su normali web-site, si trovano improvvisamente davanti ad un messaggio di Warning all’apparenza proveniente da Microsoft:


“Security warning: Il tuo computer è stato bloccato. Errore #DW6VB36. Per favore chiamaci immediatamente al numero +39 0694804XXX. Non ignorare questo avviso critico. Se chiudi questa pagina, l’accesso del tuo computer sarà disattivato per impedire ulteriori danni alla nostra rete. Il tuo computer ci ha avvisato di essere stato infestato con virus e spyware. Sono state rubate le seguenti informazioni: Accesso Facebook, Dettagli carta di credito, Accesso account e-mail, Foto conservate su questo computer.
Devi contattarci immediatamente in modo che i nostri ingegneri possano illustrarti il processo di rimozione per via telefonica. Per favore chiamaci entro i prossimi 5 minuti per impedire che il tuo computer venga disattivato. Chiama per ricevere supporto: +390694804XXX.”


Falsi avvisi di questo tipo sono apparsi anche in passato e sotto altre forme. 
E’ importante sottolineare che a fronte della visualizzazione del messaggio non vi è alcun furto di dati personali né infezione da virus. Chiudendo la navigazione, infatti, il computer continua a funzionare normalmente.
Chiamando, invece, il numero indicato e seguendo le istruzioni telefoniche del presunto operatore, il computer viene messo disposizione del truffatore tramite assistenza remota consentendogli, in questo modo, di installare programmi illeciti e virus.
Il costo dell’intervento per il finto “sblocco” ammonta intorno ad un centinaio di euro.


La Polizia Postale e delle Comunicazioni raccomanda di ignorare avvisi di questo tipo anche quando esercitano una forte pressione psicologica. Se avvisi di questo tipo si ripetono costantemente, è opportuno effettuare una scansione con un antivirus aggiornato per rimuovere un eventuale malware pubblicitario (adware).
Infine, è sempre necessario installare un antivirus ed aggiornarlo costantemente su tutti i dispositivi. 
E’ bene ricordare che quando la rete presenta una situazione inaspettata, è sempre necessario documentarsi prima di prendere ogni decisione.

A disposizione per qualsiasi richiesta o chiarimento.

Informatica Generale, Microsoft, ransomware, Sicurezza Informatica

Vulnerabilità 0-day su sistemi Microsoft Windows

Nell’ottica di garantire un servizio di informazione reattivo e sicuro mi preme riferire relativamente alla recente scoperta di una importante vulnerabilità all’interno dei moderni sistemi operativi Microsoft Windows. La criticità è nota con l’identificativo CVE-2019-0797.

La problematica è originata da degli errori di gestione degli oggetti in memoria del componente Win32k che un attaccante, con accesso locale alla macchina, può sfruttare al fine di ottenere privilegi amministrativi su di essa, prendendone in completo controllo ed evadendo restrizioni e policy di sicurezza. Un cosiddetto attacco di “privilege-escalation“.

La vulnerabilità è stata ribattezzata “The fourth horseman” (il quarto cavaliere) per via del fatto che è la quarta vulnerabilità di privilege escalation scoperta nell’ultimo anno su Microsoft Windows.

Ricercatori di terze parti hanno rilevato lo sfruttamento di questa vulnerabilità in recenti attacchi ai danni di sistemi operativi Windows 10, operati da parte di attori malevoli attivi nell’area Mediorientale e Asiatica.

Questo il loro rimando tecnico dettagliato

Microsoft è corso subito ai ripari ammettendo la problematica e confermandola attraverso un apposito bollettino di sicurezza, ove risultano afflitte le versioni 32 e 64 bit di Microsoft Windows Server 2012, 2012 R2, 2016, 2019, Microsoft Windows 8.1 e 10, anche per architetture ARM64.

Per via dei correnti abusi registrati in-the-wild e del rischio di ulteriori sfruttamenti anche in scenari di attacco basati su malware, mi sento di suggerire la pianificazione e l’applicazione del pacchetto di sicurezza “March 2019 Security Updates”, rilasciato da Microsoft in questi giorni, all’interno del Vostro parco macchine Microsoft Windows.

