La vulnerabilità Zerologon minaccia i controller di dominio

La vulnerabilità CVE-2020-1472 nel protocollo Netlogon, alias Zerologon, permette ai cybercriminali di hackerare i controller di dominio.

Durante il Patch Tuesday di agosto, Microsoft ha risolto diverse vulnerabilità, tra cui una dal nome CVE-2020-1472. Alla vulnerabilità del protocollo Netlogon è stato assegnato il grado di gravità “critico” (il suo punteggio CVSS era quello massimo, ovvero 10.0). Che potesse rappresentare una minaccia non è mai stato messo in dubbio, tuttavia l’altro giorno Tom Tervoort, il ricercatore di Secura che l’ha scoperta, ha pubblicato un report dettagliato che spiega perché la vulnerabilità, nota come Zerologon, sia così pericolosa e come possa essere sfruttata per hackerare un controller di dominio.

Che cos’è Zerologon?

In sostanza, CVE-2020-1472 è il risultato di una falla nel sistema cifrato di autenticazione Netlogon Remote Protocol. Il protocollo consente l’autenticazione degli utenti e dei dispositivi sulle reti basate su domini e viene utilizzato anche per aggiornare le password dei computer da remoto. Grazie alla vulnerabilità, un cybercriminale può spacciarsi per un computer client e sostituire la password di un controller di dominio (un server che controlla un’intera rete e gestisce i servizi Active Directory), il che gli consente di ottenere le autorizzazioni di amministratore di dominio.

Chi è a rischio?

La vulnerabilità CVE-2020-1472 rappresenta un rischio per le aziende le cui reti sono basate sui controller di dominio su Windows. In particolare, i criminali informatici possono hackerare un controller di dominio basato su qualsiasi versione di Windows Server 2019 o Windows Server 2016, così come qualsiasi edizione di Windows Server versione 1909, Windows Server versione 1903, Windows Server versione 1809 (edizioni Datacenter e Standard), Windows Server 2012 R2, Windows Server 2012, Windows Server 2012, o Windows Server 2008 R2 Service Pack 1. Per portate a termine l’attacco, i cybercriminali dovrebbero innanzitutto penetrare nella rete aziendale, ma questo non è un problema così insormontabile (gli attacchi interni e l’accesso dalle prese Ethernet in locali accessibili al pubblico non sono affatto nuovi).

Fortunatamente la vulnerabilità Zerologon non è ancora stato utilizzata in un attacco reale (o fino ad ora non ci sono state segnalazioni). Tuttavia, il report di Tervoort ha suscitato scalpore, attirando molto probabilmente l’attenzione dei criminali informatici e, sebbene i ricercatori non abbiano pubblicato una proof of concept, non ci sono dubbi che i cybercriminali potrebbero elaborarne una basata sulle patch.

Come difendersi da Zerologon

Agli inizi di agosto, Microsoft ha rilasciato le patch per risolvere la vulnerabilità in tutti i sistemi interessati quindi, se non avete ancora aggiornato i sistemi, vi conviene affrettarvi. Inoltre, Microsoft consiglia di monitorare eventuali tentativi di login effettuati attraverso la versione vulnerabile del protocollo e di identificare i dispositivi che non supportano la nuova versione. Per Microsoft, la situazione ideale sarebbe che il controller di dominio venisse impostato su una modalità dove tutti i dispositivi possano utilizzare la versione sicura di Netlogon.

Gli aggiornamenti non rendono questa restrizione obbligatoria, perché il protocollo remoto Netlogon Remote Protocol non viene utilizzato solo su Windows, ma anche su molti dispositivi basati su altri sistemi operativi. Se si rendesse obbligatorio il suo utilizzo, i dispositivi che non supportano la versione sicura non funzionerebbero correttamente.

In ogni caso, a partire dal 9 febbraio 2021, i controller di dominio saranno tenuti ad utilizzare tale modalità (cioè, costringendo tutti i dispositivi ad utilizzare il Netlogon aggiornato e sicuro), per cui gli amministratori dovranno risolvere in anticipo il problema della conformità dei dispositivi di terze parti (aggiornandoli o aggiungendoli manualmente come esclusioni).

Autore: Hugh Aver
Tratto da Blog Kaspersky – 16/09/2020

17 Settembre 2020

Promo Endian 2020

 

Dal 14 settembre Endian offre le seguenti condizioni speciali per i suoi prodotti “top seller”*:

Endian Hotspot 150 e Endian Hotspot 500 Hardware Solutions:

    • Sconto 30% su hardware
    • Sconto 50% su maintenance

Endian UTM Mercury 50 e Endian UTM Mercury 100

    • Sconto 50% su maintenance

 Endian UTM Mini 10 WiFi e Endian UTM Mini 25 WiFi

    • Mini Wifi edition allo stesso prezzo di una Mini standard.

