Un altro anno, un altro martedì

 
Tratto da Blog Kaspersky
Autore:  Kaspersky Team – 18/01/2022
 
 

Microsoft risolve più di 100 vulnerabilità su Windows 10 e 11, Windows Server 2019 e 2022, Exchange Server, Office e browser Edge

Microsoft ha iniziato l’anno con una massiccia correzione delle vulnerabilità, rilasciando non solo il suo regolare aggiornamento del primo martedì del mese, che questa volta copre un totale di 96 vulnerabilità, ma anche rilasciando un mucchio di correzioni per il browser Microsoft Edge (principalmente legate al motore Chromium). Questo fa sì che più di 120 vulnerabilità siano state risolte dall’inizio dell’anno. Questo è un chiaro motivo per aggiornare il sistema operativo e alcune applicazioni Microsoft il più presto possibile.

Le vulnerabilità più gravi

Nove delle vulnerabilità che sono state risolte questo martedì hanno una valutazione critica sulla scala CVSS 3.1. Di queste, due sono legate all’elevazione dei privilegi: CVE-2022-21833 in Virtual Machine IDE Drive e CVE-2022-21857 in Active Directory Domain Services. Lo sfruttamento degli altri sette può dare ad un criminale informatico la capacità di esecuzione di codice da remoto:

L’ultima sembrerebbe essere la vulnerabilità più spiacevole. Un bug nello stack del protocollo HTTP permette teoricamente ai criminali informatici non solo di far eseguire codice arbitrario al computer colpito, ma anche per diffondere l’attacco sulla rete locale (secondo la terminologia Microsoft, la vulnerabilità è classificata come wormable, cioè, può essere utilizzata per creare un worm). Questa vulnerabilità è rilevante per Windows 10, Windows 11, Windows Server 2022 e Windows Server 2019. Tuttavia, secondo Microsoft, è pericoloso per gli utenti di Windows Server 2019 e Windows 10 versione 1809 solo se abilitano HTTP Trailer Support utilizzando la chiave EnableTrailerSupport nel registro di sistema.

Gli esperti hanno anche espresso preoccupazione per la presenza di un’altra grave vulnerabilità in Microsoft Exchange Server, CVE-2022-21846 (che, a proposito, non è l’unico bug di Exchange sulla lista, solo il più pericoloso). La loro preoccupazione è totalmente comprensibile, nessuno vuole una ripetizione dell’ondata di vulnerabilità Exchange sfruttate l’anno scorso.

Vulnerabilità con PoC

Alcune delle vulnerabilità risolte erano già note alla comunità di sicurezza. Inoltre, qualcuno ha già pubblicato proof of concept per loro:

  • CVE-2022-21836, Vulnerabilità di spoofing del certificato di Windows;
  • CVE-2022-21839, Vulnerabilità di negazione del servizio nell’elenco di controllo degli accessi discrezionali di Windows;
  • CVE-2022-21919, Vulnerabilità di elevazione dei privilegi nel servizio del profilo utente di Windows.

Non abbiamo ancora osservato attacchi reali utilizzando queste vulnerabilità. Tuttavia, le proof of concept sono già in circolazione, quindi lo sfruttamento può iniziare in qualsiasi momento.

Come rimanere al sicuro

In primo luogo, è necessario aggiornare il sistema operativo (e altri programmi di Microsoft) il più presto possibile. In generale, di solito è saggio non ritardare l’installazione delle patch per il software critico.

In secondo luogo, qualsiasi computer o server connesso a Internet deve essere dotato di una soluzione di sicurezza affidabile in grado non solo di prevenire lo sfruttamento delle vulnerabilità note, ma anche di rilevare gli attacchi con exploit ancora sconosciuti.

Per ulteriori informazioni sulle soluzioni di sicurezza Kaspersky: dircom@argonavis.it

18 Gennaio 2022

OWOWA: il modulo IIS dannoso

 
Tratto da Blog Kaspersky
Autore:  Kaspersky Team – 16/12/2021
 
 

Il modulo dannoso IIS (Internet Information Services) rende Outlook sul web uno strumento per i criminali informatici

 

 

Un modulo dannoso di Internet Information Services (IIS) sta trasformando Outlook in uno strumento per rubare credenziali e un pannello di accesso remoto. Degli attori sconosciuti hanno usato il modulo in attacchi mirati, e i nostri ricercatori lo hanno rinominato OWOWA.

Perché Outlook sul web attira gli hacker

Outlook sul web (precedentemente noto come Exchange Web Connect, Outlook Web Access e Outlook Web App, o semplicemente OWA) è un’interfaccia basata sul web per accedere al servizio Personal Information Manager di Microsoft. L’applicazione è distribuita su server Web che eseguono IIS.

Molte aziende lo usano per fornire ai dipendenti l’accesso remoto alle caselle di posta e ai calendari aziendali senza dover installare un client dedicato. Ci sono diversi metodi per implementare Outlook sul web, uno dei quali comporta l’utilizzo di Exchange Server in loco, che è quello a cui sono attratti i criminali informatici. In teoria, ottenere il controllo di questa applicazione dà loro accesso a tutta la corrispondenza aziendale, insieme a infinite opportunità per espandere il loro attacco all’infrastruttura e lanciare ulteriori campagne BEC.