Come al solito sono a disposizione per ulteriori chiarimenti o perplessità.

Bollettino Sicurezza, Microsoft, ransomware, Sicurezza Informatica

BOLLETTINO DI SICUREZZA 03/19

Vulnerabilità 0-Day in Google Chrome

Numerose le segnalazioni degne di nota per il mese di Marzo, partiamo dal rilevamento di numerosi PDF che sfruttano una vulnerabilità 0-day di Google Chrome. La falla in questione permette di tracciare gli utenti e, nel caso la vittima usi Chrome come lettore PDF, esfiltrare informazioni quali IP pubblico, versione del sistema operativo e l’intero percorso del PDF sul PC dell’utente. Il comportamento malevolo, infatti, non si verifica utilizzando altri strumenti per PDF come Adobe Reader, ma solo ed esclusivamente con Chrome PDF Viewer. Sebbene sembra che i primi attacchi risalgano all’ottobre 2017 e che Google sia stata avvertita lo scorso dicembre, la patch per la vulnerabilità dovrebbe arrivare solo il prossimo aprile.

Tentativo di frode a nome Alitalia

Proseguiamo con la scoperta della diffusione di una campagna di phishing che ha interessato un account di Alitalia lo scorso Mercoledì 27 Febbraio. In data 27/02/2019, alle ore 10:31, è stato segnalato un caso di phishing avente come mittente una casella di posta elettronica Alitalia, appartenente al Com. Marco Massone (marco.massone@alitalia.com). Dalla suddetta email sono state inviate circa 3.213 singole email, ciascuna con 98 destinatari diversi, per un totale di 300.000 singoli indirizzi email. In aggiunta, in alcuni casi sono stati utilizzati dei gruppi di distribuzione, con ulteriore fattore moltiplicativo. La maggioranza delle email hanno destinatari esterni, un insieme ridotto è stato indirizzato a destinatari Alitalia. Tuttavia alcune email sono state inviate a gruppi di distribuzione CRM, con conseguente diffusione massiva. Prestate quindi attenzione se avete ricevuto una insolita mail dalla compagnia aerea, si tratta di malware.

Pacha Group : nuovi attacchi.

Riemerge anche l’attore cyber crime noto come Pacha Group, probabilmente localizzato in Cina, che pare stia distribuendo un miner per sistemi Linux chiamato Antd.

Antd – esito di un riuso parziale di codice del miner XMRig per Monero – è noto almeno dal settembre 2018 e si presenta come una minaccia piuttosto sofisticata; la variante distribuita in questo caso ha ricevuto il nome GreedyAntd. La catena d’infezione è avviata con la compromissione di un server vulnerabile esposto online; si ipotizzano attacchi di brute forcing o l’impiego di exploit contro servizi come WordPress, PhpMyAdmin o JBOSS. In seguito viene scaricato ed eseguito il payload di primo livello che garantisce la persistenza nei sistemi, termina eventuali altri miner e scarica, talvolta via proxy, ulteriori componenti. Questi ultimi vanno a costituire una struttura modulare piuttosto articolata mirata ad eludere l’analisi dinamica. L’analisi dei server che ospitano GreedyAntd ha consentito di scoprire su un server di terze parti compromesso anche una componente irrelata rispetto a questa operazione che viene sfruttata per scaricare una configurazione di xmr-stak json. Questo codice sembra realizzato mediante riuso di codice di HelloBot, un bot di origine cinese scoperto nel gennaio 2019.

QakBot, distribuzione Trojan attraverso One Drive

Nell’ultimo mese è stata diffusa una variante del Trojan QakBot diffuso tramite mail. L’infezione è stata originata dalla seguente URL :

https://onedrive[.]live[.]com/redir?resid=234C9055AF39ACB4%211859&authkey=%21AII Tn9Z_vwswsP8&page=Download

Il trojan ha la capacità di:

  • annullare tentativi di disinfezione da parte della client AntiVirus;
  • autenticarsi in locale con le credenziali dell’Amministratore di Dominio;
  • bloccare in breve tempo molteplici account, forzando tramite scripting gli accessi;
  • effettuare dei movimenti laterali.