Per ulteriori informazioni: dircom@argonavis.it

*Condizioni della promozione Endian Back 2 Work Promo 2020:

  • Validità: dal 14 Settembre al 15 Novembre 2020
  • Non applicabile a prodotti EDUGOV
  • Non cumulabile con altre promozioni in corso, programmi commerciali o prezzi speciali

14 Settembre 2020

Amanti delle Serie TV? Occhio al cybercrime!

Gli attacchi informatici più frequenti sono quelli che prendono di mira gli utenti e una delle aree di maggior vulnerabilità oggi è rappresentata dal mondo dell’entertainment.

Le minacce informatiche non si limitano al mondo delle grandi aziende o alle campagne su larga scala. Gli attacchi più frequenti, infatti, sono quelli che prendono di mira gli utenti comuni. Una delle aree di maggior vulnerabilità oggi è rappresentata dal mondo dell’entertainment, una grande passione alimentata anche dall’apparente possibilità di trovare tutto ciò che vogliamo online.

I cybecriminali, da sempre abituati a prestare grande attenzione alle passioni digitali per trarne un profitto, sfruttano sempre più questo trend come mezzo per lanciare diversi tipi di attacchi informatici, facendo leva sulla curiosità delle persone, sull’impazienza di vedere l’ultima puntata di una produzione e sulla tendenza a cercare online ciò che non si ha a disposizione.

Abbiamo notato che i criminali informatici hanno visto l’ampliamento dell’offerta come nuovo e redditizio canale di attacco: poche ore dopo il lancio di Disney+, ad esempio, migliaia di account di utenti sono stati hackerati. Non solo i servizi di streaming nuovi sono vulnerabili e appetibili per i cybercriminali; anche i servizi più popolari lanciati anni fa sono diventati obiettivi primari per la distribuzione di malware, per il furto di password e per il lancio di attacchi di spam e phishing. Abbiamo esaminato il panorama delle minacce informatiche in relazione al mondo delle serie TV e in particolar cinque importanti piattaforme di streaming in un arco temporale che va da gennaio 2019 e arriva fino all’8 aprile 2020. Partendo dall’analisi sulle 25 produzioni originali di maggior successo, i nostri ricercatori hanno scoperto che i cinque titoli utilizzati più frequentemente dai criminali informatici come esca per trarre in inganno gli utenti sono stati:

  1. “The Mandalorian” (Disney+)
  2. “Stranger Things” (Netflix)
  3. “The Witcher” (Netflix)
  4. “Sex Education” (Netflix)
  5. “Orange is the New Black” (Netflix)

Più di 4.500 utenti Kaspersky sono stati esposti a varie minacce informatiche veicolate da file malevoli che utilizzavano come esca proprio il nome di una di queste serie TV, con un totale di 18.947 tentativi di infezione registrati. Il numero maggiore di tentativi proveniva da file malevoli che contenevano il nome “The Mandalorian”: l’obiettivo dei cybecriminali era proprio sfruttare la curiosità degli appassionati inducendoli al download non di una puntata, ma di un file malevolo: è successo a 1.614 utenti, con un totale di 5.855 tentativi di infezione!

I consigli di Kaspersky

Anche Kaspersky mette in guardia gli amanti della serialità perché non sottovalutino mai i rischi legati alla sicurezza informatica. Ecco alcune buone abitudini da mettere in pratica:

  • Non scaricare mai le versioni non ufficiali o eventuali modifiche delle app delle piattaforme di streaming.
  • Utilizza sempre password diverse e forti per ognuno degli account che hai (anche per quelli che usi per accedere alle piattaforme di serie e film).
  • Prestare sempre molta attenzione ai dettagli e diffidare dalle offerte apparentemente troppo accattivanti per essere anche gratuite, magari utilizzando una soluzione di sicurezza affidabile che offra una protezione avanzata su tutti i dispositivi che usiamo.

