Follina: file di Office come cavallo di troia

 
Tratto da Blog Kaspersky
Autore:  Editorial Team – 02/06/2022
 
 

La nuova vulnerabilità CVE-2022-30190, nota come Follina, consente di sfruttare il Windows Support Diagnostic Tool attraverso i file di MS Office

 

 

I ricercatori hanno scoperto un’altra grave vulnerabilità nei prodotti Microsoft che potenzialmente permette agli hacker di eseguire un codice arbitrario. Il MITRE ha classificato questa vulnerabilità con il nome di CVE-2022-30190, mentre i ricercatori l’hanno chiamata in modo un po’ poetico Follina. La cosa più preoccupante è che non esiste ancora un fix per questo bug e ciò che è ancor più grave è che la vulnerabilità viene già sfruttata attivamente da molti criminali informatici. L’aggiornamento è in fase di sviluppo, ma nel frattempo consigliamo a tutti gli utenti e amministratori di Windows di utilizzare workaround temporanei.

Che cos’è CVE-2022-30190 e quali sono i prodotti interessati?

La vulnerabilità CVE-2022-30190 è contenuta nello strumento di diagnostica Microsoft Windows Support Diagnostic Tool (al quale ci riferiremo con la sua sigla MSDT), il che non sembra un grosso problema. Purtroppo, a causa dell’implementazione di questo strumento, la vulnerabilità può essere sfruttata tramite un file MS Office dannoso.

L’MSDT è un’applicazione utilizzata per raccogliere automaticamente informazioni diagnostiche e inviarle a Microsoft quando qualcosa non funziona su Windows. Lo strumento può essere richiamato da altre applicazioni (Microsoft Word è l’esempio più noto) attraverso un protocollo URL speciale di MSDT. Se la vulnerabilità viene sfruttata con successo, un utente malintenzionato può eseguire un codice arbitrario con i privilegi dell’applicazione che ha richiamato l’MSDT, ovvero, in questo caso, con i diritti dell’utente che ha aperto il file dannoso.

La vulnerabilità CVE-2022-30190 può essere sfruttata in tutti i sistemi operativi della famiglia Windows, sia desktop che server.

Come i cyber-criminali sfruttano CVE-2022-30190

Per capire come funziona un attacco, i ricercatori che hanno scoperto questa vulnerabilità offrono il seguente esempio.

I criminali creano un documento Office dannoso e fanno in modo che la vittima lo riceva. Il modo più comune per farlo è inviare un’e-mail con un allegato dannoso, condito con qualche classico stratagemma di social engineering per convincere il destinatario ad aprire il file in questione. Per esempio, un e-mail con un messaggio del tipo “controlla urgentemente il contratto, firma domani mattina” potrebbe funzionare.

Il file infetto contiene un link a un file HTML che contiene a sua volta un codice JavaScript capace di eseguire un codice dannoso nella riga di comando tramite l’MSDT. Se lo sfruttamento va a buon fine, gli hacker possono installare programmi, visualizzare, modificare o distruggere dati, nonché creare nuovi account, ovvero avere il via libera all’interno del sistema utilizzando i privilegi della vittima.

Come proteggersi

Come menzionato in precedenza, non esiste ancora una patch. Nel frattempo, Microsoft consiglia disabilitare il protocollo URL di MSDT. Per farlo, è necessario aprire il prompt dei comandi con diritti di amministratore ed eseguire il comando reg delete HKEY_CLASSES_ROOT\ms-msdt /f. Prima di farlo, vi raccomandiamo di eseguire un back up del registro eseguendo il seguente codice: reg export HKEY_CLASSES_ROOT\ms-msdt filename. In questo modo, potrete ripristinare velocemente il registro con il comando reg import filename non appena questo workaround non sarà più necessario.

Naturalmente, questa è solo una misura temporanea e la cosa migliore sarebbe installare, non appena disponibile, l’aggiornamento che corregga la vulnerabilità Follina.