Prestare estrema attenzione ai link che si cliccano nelle e-mail in quanto veicolo usato per diffondere malware.

Vulnerabilità in Win Rar

La già nota vulnerabilità degli archivi WinRAR CVE-2018-20250 continua ad essere sfruttata da attori diversi, fra cui vi sono anche alcuni APT. L’exploit viene generalmente utilizzato dagli attaccanti nelle prime fasi della compromissione. In alcuni dei casi analizzati, i file all’interno dell’archivio malevolo – che comprendono numerose immagini per adulti – non possono essere visualizzati in anteprima, così i target sono costretti a decomprimerlo e ne vengono infettati. Dopo lo sfruttamento della vulnerabilità, viene impiegata una back-door scritta in C#, che si presenta come OfficeUpdateService.exe, per la gestione delle minacce da remoto e per la sottrazione di informazioni. In altre situazioni il WinRAR contiene diversi PDF sul tema delle offerte di lavoro in Arabia Saudita; in questo caso le macchine sono infettate dopo l’exploit con uno script VBS e poi viene eseguita direttamente in memoria (tecnica “fileless”) una backdoor PowerShell. Il terzo scenario rilevato consiste nell’uso di un archivio ACE protetto da password, il cui filename è in cirillico; poiché la password risulta ignota, gli analisti non sono stati in grado di analizzarne il contenuto.

Il consiglio è di evitare l’apertura di archivi, in quanto essendo occultato il contenuto, l’utente deve per forza eseguire l’apertura, compromettendosi.

Informatica Generale, Microsoft, ransomware, Sicurezza Informatica

Occhio alle mail DHL, sono vettori di LokiBot

Nel corso delle attività di routine volte allo studio e all’analisi del traffico mail e delle evoluzioni tecnologiche nel cybercrime, è stata recentemente rilevata una campagna di phishing tesa a diffondere il pericoloso trojan noto come LokiBot.

LokiBot, è un trojan bancario, nato per i dispositivi mobili, con anche funzionalità di ransomware, nella seconda metà del 2018 la sua pericolosità è aumentata in quanto si sono manifestate infezioni e propagazioni anche in ambiente Windows, quindi l’habitat di propagazione della minaccia si è esteso ai PC.

In maniera analoga ad altri trojan del settore, come BankBot, LokiBot prende di mira un gran numero di applicazioni bancarie, mostrando all’utente false schermate di login mediante le quali cattura le credenziali di autenticazione e le invia ai server C&C controllati dai cybercriminali, è in grado di “falsificare” più di 100 app bancarie, oltre ad alcune app di ampia diffusione quali Facebook, Messenger, Google Play Games, Microsoft Outlook, PayPal, Skype, WhatsApp e Viber.

Le caratteristiche sono piuttosto comuni e già viste in altri trojan bancari, oltre ad alcune specifiche di questa nuova famiglia.

Questo malware è infatti in grado di:

  • Aprire un browser mobile, caricare un URL specifico e installare un proxy SOCKS5 mediante il quale redirigere il traffico di rete in uscita (analogamente a SockBot);
  • Rispondere automaticamente agli SMS e inviare SMS di spam a tutti i contatti della vittima allo scopo di diffondere l’infezione;
  • Mostrare false notifiche apparentemente provenienti da app legittime. (Quest’ultima funzione consente al malware di indurre l’utente ad aprire l’app della propria banca facendogli credere, ad esempio, di aver ricevuto un accredito sul proprio conto corrente. Quando l’utente apre la notifica, LokiBot mostra la falsa schermata per l’inserimento delle credenziali)

