Patch Microsoft per vulnerabilità su Exchange Server

Tratto da Blog Kaspersky
Autore: Hugh Aver – 09/03/2021
 
 
 
 

Microsoft ha rilasciato una patch fuori programma per risolvere numerose vulnerabilità presenti su Exchange Server. Secondo quanto afferma l’azienda, quattro di queste vulnerabilità sarebbero già state utilizzate in attacchi mirati, per questo installare le patch al più presto è di sicuro la decisione più saggia.

Qual è il rischio?

Le quattro vulnerabilità più pericolose già sfruttate consentono ai cybercriminali di effettuare un attacco in tre fasi. Prima accedono a un server Exchange, poi creano una web shell per l’accesso da remoto al server e infine utilizzano questo accesso per rubare dati dalla rete della vittima. Le vulnerabilità sono:

  • CVE-2021-26855, che può essere utilizzata per la falsificazione delle richieste dal lato server e che porta all’esecuzione di un codice da remoto;
  • CVE-2021-26857, che può essere utilizzata per eseguire un codice arbitrario per conto del sistema (anche se questa fase richiede diritti di amministratore o lo sfruttamento della vulnerabilità menzionata nel punto precedente);
  • CVE-2021-26858 e CVE-2021-27065, che possono essere utilizzate dai cybercriminali per sovrascrivere i file sul server.

I criminali informatici si avvalgono di tutte e quattro le vulnerabilità; tuttavia, secondo Microsoft, a volte sostituiscono la prima fase di attacco con l’utilizzo di credenziali rubate e accedono al server senza sfruttare la vulnerabilità CVE-2021-26855.

La stessa patch corregge alcune altre vulnerabilità minori su Exchange che non sono direttamente collegate ad attacchi mirati attivi (per quanto ne sappiamo).

Chi è a rischio?

La versione su cloud di Exchange non è interessata da queste vulnerabilità, che rappresentano una minaccia solo per i server all’interno dell’infrastruttura. Inizialmente Microsoft aveva rilasciato aggiornamenti per Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 e Microsoft Exchange Server 2019, e un ulteriore aggiornamento “Defense in Depth” per Microsoft Exchange Server 2010. Tuttavia, a causa della gravità dell’attacco, hanno esteso la patch anche su Exchange Server obsoleti.

Secondo i ricercatori di Microsoft, a sfruttare le vulnerabilità per rubare informazioni riservate sono stati i criminali informatici del gruppo Hafnium. I loro obiettivi includono grandi industrie statunitensi, ricercatori di malattie infettive, studi legali, organizzazioni no profit e analisti politici. Il numero esatto delle vittime non è ancora noto, ma secondo le fonti di KrebsOnSecurity parliamo di almeno 30.000 aziende negli Stati Uniti, tra cui piccole imprese, amministrazioni comunali e governi locali, la cui  sicurezza è stata violata utilizzando queste vulnerabilità. I nostri esperti hanno scoperto che a essere in pericolo non sono solo le aziende americane: i criminali informatici di tutto il mondo stanno già sfruttando queste vulnerabilità. Troverete maggiori informazioni sulla geografia dell’attacco nel nostro post su Securelist.

Come difendersi dagli attacchi su MS Exchange

  • Prima di tutto, installate la patch per Microsoft Exchange Server. Se la vostra azienda non può installare gli aggiornamenti, Microsoft raccomanda una serie di soluzioni alternative;
  • Secondo Microsoft, negare a risorse non affidabili, l’accesso al server Exchange sulla porta 443, o in generale limitare le connessioni dall’esterno alla rete aziendale, può fermare la fase iniziale dell’attacco. Ma tale metodo non aiuterà se gli i cybercriminali si trovano già all’interno dell’infrastruttura o se ottengono l’accesso di un utente con diritti di amministratore per eseguire un file dannoso;
  • Una buona soluzione di Endpoint Detection and Response (se avete esperti in azienda) o specialisti esterni che si occupano di Managed Detection and Response possono rilevare questi comportamenti dannosi;
  • Tenete sempre a mente che ogni computer connesso a Internet, sia esso server o workstation, ha bisogno di una soluzione di sicurezza per endpoint affidabile, in grado di gli exploit e di rilevare in modo proattivo i comportamenti dannosi.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