I metodi descritti per sfruttare questa vulnerabilità prevedono l’uso di e-mail con allegati dannosi e metodi di social engineering. Pertanto, si consiglia di prestare ancora più attenzione del normale alle e-mail provenienti da mittenti sconosciuti, in particolare ai file Office allegati. Per le aziende, è opportuno sensibilizzare regolarmente i dipendenti circa i trucchi più importanti e comuni utilizzati dagli hacker.

Inoltre, tutti i dispositivi con accesso a Internet dovrebbero essere dotati di solide soluzioni di sicurezza. Tali soluzioni possono impedire l’esecuzione di codici dannosi sul computer dell’utente anche quando si sfrutta una vulnerabilità sconosciuta.

6 Giugno 2022

Vulnerabilità di Windows sfruttata attivamente

 
Tratto da Blog Kaspersky
Autore:  Editorial Team – 13/05/2022
 
 

Microsoft ha rilasciato le patch per diverse decine di vulnerabilità, una delle quali viene già attivamente sfruttata dai cybercriminali

 

 

Nell’ultimo Patch Tuesday (10 maggio) Microsoft ha rilasciato aggiornamenti per 74 vulnerabilità. Gli hacker stanno già attivamente sfruttando almeno una di queste vulnerabilità; pertanto, è importante installare le patch il prima possibile.

CVE-2022-26925, la vulnerabilità più pericolosa tra quelle trattate

A quanto pare, la vulnerabilità più pericolosa a cui fa riferimento questo pacchetto di aggiornamenti è la CVE-2022-26925, contemplata dall’autorità di sicurezza locale di Windows. Tuttavia, la vulnerabilità ottiene un punteggio di 8,1 nella scala CVSS, il che è un indice relativamente basso. Però i rappresentanti di Microsoft ritengono che quando questa vulnerabilità viene utilizzata negli attacchi NTLM Relay nei confronti dei servizi certificati di Active Directory, il livello di gravità di questo bundle sale a 9,8 (scala CVSS). Il motivo dell’aumento del livello di gravità è che in queste circostanze, CVE-2022-26925 potrebbe consentire a un hacker di autenticarsi su un domain controller.

La vulnerabilità può interessare tutti i sistemi operativi Windows da Windows 7 (Windows Server 2008 per i sistemi server) in avanti. Microsoft non è entrata nei dettagli e non ha specificato come sia possibile sfruttare questa vulnerabilità; tuttavia, a giudicare dalla descrizione del problema, alcuni cybercriminali sconosciuti stanno già utilizzando attivamente gli exploit per CVE-2022-26925. La buona notizia è che, secondo gli esperti, sfruttare questa vulnerabilità in attacchi reali è piuttosto difficile.

La correzione rileva e blocca i tentativi di connessione anonima al Remote Protocol dell’autorità di sicurezza locale. Tuttavia, secondo le FAQ ufficiali, l’installazione di questo aggiornamento su Windows Server 2008 SP2 potrebbe influire sul software di backup.

Altre vulnerabilità

Oltre a CVE-2022-26925, l’ultimo aggiornamento corregge altre vulnerabilità con un livello di gravità “critico”. Tra queste vi sono la vulnerabilità RCE CVE-2022-26937 nel Network File System (NFS) di Windows, nonché CVE-2022-22012 e CVE-2022-29130, due vulnerabilità RCE che interessano il servizio LDAP.

Altre due vulnerabilità erano già note al pubblico al momento della pubblicazione delle patch. La prima è CVE-2022-29972, un bug che colpisce il driver Magnitude Simba Amazon Redshift di Insight Software; mentre la seconda è CVE-2022-22713, una vulnerabilità DoS che interessa Hyper-V di Windows. Tuttavia, ad oggi, non sono stati rilevati tentativi di sfruttamento.

Come proteggersi

Innanzitutto, installate gli ultimi aggiornamenti di Microsoft. Se per qualche motivo, nel vostro ambiente non è possibile, consultate la sezione FAQ e le soluzioni e mitigazioni dei rischi nella guida ufficiale agli aggiornamenti di sicurezza di Microsoft (data maggio 2022). Sicuramente, potrete utilizzare uno dei metodi descritti in precedenza e proteggere così la vostra infrastruttura dalle vulnerabilità più rilevanti.