La diffusione rilevata avviene tramite false notifiche DHL in lingua inglese. Con sofisticate tecniche di ingegneria sociale, gli attaccanti cercano di indurre le vittime a cliccare su un link presente nel corpo del testo che rinvia ad un’immagine sfocata. Se l’utente fa doppio click sull’immagine (quasi un riflesso incondizionato quando si vuole ingrandire una foto), si avvia il download di un archivio .iso contenente un file eseguibile. Questo procede al lancio del software legittimo di Windows “RegAsm.exe” dentro il quale verrà poi iniettato il codice di LokiBot.

regasm.exe

Lo strumento di registrazione di assembly legge i metadati all’interno di un assembly e aggiunge al Registro di sistema le voci necessarie per consentire ai client COM di creare classi di .NET Framework in modo trasparente. (fonte Microsoft)

Lo scopo principale della minaccia è quello di esfiltrare password dai più popolari browser (Explorer, Firefox, Chrome, Opera, Safari, Yandex ecc), da client mail (Outlook, Thunderbird, ecc) e client FTP (BlazeFTP, ClassicFTP, FileZille ecc).

Vi invito quindi a fare estrema attenzione alle e-mail provenienti da mittenti DHL o altri vettori / corrieri, aprendo gli allegati solo ed esclusivamente se si è certi della provenienza.

Nel prossimo articolo riprenderò il tema dell’ingegneria sociale applicata al cybercrime.

Informatica Generale, Microsoft, privacy, Sicurezza Informatica

Bitlocker e il quel “buco” nel firmware

BitLocker è una funzionalità di protezione dei dati integrata nei sistemi operativi Microsoft. Per impostazione di default viene usato l’algoritmo di crittografia AES nella modalità CBC con una chiave di 128 bit.

BitLocker garantisce tre modalità operative. Le prime due modalità richiedono un dispositivo hardware per la cifratura, ovvero un Trusted Platform Module (versione 1.2 o successivo) e un BIOS compatibile:

a. Modo operativo trasparente: questa modalità sfrutta le capacità dell’hardware TPM 1.2 per garantire una esperienza di utilizzo trasparente; l’utente effettua il login al sistema operativo normalmente. La chiave usata per la criptazione del disco rigido viene memorizzata (in forma sempre crittografata) all’interno del chip TPM che viene restituita al loader del Sistema Operativo solo se i file di avvio appaiono non manomessi. I componenti pre-OS di BitLocker sfruttano la endorsement key.

b. Modo autenticazione utente: questa modalità richiede che l’utente inserisca una chiave di autenticazione nell’ambiente pre-boot in modo da poter avviare il sistma operativo. Due diversi modi di autenticazione sono supportati: un PIN inserito dall’utente oppure un dispositivo USB che contiene la chiave di avvio necessaria

c. Chiave USB: l’utente deve inserire un dispositivo USB che contiene la chiave di avvio nel computer per poter avviare il sistema operativo protetto. È da notare che questa modalità richiede che il BIOS sulla macchina protetta supporti la lettura dei dispositivi USB nell’ambiente pre-OS.

Fatto questo excursus tecnico passiamo alla pratica; BitLocker ha una senso di esistere in tutti quei dispositivi (personali o aziendali) che hanno la caratteristica di essere “portatili” e quindi soggetti all’esposizione ad ambiente extra-aziendale, è una valida soluzione per proteggere le info aziendali dato che sappiamo benissimo che la sola password di dominio non ha questa grandissima robustezza.

Attivare BitLocker è estremamente semplice, ma consiglio di eseguire l’operazione dopo aver letto questi punti fondamentali :

  1. BitLocker non si attiva da solo, se non siete avvezzi alla procedura o in generale vi sentite poco sicuri fatevi assistere/consigliare da un esperto;
  2. Se optate per l’autenticazione utente, dovrete scegliere una password che passerete al sistema di crittografia il quale, tramite algoritmo AES genererà una chiave numerica di 48 caratteri. Questa chiave vi verrà richiesta poi per accedere al PC in caso di problemi di sicurezza, senza questa chiave non accederete al PC.
  3. Leggete bene il punto 1) perché l’azione di BitLocker se fatta in modo errato è IRREVERSIBILE, al momento l’unico modo per riutilizzare il PC se si perde la chiave di ripristino è quello di formattare l’intero Hard Drive.

