Rilasciato LibraESVA 4.2

E’ stata rilasciata la versione 4.2.0 di LibraESVA, in questa release sono presenti correzioni a problemi noti e nuove funzionalità.
Tutti i clienti LibraESVA sono incoraggiati a procedere con l’aggiornamento.

Logo_Esva

Problemi noti corretti

  • Distribuited Search: gli spazi finali vengono correttamente tagliati
  • Corretti degli errori sui report schedulati per Domain Admins e Multi Domain Admins
  • DKIM: corretti alcuni problemi della configurazione su caratteri non ammessi nel nome di dominio e sul percorso non valido.
  • Delivery Information adesso riportano correttamente tutti i destinatari
  • Content Filtering Rules: corretto un errore con gli operatori “equals” e “matched regular expression”
  • Reports: corretto un problema sul filtro “Message Already Released”
  • URLSandbox: whitelisting adesso funziona anche se Phishing Highlight è disablitato
  • Dictionary Rules: Corretto un problema con FromOrTo da default su regole multiple
  • Corretto un problema sulla modifica del corpo del messaggio in “User Management –> Text Import”
  • Migliorata l’affidabilità della funzionalità di esportazione
  • LDAP Global Filter ora sono applicabili anche all’autenticazione
  • Corretto un problema su “Disarm Web Bug” inline pixel
  • Migliorata l’elaborazione di TNEF (winmail.dat)

Nuove funzionalità/Cambiamenti

  • Aggiunta nella Dashboard la mappa mondiale della provenienza delle minacce
  • Aggiunta in Message Details la mappa visuale con il percorso compiuto dal messaggio
  • Aggiunta la prevenzione al Whaling Phishing
  • Aggiunta la possibilità di personalizzare i messaggi e Whitelisting per QuickSand
  • Quarantine Report è accessibile anche da utenti senza password tramite l’autenticazione sicura fatta tramite cookie
  • Molti altri piccoli miglioramenti di sicurezza al comportamento di tutti i motori di scansione
  • Il controllo all’interno degli archivi gestisce più formati come: .7z, .B64, .BZ, .BZ2, .CAB, .GZ, .MIM, .TAR, .TAZ, .TBZ, .TBZ2, .TGZ, .TZ, .UUE, .XZ, .Z
  • Il riavvio non è più richiesto al caricamento della licenza se la licenza non era ancora scaduta
  • Migliorata la ricerca dei messaggi: Aggiunta la possibilità di cercare una parte di stringa per mittenti e destinatari e mostrare l’hostname in smtp rejected messages
  • Molti miglioramenti nelle API
  • Migliorata la grafica del Quarantine Report per i dispositivi mobili
  • Reports: aggiunti nuovi filtri temporali ed il supporto agli operatori logici (and/or) fra filtri
  • Domain tags su Domain Relay per semplificare la ricerca ed aggiornamenti massivi
  • Più interfacce ethernet supportate dall’interfaccia web
  • Migliorata l’importazione tramite CSV di White/Black List
  • Migliorato il conteggio delle licenze (con assegnazione manuale degli alias)
  • La richiesta di rilascio di un messaggio un quarantena può essere notificata all’amministrazione di dominio

NOTE: Questo aggiornamento richiede alcuni minuti per essere completato e richiede il riavvio del sistema. E’ raccomandato effettuare uno snapshot prima di iniziare l’aggiornamento.

L’aggiornamento è scaricabile all’indirizzo: http://docs.libraesva.com/download/libra-esva-4-1-0-0-to-4-2-0-0-upgrade-script/

argonavislab

I tecnici certificati su LibraESVA di Argonavis sono a tua disposizione per darti supporto tecnico o commerciale su LibraESVA

Distribuire la patch per risolvere CVE-2017-0143 tramite Kaspersky Security Center

A seguito dell’ampia diffusione della notizia dei danni provocati dal ransomware WannaCry gli utenti Windows hanno iniziato ad installare la patch per risolvere la vulnerabilità.