16 Maggio 2022

Come bloccare un sito di phishing

 
Tratto da Blog Kaspersky
Autore:  Hugh Aver – 27/01/2022
 
 

Kaspersky ha un nuovo servizio che permette di rimuovere i siti dannosi e di phishing

 

 

I criminali informatici hanno molti schemi che coinvolgono la creazione di domini dannosi o di phishing. Possono usare questi domini per attaccare i vostri clienti, partner o anche i vostri dipendenti. Ecco perché di tanto in tanto le aziende hanno bisogno di bloccare un dominio pericoloso, e alcune di loro affrontano tali minacce abbastanza spesso. Di solito, l’eliminazione di un dominio dannoso non è impossibile, ma richiede una certa esperienza e molto tempo. Tuttavia, quando si identifica una tale minaccia, non si ha tempo da perdere, può portare a una perdita di entrate, danni alla reputazione, perdita di fiducia dei clienti, fughe di dati e altro. Ecco perché Kaspersky ha aggiornato il portfolio di informazioni sulle minacce con un nuovo servizio: Kaspersky Takedown Service.

L’importanza del Threat Intelligence

Il Threat intelligence è un insieme di servizi che aiutano le aziende a navigare nel panorama delle minacce informatiche e a prendere le decisioni giuste per migliorare la loro sicurezza informatica. In poche parole, si tratta della raccolta e dell’analisi dei dati sulla situazione epidemiologica dentro e fuori una rete aziendale. I servizi di intelligence delle minacce includono strumenti professionali per l’indagine degli incidenti, dati analitici sui nuovi cyberattacchi mirati e molto altro. Con l’aiuto del threat intelligence, un esperto di cybersecurity può tenere traccia di ciò che stanno facendo i potenziali hacker, quanto bene sono armati e quali strategie e quali tattiche usano.

Uno dei servizi più utili del portfolio Threat Intelligence di Kaspersky è il servizio Digital Footprint Intelligence (DFI). Mette insieme un “ritratto digitale dettagliato e dinamico di un’organizzazione” (risorse del perimetro di rete, indirizzi IP, domini aziendali, provider di cloud e hosting utilizzati, e anche dipendenti, marchi associati, filiali e succursali). Successivamente monitora qualsiasi menzione di queste informazioni in fonti aperte, nella darknet e nel deepweb, e anche nel database Kaspersky che contiene informazioni su quasi un migliaio di attacchi mirati in corso e vari strumenti dannosi.

Così, il DFI scopre le vulnerabilità e le potenziali minacce e fughe di dati, oltre ai segni di cyberattacchi passati, attuali e persino pianificati, ed è eccezionalmente efficace (ecco solo un esempio delle nostre indagini DFI in Medio Oriente).

Cosa si può fare con un dominio dannoso?

Quindi cosa dovrebbe fare il responsabile della sicurezza se il monitoraggio trovasse, per esempio, un sito di phishing che finge di essere uno dei siti della vostra azienda, e sta raccogliendo i numeri delle carte di credito dei vostri utenti? Normalmente in un caso del genere un’organizzazione dovrebbe intraprendere una procedura che richiede molte risorse per raccogliere le prove della frode informatica, per creare una richiesta di rimozione e inviarla all’organizzazione che gestisce la zona di dominio del sito, per monitorare che la richiesta venga eseguita, e per fornire materiale extra se necessario. Si tratta di un compito piuttosto impegnativo, che richiede uno specialista designato (o anche un intero team di esperti).

Adesso il servizio DFI di Kaspersky ha un aggiornamento, il Kaspersky Takedown Service che può essere utilizzato per gestire il blocco dei domini dannosi, phishing e typosquatting. Non appena DFI trova una tale minaccia, tutto ciò che gli utenti devono fare è cliccare un paio di volte con il mouse per creare una richiesta di blocco di un sito. Dopo di che, tutto è automatizzato. Kaspersky raccoglie le prove, le invia alle autorità competenti, dà seguito alla richiesta e informa il cliente su ogni fase di questo processo.