Vediamo quindi quali sono i passi per attivare questa funzionalità :

Per prima cosa dobbiamo andare in Computer (o Risorse del Computer se ante Win 8) e scegliere tra i vari dischi quale su quale unità vogliamo attivare il BitLocker. L’azione è semplice, tasto destro sull’unità e click sinistro su Attiva BitLocker.

Il sistema inizierà la procedura guidata e articolata per portare a termine l’operazione; si inizia scegliendo il metodo di sblocco, consiglio il primo ovvero una password dalla quale poi l’algoritmo genererà la chiave di ripristino, va ripetuta e va cliccato il pulsante ‘Avanti‘.

Secondo poi viene chieste un metodo per mettere al sicuro questa chiave, in modo che sia possibile all’utente accedervi anche qualora l’unità non fosse accedibile (appunto perché criptata) è possibile salvarla in un file .TXT (esportabile in un drive esterno) oppure stamparla su carta. Questa operazione è fondamentale a meno che non si prenda nota manualmente della chiave alla fine dell’operazione (cosa che sconsiglio in quanto basterebbe riportare male un carattere per compromettere tutto).

Il sistema chiede poi un ulteriore intervento all’utente invitandolo a scegliere se vuole applicare la codifica all’intera unità o solo alla porzione contenente dati. In questo caso la scelta impatterà sulla durata della codifica, per chi attiva il BitLocker ma utilizza già da tempo il PC è consigliabile crittografare l’intera unità per avere la certezza di proteggere tutto.

Ultima scelta riguarda la modalità di crittografia, si può decidere di usare a modalità XTS-AES introdotta dopo l’update 1511 di Windows 10, molto più efficiente ma non compatibili con le versioni precedenti oppure optare in sicurezza per una modalità compatibile.

Il procedimento termina con la richiesta finale di Avvio della crittografia e con gli avvisi di rito che Windows ci riporta.

Una volta cliccato su Avvia Crittografia questa partirà e terrà visibile a monitor una loading bar con la percentuale di avanzamento sino a conclusione.

Al termine di tutto l’unità sarà protetta, i file saranno crittografati.

Fino a qui tutto bene. O almeno fino a quando il firmware della macchina non si mette in mezzo.

Esiste infatti un “buco” noto e tale per cui senza un reale motivo apparente, BitLocker decida , all’avvio, di richiedere la chiave di ripristino come se stesse cercando di proteggere i dati.

In realtà il motivo esiste e ve lo spiego: questa situazione si genera a seguito di un cambio di versione di Firmware BIOS che modifica determinati parametri di Avvio.

BitLocker infatti monitora i cambiamenti nell’avvio e configurazione del sistema e quando rileva un nuovo dispositivo nell’elenco di avvio o un dispositivo di archiviazione esterno o una modifica nella gestione di questi, sollecita una chiave per motivi di sicurezza. Questo è il normale funzionamento, se atteso, un pò meno se si viene colti alla sprovvista, tipo qualora ci si trovi momentaneamente senza la chiave di ripristino e comunque è impensabile dover inserire una chiave di 48 caratteri ogni volta che si avvia il PC.

Le impostazioni in questione riguardano il supporto di avvio USB-C/Thunderbolt 3 (TBT) e il pre-avvio del TBT che nel salto di firmware probabilmente cambiando stato passando da non attivo ad attivo.

Disattivando queste opzioni nel BIOS, Thunderbolt /USB-C sono rimossi dall’elenco di avvio e BitLocker non li rileva.

Salvando e riavviando la macchina tutto tornerà a funzionare anche senza la chiave di ripristino.

Microsoft, Sicurezza Informatica

Come un virus ci ruba i dati del conto bancario

Nelle ultime settimane del 2018, in Italia, si è manifestata una nuova e potete variante della già nota botnet chiamata Danabot.