Kaspersky Security Center ha uno strumento per installare la patch in maniera automatizzata utilizzando la seguente procedura:

  1. Scaricare l’aggiornamento dal sito Microsoft
  2. Creare una cartella temporanea e copiare il file *.msu scaricato nel passo precendente
  3. Nella cartella temporanea creare un file .bat ed inserire il seguente comando:

wusa.exe %updatename%.msu /quiet /warnrestart

Sostituire %updatename% con il nome esatto del file scaricato (differente per ogni versione di sistema operativo).

Il comando esegue l’installazione silenziosa dell’aggiornamento ed al termine richiederà il riavvio. Non è possibile evitare il riavvio al termine dell’installazione.

Al posto del parametro warnrestart è possibile indicare forcerestart, in quel caso il sistema verrà riavviato immediatemente senza consenso dell’utente (parametro utile nelle postazioni non presidiate).

Nota: Non ci sono conseguenze negative nell’esecuzione del comando su un computer in cui l’aggiornamento era già stato installato.

  1. In Kaspersky Security Center, menu Advanced → Remote installation → Installation packages. Premere su Create installation package.
  2. In “New Package Wizard”, selezionare Create installation package for specified executable file.

Image: create the installation package

  1. Creare il pacchetto di installazione con il file .bat. Selezionare Copy entire folder to the installation package per includere il file .msu.
  2. Installare il pacchetto sui computer avendo cura di sceglierli in base al sistema operativo per cui è stata creata la patch.

Ransomware Wannacry e patch management

Nelle ultime ore si sta diffondendo un nuovo tipo di ransomware chiamato con il nome di Wannacry, non mi soffermerò a descrivere il suo comportamento visto che è comune alla propria specie: effettua la crittografia usando l’algoritmo di cifratura AES e richiede un riscatto in bitcoin, ma per la sua caratteristica di colpire sfruttando delle vulnerabilità del software.

Da tempo avevamo previsto che il ransomware sarebbe potuto mutarsi in virus e puntualmente è accaduto. Wannacry verrà ricordato come l’inizio di una nuova era nell’epoca del Cyber Crime.

Fin’ora avevamo sempre visto che l’innesco di una infezione di ransomware era legata ad un comportamento poco accorto di qualche utente: un allegato ad un messaggio di posta aperto, l’apertura di un link in un messaggio di posta elettronica, la visita ad un sito web pericoloso o comunque che avesse già subito un attacco informatico.

Wannacry invece supera questi schemi noti ed inaugura la stagione dei “virus” ransomware, la cui caratteristica è quella di diffondersi in modo automatico ovvero utilizzando anziché un vettore di penetrazione legato all’incapacità umana di comprendere la pericolosità delle proprie azioni, un vettore di penetrazione legato alle vulnerabilità del software installato.

Le vittime scelte da Wannacry, che al momento ha colpito in particolare in Russia, ma anche in Italia (che guida la particolare classifica europea delle vittime di questo ransomware) hanno un elemento in comune, non avevano installato una patch di Microsoft per i propri sistemi operativi, rilasciata nel bollettino di marzo Microsoft Security Bulletin MS17-010 – Critical

Il risultato è stato che gli attaccanti hanno potuto colpire tutti coloro che non si erano “protetti” installando tempestivamente l’aggiornamento.

Questo nuovo tipo di diffusione della minaccia, deve spingerci a far evolvere la nostra strategia di difesa. La sola protezione perimetrale era già stata superata dalla mobilità dei dispositivi, le tecniche di protezione degli endpoint (anche le più sofisticate che fanno uso di machine learning e riconoscimento delle applicazioni) non sono più efficaci se non impariamo a tenere aggiornato dal punto di vista della sicurezza i nostri software.

Per tutti coloro che ancora non sono stati infettati si suggerisce di verificare ed installare il prima possibile la patch di sicurezza, mentre per le vittime non resta che ripristinare un backup o pagare il riscatto in bitcoin.