Nel corso di diversi anni Kaspersky ha stabilito solide relazioni professionali con le società di registrazione dei nomi di dominio, i team di risposta alle emergenze nazionali e di settore (CERT), la polizia informatica internazionale (INTERPOL, Europol) e altre organizzazioni competenti rilevanti. Attualmente, impiega in media alcuni giorni per ottenere il blocco di un sito dannoso (a seconda della zona del dominio, del livello del dominio e del provider di hosting), e non è troppo costoso. Invece, allo stesso tempo, l’uso del DFI di Kaspersky solleva gli esperti dal complesso lavoro non-core, riduce i rischi digitali e permette agli specialisti del personale di concentrarsi sui loro compiti prioritari.

Per ulteriori informazioni sui servizi di Threat Intelligence di Kaspersky: dircom@argonavis.it

28 Gennaio 2022

Microsoft applica delle patch a più di 100 vulnerabilità

 
Tratto da Blog Kaspersky
Autore:  Kaspersky Team – 18/01/2022
 
 

Microsoft risolve più di 100 vulnerabilità su Windows 10 e 11, Windows Server 2019 e 2022, Exchange Server, Office e browser Edge

 

 

Microsoft ha iniziato l’anno con una massiccia correzione delle vulnerabilità, rilasciando non solo il suo regolare aggiornamento del primo martedì del mese, che questa volta copre un totale di 96 vulnerabilità, ma anche rilasciando un mucchio di correzioni per il browser Microsoft Edge (principalmente legate al motore Chromium). Questo fa sì che più di 120 vulnerabilità siano state risolte dall’inizio dell’anno. Questo è un chiaro motivo per aggiornare il sistema operativo e alcune applicazioni Microsoft il più presto possibile.

Le vulnerabilità più gravi

Nove delle vulnerabilità che sono state risolte questo martedì hanno una valutazione critica sulla scala CVSS 3.1. Di queste, due sono legate all’elevazione dei privilegi: CVE-2022-21833 in Virtual Machine IDE Drive e CVE-2022-21857 in Active Directory Domain Services. Lo sfruttamento degli altri sette può dare ad un criminale informatico la capacità di esecuzione di codice da remoto:

L’ultima sembrerebbe essere la vulnerabilità più spiacevole. Un bug nello stack del protocollo HTTP permette teoricamente ai criminali informatici non solo di far eseguire codice arbitrario al computer colpito, ma anche per diffondere l’attacco sulla rete locale (secondo la terminologia Microsoft, la vulnerabilità è classificata come wormable, cioè, può essere utilizzata per creare un worm). Questa vulnerabilità è rilevante per Windows 10, Windows 11, Windows Server 2022 e Windows Server 2019. Tuttavia, secondo Microsoft, è pericoloso per gli utenti di Windows Server 2019 e Windows 10 versione 1809 solo se abilitano HTTP Trailer Support utilizzando la chiave EnableTrailerSupport nel registro di sistema.

Gli esperti hanno anche espresso preoccupazione per la presenza di un’altra grave vulnerabilità in Microsoft Exchange Server, CVE-2022-21846 (che, a proposito, non è l’unico bug di Exchange sulla lista, solo il più pericoloso). La loro preoccupazione è totalmente comprensibile, nessuno vuole una ripetizione dell’ondata di vulnerabilità Exchange sfruttate l’anno scorso.

Vulnerabilità con PoC

Alcune delle vulnerabilità risolte erano già note alla comunità di sicurezza. Inoltre, qualcuno ha già pubblicato proof of concept per loro:

  • CVE-2022-21836, Vulnerabilità di spoofing del certificato di Windows;
  • CVE-2022-21839, Vulnerabilità di negazione del servizio nell’elenco di controllo degli accessi discrezionali di Windows;
  • CVE-2022-21919, Vulnerabilità di elevazione dei privilegi nel servizio del profilo utente di Windows.