10 Marzo 2021

Kaspersky avverte: Lazarus prende di mira il settore della difesa

Tratto da BitMAT
Autore: Redazione BitMAT – 26/02/2021
 
 
 
 

I ricercatori di Kaspersky hanno identificato una nuova campagna APT a opera di Lazarus, un threat actor di minacce avanzate molto prolifico che risulta attivo almeno dal 2009 e al quale sono state attribuite una serie di campagne diverse tra loro.

A partire dai primi mesi del 2020, il gruppo ha preso di mira il settore della difesa con una backdoor personalizzata e soprannominata ThreatNeedle. La backdoor esegue movimenti laterali attraverso le reti infette sottraendo informazioni sensibili.

Lazarus è uno dei threat actor più prolifici del momento. Attivo almeno dal 2009, questo gruppo è stato coinvolto in campagne di cyberspionaggio su larga scala, campagne ransomware e persino attacchi contro il mercato delle criptovalute. Negli ultimi anni il gruppo si è concentrato sulle istituzioni finanziarie ma all’inizio del 2020 ha aggiunto ai suoi obiettivi anche organizzazioni che operano nel settore della difesa.

Silente, Lazarus, si espande a macchia d’olio

I ricercatori di Kaspersky si sono resi conto dell’esistenza di questa nuova campagna nel momento in cui sono stati coinvolti in un’attività di incident response. Il team preposto alla gestione dell’incidente ha scoperto che l’organizzazione coinvolta era vittima di una backdoor personalizzata (ovvero un malware che consente il controllo da remoto completo sul dispositivo). Soprannominata ThreatNeedle, questa backdoor si muove lateralmente attraverso le reti infette ed estrae informazioni riservate.

A oggi, sono state colpite organizzazioni in più di dodici Paesi.

L’infezione iniziale avviene utilizzando una tecnica di spear phishing. Le organizzazioni prese di mira ricevono una e-mail contente un allegato Word dannoso o un collegamento ad un file ospitato sui server aziendali. I messaggi di posta, inviati da presunti centri medici affidabili, dichiarano di contenere aggiornamenti urgenti relativi alla pandemia.

Nel momento in cui si apre il documento il malware viene rilasciato dando così il via al processo di distribuzione. Il malware ThreatNeedle, utilizzato in questa campagna, appartiene a una famiglia di malware del gruppo Lazarus nota come Manuscrypt ed era stato precedentemente rilevato in attacchi rivolti alle imprese di criptovaluta. Una volta installato, ThreatNeedle è in grado di ottenere il pieno controllo del dispositivo della vittima, il che significa che può fare qualsiasi cosa, dalla manipolazione dei file all’esecuzione dei comandi ricevuti.

Una delle tecniche più interessanti di questa campagna è la capacità del gruppo di rubare dati sia dalle reti IT dell’ufficio (ovvero una rete che contiene computer con accesso a Internet) e sia dalla rete limitata di un impianto (ovvero una rete che contiene mission-critical asset e computer con dati altamente sensibili e nessun accesso a Internet). Secondo la policy aziendale, nessuna informazione dovrebbe poter essere trasferita tra queste due reti. Tuttavia, gli amministratori possono connettersi a entrambe le reti per la gestione di questi sistemi. Lazarus è stato in grado di ottenere il controllo delle workstation degli amministratori per poi impostare un gateway malevolo e attaccare la rete limitata estraendo dati riservati.