Fra le dotazioni minime di protezione informatica in azienda, oltre ai già diffusi Firewall (UTM) e Anti Malware installati sugli endpoint, dobbiamo prevedere sistemi di gestione automatiche delle Patch per evitare che minacce di questo genere possano colpirci.

Aggiornamento del 15/05/2017: Vista la particolare gravità della situazione Microsoft ha deciso di distribuire un aggiornamento (disponibile a questo indirizzo: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598) per risolvere la vulnerabilità anche per i sistemi operativi Windows XP e Windows 2003 il cui supporto era stato interrotto.

Subscription Bombing

Subscription Bombing è una nuova tecnica per generare messaggi non desiderati (“spam”).

La tecnica consiste nel completare (con metodi automatici) migliaia di form di registrazione o di richiesta di informazioni, che generano automaticamente delle mail dirette all’indirizzo che è stato inserito all’interno il form. E’ sufficiente compilare il form, utilizzando l’indirizzo email della vittima per fargli recapitare migliaia di email in contemporanea.

I siti a rischio sono quelli che non usano dei metodi per individuare i form compilati con sistemi automatici, con meccanismi con il CAPTCHA.

Per i sistemi antispam tutti questi messaggi sono legittimi, perché generati da sistemi perfettamente regolari, arrivano ciascuno dal server corretto e molte volte rispettano anche il record SPF.
Se l’utente avesse usato realmente il proprio indirizzo email ed effettuato quella registrazione oppure compilato il modulo per la richiesta di informazioni quella mail è richiesta e deve arrivare.

Questo genere di attacco ha due vittime:

  • il proprietario del sito web che rischia di finire in qualche blacklist pubblica, ad esempio Spamhaus è molto attenta a questo fenomeno e comunque si ritrova nel database un numero elevato di iscrizioni o richieste fittizie.
  • il proprietario della mail che si ritrova la casella invasa di messaggi di posta non desiderati e rischia fra i tanti messaggi di non notare qualche messaggio di posta importante.

Questo genere di attacco comporta un fenomeno che potremmo definire “fumogeno digitale“. Supponiamo che l’attaccante abbia le nostre credenziali del conto PayPal e sia pronto ad effettuare un trasferimento di denaro. Gli resta il problema di sopprimere i messaggi di posta verso il nostro indirizzo che potrebbero allarmarci. Con un attacco del genere fra i migliaia di messaggi non desiderati che potrebbero arrivare alla casella in contemporanea il messaggio di PayPal che ci indica l’avvenuto trasferimento potrebbe anche passare inosservato, considerato che sono frequentementi i messaggi di phishing con oggetto PayPal.

argonavislab

Argonavis ed i suoi esperti in sicurezza informatica sono a tua disposizione per darti supporto ed aiutarti a proteggere la tua azienda dai rischi informatici.

Richiedi Informazioni

Kaspersky installazione automatica di pacchetti

Kaspersky Security Center è la console creata appositamente per semplificare tutte le operazioni di gestione che dovrebbe svolgere l’amministratore. Non si limita a gestire le funzionalità antimalware dei prodotti Kaspersky, ma mette a disposizione un’insieme di strumenti efficaci per gestire con facilità alcuni aspetti della struttura IT.

L’installazione automatica dei pacchetti sugli endpoint membri del gruppo è una di quelle funzionalità che va verso questa direzione.

La procedura è molto semplice, occorre prima di tutto creare un pacchetto di installazione.

Quando il pacchetto è pronto è sufficiente andare nelle proprietà del gruppo a cui desideriamo installare il pacchetto

Aprire la scheda: “Automatic installation” e selezionare i pacchetti che desideriamo distribuire

 

e premere OK per concludere la procedura.

Conclusa la procedura verrà creato un task specifico che installa su tutte le macchine del gruppo in automatico i pacchetti selezionati.

Su ogni nuovo endpoint che andremo a posizionare nel gruppo automaticamente verrà lanciato automaticamente il task, senza rischio di dimenticarne nessuno.

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con le tecnologie più efficaci.

Richiedi Informazioni