Piccola parentesi per i nuovi lettori :

botnet :

si tratta di una rete articolata, controllata remotamente da “attaccanti” e composta per lo più da da dispositivi infettati da malware. Tale rete è specializzata e finalizzata a compiere azioni crimonose.

Questo genere di minaccia è molto attuale sia nelle Aziende che tra i privati e si propaga mediante campagne di e-mail phisihng con allegati infetti (stile ransonmware).

Ho analizzato la ricerca portata avanti da Eset, sezionando le varie azioni che la minaccia porta a termine, in modo da farvi capire la pericolosità di questo tipo di malware che si scatena semplicemente con l’apertura incauta di un file Word. Partiamo!

Tutto parte, come sempre dall’utente (lo chiameremo Target) che trova nella sua casella di posta elettronica una mail, magari artefatta, che riporta come oggetto qualcosa a lui affine “Fattura” o “Accredito” o “Bolletta Enel”, e me apre l’allegato. Danabot sfrutta i documenti Word con attivazione di macro, sappiamo bene che le macro sono delle azioni automatiche registrate all’interno del documento che possono scatenarsi con l’apertura dello stesso; nel caso specifico l’azione è il collegamento ad un server remoto e compromesso per il download di una DLL infetta.

Il caso analizzato vede il Target compromesso connettersi all’host remoto 149.154.157.104 (EDIS-IT IT) tramite un canale SSL crittografato, quindi scarica altri componenti e si elimina dal file system. Nel frattempo imposta un servizio di sistema nella chiave di registro “HKLM \ SYSTEM \ CurrentControlSet \ Services”. Queste chiavi del Registro di sistema sono responsabili del caricamento di librerie collegate dinamicamente in “sola lettura ” e ” nascoste ” ” C: \ ProgramData \ D93C2DAC “.


Figura 1. Chiave del Registro di sistema creata dal malware nel Pc infetto

Figura 2: cartella completa per l’impianto di malware.

Ora che la minaccia si è annidata nei registri del Target inizia il suo lavoro “sporco” attivando un serie di funzioni, la più importante è la creazione di un proxy di inoltro che crea una canale di comunicazione tra il PC della vittima e l’attaccante in modo che quest’ultimo possa intercettarne e modificarne il traffico. Questo avviene tramite un attacco “Man in The Browser

Man in The Browser:

si tratta di un attacco in cui il malware viene inoculato nel browser internet della vittima e permette di intercettare, registrare e manipolare qualunque comunicazione tra l’utente e il Web

Ora che l’attacco è avviato, ogni chiamata verso siti di carattere bancario, e-commerce e informazioni sensibili saranno intercettati e manipolati dall’attaccante, non solo: durante l’esecuzione delle funzioni di cui sopra, il malware cerca anche le informazioni sensibili memorizzate nella cartella dei dati dei browser web installati, come Google Chrome e Mozilla Firefox. raccoglie le credenziali salvate e le archivia in un database SQLite temporaneo situato nel percorso “ C: \ WINDOWS \ TEMP “.

Ma torniamo all’attacco; per eseguire il Man in The Browser il malware imposta un proxy di inoltro all’interno di Internet Expolorer, così facendo potrà ispezionare tutto il traffico internet in entrata e in uscita. Quando la vittima richiede una pagina Web specifica e relativa a uno dei siti “sensibili”, il malware inserisce nella pagina un codice javascript personalizzato (web injection) al fine di intercettare ed estrarre informazioni delicate dell’utente come dati personali, credenziali e numeri PAN. Tutto questo grazie alla DLL scaricata aprendo l’allegato Word.