Non abbiamo ancora osservato attacchi reali utilizzando queste vulnerabilità. Tuttavia, le proof of concept sono già in circolazione, quindi lo sfruttamento può iniziare in qualsiasi momento.

Come rimanere al sicuro

In primo luogo, è necessario aggiornare il sistema operativo (e altri programmi di Microsoft) il più presto possibile. In generale, di solito è saggio non ritardare l’installazione delle patch per il software critico.

In secondo luogo, qualsiasi computer o server connesso a Internet deve essere dotato di una soluzione di sicurezza affidabile in grado non solo di prevenire lo sfruttamento delle vulnerabilità note, ma anche di rilevare gli attacchi con exploit ancora sconosciuti.

Per ulteriori informazioni sulle soluzioni di sicurezza Kaspersky: dircom@argonavis.it

18 Gennaio 2022

OWOWA: il modulo IIS dannoso

 
Tratto da Blog Kaspersky
Autore:  Kaspersky Team – 16/12/2021
 
 

Il modulo dannoso IIS (Internet Information Services) rende Outlook sul web uno strumento per i criminali informatici

 

 

Un modulo dannoso di Internet Information Services (IIS) sta trasformando Outlook in uno strumento per rubare credenziali e un pannello di accesso remoto. Degli attori sconosciuti hanno usato il modulo in attacchi mirati, e i nostri ricercatori lo hanno rinominato OWOWA.

Perché Outlook sul web attira gli hacker

Outlook sul web (precedentemente noto come Exchange Web Connect, Outlook Web Access e Outlook Web App, o semplicemente OWA) è un’interfaccia basata sul web per accedere al servizio Personal Information Manager di Microsoft. L’applicazione è distribuita su server Web che eseguono IIS.

Molte aziende lo usano per fornire ai dipendenti l’accesso remoto alle caselle di posta e ai calendari aziendali senza dover installare un client dedicato. Ci sono diversi metodi per implementare Outlook sul web, uno dei quali comporta l’utilizzo di Exchange Server in loco, che è quello a cui sono attratti i criminali informatici. In teoria, ottenere il controllo di questa applicazione dà loro accesso a tutta la corrispondenza aziendale, insieme a infinite opportunità per espandere il loro attacco all’infrastruttura e lanciare ulteriori campagne BEC.

Come funziona OWOWA

OWOWA si carica sui server web IIS compromessi come un modulo per tutte le app compatibili, ma il suo scopo è quello di intercettare le credenziali inserite in OWA. Il malware controlla le richieste e le risposte su Outlook nella pagina di accesso Web, e se vede che un utente ha inserito le credenziali e ha ricevuto un token di autenticazione in risposta, scrive il nome utente e la password in un file (in forma cifrata).

Inoltre, OWOWA permette ai cybercriminali di controllare la sua funzionalità direttamente tramite lo stesso modulo di autenticazione. Inserendo alcuni comandi nei campi del nome utente e della password, un hacker può recuperare le informazioni raccolte, cancellare il file log o eseguire comandi arbitrari sul server compromesso attraverso PowerShell.

Per una descrizione tecnica più dettagliata del modulo con indicatori di compromissione, leggete il nostro post su Securelist.

Chi sono le vittime degli attacchi di OWOWA?

I nostri esperti hanno rilevato attacchi basati su OWOWA su server in diversi paesi asiatici: Malesia, Mongolia, Indonesia e Filippine. Tuttavia, i nostri esperti hanno ragione di credere che i criminali informatici siano interessati anche alle organizzazioni in Europa.

La maggior parte degli obiettivi erano agenzie governative, con almeno una società di trasporti (anch’essa di proprietà statale).

Come proteggersi da OWOWA

Potete usare il comando appcmd.exe, o il normale strumento di configurazione di IIS, per rilevare il modulo dannoso OWOWA (o qualsiasi altro modulo IIS di terze parti) sul server web IIS. Tenete a mente, tuttavia, che qualsiasi server rivolto a Internet, come qualsiasi computer, ha bisogno di protezione.

16 Dicembre 2021