Autore: Alessandra Venneri
Tratto da Blog Kaspersky – 31/08/2020

10 Settembre 2020

Che cosa è l’iperconvergenza, come funziona e quali sono i vantaggi

Autore: Laura Zanotti
Tratto da: Digital4 – 23 aprile 2020

C’era una volta il tempo dell’integrazione. Oggi la nuova parola chiave è iperconvergenza. L’evoluzione tecnologica cambia terminologie ed approcci, ma il problema rimane una questione culturale. Il motivo? Che la strategia addizionale è diventata obsoleta

Che cos’è l’iperconvergenza o hyperconvergence? È un approccio che fornisce un ambiente virtualizzato completo e chiavi in mano, il tutto senza richiedere all’utente una conoscenza tecnica o un impegno a livello di configurazione. L’infrastruttura IT, infatti, viene incentrata su di un’architettura software in cui convergono risorse di calcolo, di memorizzazione, di networking e di virtualizzazione. Il tutto reso disponibile su un sistema hardware supportato, nel caso, da un provider. In pratica si tratta di un IT as a Service di nuova generazione.

Agilità, efficienza e risparmi economici: sono i 3 principali vantaggi che indicano, in sintesi, il valore e il significato dell’iperconvergenza.

 

Perché si parla di iperconvergenza e quanto è diffusa

Ieri il tema di chi si occupava di gestire l’IT aveva una parola magica: integrazione. Oggi, questa parola è rimasta nelle agende dei CIO, ma in parallelo se n’è affiancata un’altra: iperconvergenza. Per capire la sua valenza e il suo reale significato rispetto alla governance è necessario ragionare prima di tutto di prospettiva. Rispetto al passato, infatti, l’orizzonte tecnologico è profondamente cambiato. L’evoluzione del software, il potenziamento delle tecnologie di rete e le SOA (Service Oriented Architecture) hanno sdoganato la virtualizzazione come un approccio di qualità rispetto alla gestione elaborativa.

Per chi si occupa di ICT l’abitudine a ragionare per addizione, cioè di aggiungere in modo progressivo nuove componenti tecnologiche all’esistente, non è cambiata. Così è difficile abbracciare le nuove vision necessarie al salto quantico richiesto da una digitalizzazione sempre più multicanale, decisamente liquida e in cui applicazioni, dati e infrastrutture non possono più essere consolidate, ma vanno bilanciate tra diverse formule di servizio, in house e in outsourcing, on premise o in cloud. È la natura stessa della tecnologia a essere diventata assolutamente dinamica e cangiante, richiedendo nuove equazioni per il calcolo del ROI.

Gli analisti concordano nel ritenere che l’interesse delle aziende verso le infrastrutture iperconvergenti sia in crescita: secondo MarketsAndMarkets, il mercato globale delle soluzioni HCI (Hyper Converged Infrastructures) aumenterà anno su anno, partendo dai 4.1 miliardi di dollari del 2018 per arrivare ai 17.1 miliardi del 2023, con un CAGR del 32,9%.

 

Come funziona l’iperconvergenza

Alla base dell’iperconvergenza c’è una nuova intelligenza del software. Grazie a questa chiave di sviluppo server, storage e software di virtualizzazione convergono in un unico oggetto, detto appliance, governato da un unico programma che funge da controller di gestione. Idealmente, il modello fa collassare un intero data center in un nodo che viene gestito attraverso un’interfaccia utente non solo più semplice e intuitiva, ma che può essere subappaltata a un provider e gestita in cloud. La flessibilità e la scalabilità dell’infrastruttura iperconvergente si basano su di uno o più nodi che si aggiungono, all’occorrenza, al sistema di base.

In un approccio convergente, il modello chiavi in mano è il seguente: un fornitore consegna un insieme preconfigurato di hardware e software in un singolo chassis per minimizzare i problemi di compatibilità fra differenti componenti e razionalizzare la gestione di tutta l’infrastruttura. Non si parla di convergenza, ma di iperconvergenza perché la differenza è che quest’ultima aggiunge un livello maggiore di integrazione e di relativa semplificazione d’uso rispetto ai componenti in gioco. Spesso, infatti, i sistemi iperconvergenti integrano tutto quello che serve a una sala server o a un datacenter: hardware, software, storage, deduplicazione, compressione ed eventuale replica geografica. Il tutto in un unico appliance, gestito con un solo software, attraverso un unico cruscotto centralizzato. Questo è il motivo per cui si parla di software defined data center.

In sintesi, dal possesso di una tecnologia il focus si è spostato alla fruizione del servizio, attraverso SLA (Service Level Agreement) a misura di ogni tipo di esigenza. Potenza, intelligenza, memoria, spazio ed energia diventano funzioni variabili, gestite da un’unica regia di controllo. Compito degli executive è ragionare sul tipo di contratti e sui fornitori più competenti, bilanciando risorse ed economics secondo orizzonti di pianificazione nel breve, nel medio e nel lungo termine.