Ho estratto la configurazione del malware analizzato, ed ho potuto recuperare l’elenco completo delle pagine Web intercettate dagli attaccanti, scoprendo che il malware si rivolge ai clienti di una vasta gamma di istituti finanziari : la maggior parte di essi sono società bancarie italiane come Bancoposta, Intesa San Paolo, Banca Generali, BNL, Hello Bank, UBI Banca, ecc. Oltre ai siti web bancari, anche un gruppo di provider di posta elettronica viene preso di mira dal malware, ad esempio i provider di servizi webmail come Tim, Yahoo, Hotmail, Gmail e altri servizi di posta elettronica più specifici relativi a società immobiliari italiane come Tecnocasa.

Web-Injection

Il resto del lavoro lo fa uno script Java tramite una web-injection, ossia l’iniezione di un programma malevolo all’interno della sessione internet dell’utente. Nelle prossime due immagini vi mostro la navigazione sullo stesso sito (Ing Bank), la prima pulita, la seconda con in corso una Web Injection


Sito Web bancario senza iniezione javascript


Sito Web bancario con iniezione javascript

Come noterete nella seconda figura è presente la riga

<script id=”myjs1″ src=”my9rep/myjs28_frr_s41.js” data-botid = “7D71A359FA70C9180156AAC2148EDD5D”> </script>

Il codice di iniezione web controlla una risorsa php dannosa “/my9rep/777.php”, inviando i dettagli del bot-id e i cookie di sessione correnti.

In questo modo l’attaccante riceve tutti i dati di sessione, e al termine di un tempo prestabilito, si porta via il database temporaneo, i dati rubati e si auto elimina dal sistema cancellando le proprie tracce.

Se avessi effettuato un pagamento con Carta di Credito o avessi fatto accesso la mio Home Banking, l’attaccante avrebbe avuto tutti i dati necessari per fare lui stesso il pagamento o l’accesso con i miei dati.

In Conlusione

La minaccia Danabot ha ampliato le sue attività nel panorama italiano durante l’ultimo anno, in particolare durante il novembre 2018 quando un’ondata di attacco massiccia è stata intercettata. La configurazione specifica estratta dal campione analizzato è un’altra chiara indicazione del crescente interesse criminale nei confronti degli utenti e dell’organizzazione italiana, non limitato al settore bancario tradizionale.

La raccomandazione è quella di prestare sempre la massima attenzione nel gestire la corrispondenza mail che è il primo veicolo di questo genere di infezioni.

Informatica Generale, Microsoft, Sicurezza Informatica

Sicurezza : Criticità “zero days” in Internet Explorer

L’articolo di oggi tratta una criticità “zero days” riscontrata da numerosi analisti sulla rete e riguardante Microsoft Internet Explorer, per la quale è stato rilasciato un aggiornamento straordinario per via della condizione di rischio a cui espone i client in rete. La criticità è nota con l’identificativo CVE-2018-8653 (al link il bollettino).
La problematica è causata da alcune lacune nella gestione della memoria all’interno del motore di scripting di Microsoft “jscript.dll”, che permette ad attaccanti remoti di eseguire codice arbitrario sulle macchine bersaglio a seguito della navigazione su pagine web malevole o compromesse.
Il Produttore ha confermato la problematica attraverso un apposito bollettino di sicurezza, dove risultano afflitte le versioni Internet Explorer 9, 10 ed 11 su sistemi Windows 7, 8.1, 10, Server 2008, 2012, 2016 e Windows Server 2019, confermando inoltre la presenza di campagne di attacco che sfruttano questa criticità.
A questo proposito si consiglia caldamente di pianificare l’applicazione degli aggiornamenti di sicurezza al Vostro parco macchine Microsoft e, qualora non possibile in tempi adeguati, di valutare l’applicazione delle mitigazioni temporanee suggerite dal Produttore per restringere l’accesso alla libreria vulnerabile riportati in seguito:
Restrizione accesso a “JScript.dll”
32bit cacls %windir%\system32\jscript.dll /E /P everyone:N
64bit cacls %windir%\syswow64\jscript.dll /E /P everyone:N
Ripristino accesso a “JScript.dll”
32bit cacls %windir%\system32\jscript.dll /E /R everyone
64bit cacls %windir%\syswow64\jscript.dll /E /R everyone