Lazarus non è solo molto prolifico, ma anche sofisticato

Come sottolineato in una nota ufficiale da Seongsu Park, senior security researcher with the Global Research and Analysis Team (GReAT): «Lazarus è stato forse il threat actor più attivo del 2020 e questo è un trend che non accenna a diminuire. Infatti, già a gennaio di quest’anno, il Threat Analysis Team di Google ha riferito che Lazarus aveva utilizzato questa stessa backdoor per colpire i ricercatori di sicurezza. In futuro, ci aspettiamo di incontrare ancora ThreatNeedle e per questo terremo gli occhi aperti».

Come aggiunto da Vyacheslav Kopeytsev, security expert di Kaspersky ICS CERT: «Lazarus non è solo molto prolifico, ma anche sofisticato. Questo gruppo, infatti, oltre a superare la segmentazione della rete, ha anche condotto ricerche approfondite per creare e-mail di spear phishing altamente personalizzate ed efficaci e ha costruito strumenti personalizzati per estrarre le informazioni rubate su un server remoto. Tenuto conto che molti settori e aziende fanno ancora molto affidamento al lavoro a distanza e che, quindi, sono ancora più vulnerabili, è importante che vengano prese ulteriori precauzioni di sicurezza per proteggersi da questo genere di attacchi avanzati».

Per proteggersi da attacchi come ThreatNeedle, gli esperti di Kaspersky raccomandano di:

  • Fornire al personale una formazione di base sulla cyber hygiene, poiché molti attacchi mirati iniziano proprio con tecniche di ingegneria sociale come il phishing.
  • Se un’azienda utilizza una tecnologia operativa (OT) o ha una infrastruttura critica, è importante assicurarsi che queste siano separate dalla rete aziendale o che non ci siano connessioni non autorizzate.
  • Assicurarsi che i dipendenti conoscano e seguano le politiche di sicurezza informatica.
  • Fornire al team SOC l’accesso alla più recente threat intelligence (TI). Il Kaspersky Threat Intelligence Portal è un punto di accesso unico per la TI dell’azienda, che fornisce dati sugli attacchi informatici e approfondimenti raccolti da Kaspersky in oltre 20 anni di esperienza.
  • Implementare una soluzione di sicurezza di livello aziendale che rilevi tempestivamente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
  • Implementare una soluzione dedicata ai nodi e alle reti industriali che consenta il monitoraggio del traffico di rete OT, l’analisi e il rilevamento delle minacce, come Kaspersky Industrial CyberSecurity.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

4 Marzo 2021

Veeam Backup & Replication v11

Tratto da Blog Veeam
Autore: Danny Allan – 24/02/2021
 

Veeam Backup & Replication v11 è arrivato. Con le sue numerose capacità, è in grado di aiutare i clienti ad accelerare il loro percorso di trasformazione digitale.

Qui di seguito sono elencate le 5 funzionalità peculiari della nuova versione:

1. Continuous Data Protection

Veeam rivoluzionerà il mercato democratizzando completamente gli obiettivi Recovery Point Objectives (RPO) per gli ambienti VMware. La Continuous Data Protection (CDP) di Veeam offrirà una grande resilienza per carichi di lavoro critici con RPO estremamente ridotti, riducendo al minimo la perdita di dati e ripristinando allo stato o al point-in-time più recente.  Oltre alla facilità d’implementazione, i clienti Veeam adotteranno questa tecnologia per la flessibilità e la convenienza, e perché è inclusa in un prodotto che molte organizzazioni già utilizzano. Non solo il CDP è incluso in Veeam Backup & Replication, ma è anche integrato in Veeam ONE e Veeam Disaster Recovery Orchestrator.