1 Settembre 2020

Libraesva : nuova ondata di campagne malware EXCEL 4.0 che abusano della funzione macro FORMULA

Estratto , tradotto, da un articolo di :
Rodolfo Saccani / Responsabile ricerca e sviluppo sicurezza @ Libraesva
L’articolo originale lo puoi trovare qui

MVBA è stato introdotto in Excel 5.0. Prima di allora Excel aveva solo macro XLM, che sono ancora supportate oggi.

Le macro XLM consentono di scrivere codice immettendo istruzioni direttamente nelle celle, proprio come le normali formule. In realtà sono chiamati macro-formule.

[omissis]

Ci sono alcune dichiarazioni tra queste macro-formule che consentono l’esecuzione di codice dannoso, queste sono denominate EXEC, RUN e CALL. Il mese scorso, nell’aprile 2020, è circolata un’ondata di malware che abusa di queste chiamate.

A maggio abbiamo visto una nuova ondata che apparentemente abusava ancora delle macro XLM ma senza chiamare EXEC, RUN o CALL. Al momento in cui li abbiamo ottenuti, la maggior parte di questi campioni aveva un tasso di rilevamento pari a 0 su virustotal, quindi sembra che valga la pena investigarli.

[omissis]

Alcuni di questi file stavano usando trucchi aggiuntivi per confondere l’analisi, come mettere le macro in fogli “nascosti”. Alcuni hanno usato fogli “molto nascosti”, altri sono stati protetti con la password “VelvetSweatshop” (che è un trucco usato da Microsoft per definire documenti di sola lettura). C’è anche una grande variabilità nei nomi dei file e nelle campagne e-mail. Non perderò tempo con questi dettagli e andrò subito al punto.

[omissis]

[Dall’analisi dei campioni , si e’ visto che tutti hanno in comune] l’abuso della macro-formula FORMULA. La denominazione ricorsiva può creare confusione, quindi lasciatemi fornire un po ‘di chiarimenti: proprio come qualsiasi altra istruzione formula (come IF o SUM per esempio), l’istruzione FORMULA può essere inserita in una cella sotto forma di formula. Questa affermazione particolare sembra essere denominata FORMULA stessa.

Cosa fa questa dichiarazione FORMULA? Immette una formula nella cella attiva (o in un riferimento). Fondamentalmente ciò che viene dato come parametro a questa chiamata diventa una fomula.

Generazione indiretta di formule se lo desideri e, sì, è pericoloso come sembra.

[omissis]

Questo è fondamentalmente il comportamento di questi campioni dannosi: creano una formula raccogliendo dati da molte celle diverse e apportando alcune trasformazioni. Quindi applicano la formula usando l’istruzione FORMULA.FILL (o una delle sue varianti, vedi il riferimento alle funzioni collegato sopra se sei interessato).

Il testo esatto del FORMULA è costruito in fase di esecuzione e ciò garantisce l’offuscamento che sembra essere efficace dato il punteggio zero o molto basso ottenuto da questi campioni su Virustotal.

[omissis]

Non siamo interessati a retroingegnerizzare ogni campione per scoprire i dettagli del comportamento. Come società di sicurezza della posta elettronica ci concentriamo sui metodi e sugli strumenti utilizzati dagli aggressori piuttosto che sulla specifica variante di malware.

Il nostro compito è bloccare queste minacce sul gateway, sappiamo che l’approccio del riconoscimento di elementi dannosi noti non è efficace e pertanto ci concentriamo sulla rimozione degli strumenti utilizzati dagli aggressori.

La filosofia del nostro sandbox QuickSand è più simile a un firewall: quando i nostri sistemi vedono un modello come questo, non si preoccupano davvero del reverse engineering del comportamento reale, non si preoccupano nemmeno di riconoscere se si tratta di una variante di malware nota o uno nuovo.

Che sia diretto o indiretto, non è consentito alcun modo di eseguire materiale per i documenti consegnati via e-mail. Questo approccio è meno soggetto all’evasione ed è proattivo: blocca le varianti attuali e future, note e sconosciute.

Il basso tasso di rilevamento di questi campioni su virustotal e su molti servizi di sandboxing basati sulla virtualizzazione conferma che, per essere efficace con le minacce in continua evoluzione, questo è un approccio migliore.

Estratto , tradotto, da un articolo di :
Rodolfo Saccani / Responsabile ricerca e sviluppo sicurezza @ Libraesva
L’articolo originale lo puoi trovare qui

16 Maggio 2020

Blog & News

Categorie