2. Protezione dal ransomware affidabile

Le minacce ai dati sono numerose. Nell’ultimo anno, tutti abbiamo assistito a un massiccio aumento di attacchi ransomware, minacce informatiche ed eventi malware e questa tendenza non è destinata a diminuire. Veeam sostiene da tempo la necessità di avere almeno una copia dei dati di backup su una copia immutabile, fisicamente isolata o offline come parte integrante della regola 3-2-1 ed è orgogliosa di aver fornito diverse opzioni per la protezione dal ransomware. L’ultima innovazione nella protezione dal ransomware all’interno della V11 offre un ulteriore modo per mantenere i tuoi dati al sicuro. Questa capacità consente a un repository Linux con protezione avanzata di fornire una copia immutabile su qualsiasi sistema Linux, in qualsiasi posizione, on-premises o nel cloud. Questa modalità consente di mantenere i backup al sicuro, prevenendo la crittografia e la cancellazione dannose, ed è ancora un altro strumento nel tuo arsenale di sicurezza.

3. Archiviazione nel cloud

La V11 consentirà ai clienti Veeam di ridurre i costi di storage a lungo termine di oltre 20 volte e di sostituire l’infrastruttura a nastro con una soluzione moderna. Lo storage ad accesso infrequente (“freddo”) di AWS S3 Glacier o Azure Blob Archive è un’ottima integrazione alla gestione basata su policy all’interno del tiering dello storage intelligente di Scale-out Backup Repository di Veeam: Performance, Capacity e ora Archive. Automatizza la gestione del ciclo di vita dei dati.

4. Ripristino istantaneo

La V11 si basa su una delle funzionalità distintive di Veeam, il ripristino istantaneo. Ora i clienti Veeam possono raggiungere gli obiettivi Recovery Time Objectives (RTO) più bassi con il ripristino istantaneo predisposto per la produzione per condivisioni di file SQL, Oracle e NAS con un’incredibile facilità d’uso! Quest’ultima versione include anche la possibilità di ripristinare istantaneamente QUALSIASI backup come una VM Hyper-V, aggiungendo un’incredibile flessibilità di ripristino.

5. BaaS e DRaaS basati su Veeam

Veeam dispone da tempo di molti modi per utilizzare i prodotti come servizio. Che si tratti di backup off-site, Disaster Recovery as a Service (DRaaS), Backup as a Service (BaaS) on-premises, Infrastructure as a Service protetto da Veeam e altre offerte, c’è sempre un servizio per soddisfare le esigenze del mercato. La V11 incorpora il BaaS e il DRaaS come vantaggi per i clienti di alto livello, in combinazione con il rilascio della Veeam Service Provider Console v5.

Oltre 150 funzionalità nuove e migliorate

Queste funzionalità principali sono al centro dell’attenzione, ma in realtà questa release così importante contiene anche molto altro. Oltre ad avere oltre 150 funzionalità nuove e migliorate, la V11 introduce importanti aggiornamenti anche in altri prodotti:

  • Veeam Backup & Replication v11 – Backup e ripristino
    • Veeam Agent for Microsoft Windows v5
    • Veeam Agent for Linux v5
    • NUOVO Veeam Agent for Mac
    • Integrazione con Veeam Backup for AWS e Veeam Backup for Microsoft Azure per la protezione dei carichi di lavoro nativi su cloud
    • Plug-in nuovi e aggiornati per applicazioni aziendali come Oracle e SAP
  • Veeam ONE v11 – Monitoraggio e analisi avanzati
  • Veeam Backup for Microsoft Azure v2 – Protezione nativa su cloud
  • Veeam Disaster Recovery Orchestrator v4 (già noto come Veeam Availability Orchestrator) – Orchestrazione e test automatizzati del ripristino del sito
  • Veeam Service Provider Console v5 – Gestione dei provider di servizi.

Come per tutte le altre release di Veeam, ci sono sicuramente tante funzionalità e caratteristiche essenziali, ma non bisogna trascurare le piccole novità che ne entrano a far parte.

Queste novità comprendono nuove funzionalità come l’integrazione nativa su cloud per AWS e Azure, più protezione dei dati NAS e non strutturati, job ad alta priorità, supporto per l’object storage di Google Cloud all’interno del Capacity Tier, supporto di snapshot storage per Windows Agent e molto altro. Si tratta di una release ad alto contenuto tecnologico, completamente in linea con la missione di Veeam: essere il provider più affidabile delle soluzioni di backup che offrono la gestione dei dati in cloud.

Per ulteriori informazioni: dircom@argonavis.it

3 Marzo 2021

Sangfor HCI – Alta Affidabilità Iperconvergente per la Business Continuity – Registrazione Webinar

Iperconvergenza di 3° Generazione – Virtualizzazione server e storage, Alta affidabilità, Disaster Recovery, Networking e Security riuniti in un’unica soluzione e gestiti da un’unica piattaforma
 
 
 
 

Il 16 febbraio scorso il nostro partner Sangfor ha tenuto una sessione tecnica in DEMO Live della soluzione HCI con lo scopo di dare l’esatta percezione della semplicità di utilizzo in tutte le sue funzionalità:

  • Unica console di management centralizzata in HTML5,
  • creazione e gestione di VM e Virtual Storage,
  • Network virtualizzato e Security,
  • Backup e ripristino,
  • integrazione e gestione degli UPS.
E’ possibile accedere alla registrazione del webinar tecnico cliccando qui
 

Sangfor HCI offre soluzioni di Business Continuity, dalle architetture più semplici, partendo con minimo 2 nodi in direct attach, alle più complesse, contando sulla scalabilità a caldo senza limiti né vincoli di terze parti.

Per ulteriori informazioni o chiarimenti: dircom@argonavis.it

2 Marzo 2021

Vaccinazione dei dipendenti: le FAQ del Garante privacy

 
 
Tratto da www.garanteprivacy.it
 

Il datore di lavoro può chiedere ai propri dipendenti di vaccinarsi contro il Covid per accedere ai luoghi di lavoro e per svolgere determinate mansioni, ad esempio in ambito sanitario? Può chiedere al medico competente i nominativi dei dipendenti vaccinati? O chiedere conferma della vaccinazione direttamente ai lavoratori?

A queste domande ha risposto il Garante per la privacy con le Faq pubblicate sul sito www.gpdp.it. L’intento dell’Autorità è quello di fornire indicazioni utili ad imprese, enti e amministrazioni pubbliche affinché possano applicare correttamente la disciplina sulla protezione dei dati personali nel contesto emergenziale, anche al fine di prevenire possibili trattamenti illeciti di dati personali e di evitare inutili costi di gestione o possibili effetti discriminatori.

Nelle Faq è spiegato che il datore di lavoro non può acquisire, neanche con il consenso del dipendente o tramite il medico competente, i nominativi del personale vaccinato o la copia delle certificazioni vaccinali. Ciò non è consentito dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro né dalle disposizioni sull’emergenza sanitaria. Il consenso del dipendente non può costituire, in questi casi, una condizione di liceità del trattamento dei dati. Il datore di lavoro può, invece, acquisire, in base al quadro normativo vigente, i soli giudizi di idoneità alla mansione specifica redatti dal medico competente.

Il Garante ha chiarito inoltre che – in attesa di un intervento del legislatore nazionale che eventualmente imponga la vaccinazione anti Covid-19 quale condizione per lo svolgimento di determinate professioni, attività lavorative e mansioni – nei casi di esposizione diretta ad “agenti biologici” durante il lavoro, come nel contesto sanitario, si applicano le disposizioni vigenti sulle “misure speciali di protezione” previste per tali ambienti lavorativi (art. 279 del d.lgs. n. 81/2008).

Anche in questi casi, solo il medico competente, nella sua funzione di raccordo tra il sistema sanitario e il contesto lavorativo, può trattare i dati personali relativi alla vaccinazione dei dipendenti. Il datore di lavoro deve quindi limitarsi attuare, sul piano organizzativo, le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità.

1 Marzo 2021

Blog & News

Categorie