Come funziona OWOWA

OWOWA si carica sui server web IIS compromessi come un modulo per tutte le app compatibili, ma il suo scopo è quello di intercettare le credenziali inserite in OWA. Il malware controlla le richieste e le risposte su Outlook nella pagina di accesso Web, e se vede che un utente ha inserito le credenziali e ha ricevuto un token di autenticazione in risposta, scrive il nome utente e la password in un file (in forma cifrata).

Inoltre, OWOWA permette ai cybercriminali di controllare la sua funzionalità direttamente tramite lo stesso modulo di autenticazione. Inserendo alcuni comandi nei campi del nome utente e della password, un hacker può recuperare le informazioni raccolte, cancellare il file log o eseguire comandi arbitrari sul server compromesso attraverso PowerShell.

Per una descrizione tecnica più dettagliata del modulo con indicatori di compromissione, leggete il nostro post su Securelist.

Chi sono le vittime degli attacchi di OWOWA?

I nostri esperti hanno rilevato attacchi basati su OWOWA su server in diversi paesi asiatici: Malesia, Mongolia, Indonesia e Filippine. Tuttavia, i nostri esperti hanno ragione di credere che i criminali informatici siano interessati anche alle organizzazioni in Europa.

La maggior parte degli obiettivi erano agenzie governative, con almeno una società di trasporti (anch’essa di proprietà statale).

Come proteggersi da OWOWA

Potete usare il comando appcmd.exe, o il normale strumento di configurazione di IIS, per rilevare il modulo dannoso OWOWA (o qualsiasi altro modulo IIS di terze parti) sul server web IIS. Tenete a mente, tuttavia, che qualsiasi server rivolto a Internet, come qualsiasi computer, ha bisogno di protezione.

16 Dicembre 2021

Un cambio di prospettiva per la sicurezza industriale: immunizzare le aziende

 
Tratto da Blog Kaspersky
Autore:  Eugene Kaspersky – 14/12/2021
 
 
 

Kaspersky IoT Secure Gateway 100: come proteggere i dati industriali preservando la continuità aziendale

 

 

Come proteggere i dati da occhi estranei e da modifiche non autorizzate, preservando al contempo la continuità dei processi aziendali?

In effetti, proteggere la riservatezza, l’integrità e l’accessibilità costituiscono ancora la fatica quotidiana della maggior parte dei professionisti della cybersecurity.

Non importa dove vada, il ‘digitale’ porta sempre con sé gli stessi problemi. Lo ha fatto, lo fa e continuerà a farlo. Ma naturalmente lo farà, perché i vantaggi della digitalizzazione sono così evidenti. Anche campi apparentemente conservatori come la costruzione di macchine pesanti, la raffinazione del petrolio, i trasporti o l’energia sono stati pesantemente digitalizzati già da anni. Tutto bene, ma è tutto sicuro?

Con il digitale, l’efficacia del business cresce a passi da gigante. Ma d’altra parte, tutto ciò che è digitale può essere (e viene) violato, e ci sono moltissimi esempi di ciò. C’è una grande tentazione di abbracciare completamente il digitale, per raccogliere tutti i suoi benefici; tuttavia, deve essere fatto in un modo che non sia agonizzante e doloroso (con i processi aziendali che vengono interrotti). Ed è qui che il nostro nuovo (quasi) speciale “antidolorifico” può aiutare: il nostro KISG 100 (Kaspersky IoT Secure Gateway).

 

 

Questo piccolo dispositivo è installato tra l’attrezzatura industriale (‘macchinari’) e il server che riceve vari segnali da questa attrezzatura. I dati in questi segnali variano, sulla produttività, i guasti del sistema, l’uso delle risorse, i livelli di vibrazione, le misurazioni delle emissioni di CO2/NOx, e molti altri, ma sono tutti necessari per avere un quadro generale del processo di produzione e per essere in grado di prendere decisioni aziendali ben informate e ragionate.

Il dispositivo è piccolo, ma è anche potente. Una funzionalità cruciale è che permette di trasferire solo i dati “consentiti”. Permette anche la trasmissione dei dati rigorosamente in una sola direzione. Così, in un istante KISG 100 intercetta un intero insieme di attacchi: man-in-the-middle, man-in-the-cloud, attacchi DDoS, e molte altre minacce basate su internet che continuano ad arrivare.

KISG 100 (che lavora sulla piattaforma hardware Siemens SIMATIC IOT2040 e il nostro cyber immune KasperskyOS) divide le reti esterne e interne in modo tale che nessun singolo byte di codice dannoso possa passare tra le due, così il dispositivo rimane completamente protetto. La tecnologia (per la quale abbiamo tre brevetti in corso) funziona in base al principio del diodo di dati: aprire il flusso di dati in una sola direzione e solo dopo aver soddisfatto determinate condizioni. Ma, a differenza delle soluzioni concorrenti, KISG lo fa in modo più affidabile, più semplice e più economico.

Questo piccolo dispositivo chiamato ‘gateway’, in linea di principio funziona proprio come la porta meccanica idrotecnica che si trova sui canali, ossia la chiusa. Si apre il cancello inferiore, la barca, il livello dell’acqua sale, il cancello superiore si apre, la barca esce. Allo stesso modo, KISG 100 prima inizializza l’agente della fonte dalla rete industriale, poi lo connette con l’agente del ricevitore di dati in direzione del server e permette il trasferimento unidirezionale dei dati.

Una volta che viene stabilita una connessione tra la macchina e il server, il sistema ha un cosiddetto stato protetto: l’accesso a una rete esterna e anche alla memoria non sicura è vietato a entrambi gli agenti (sorgente e ricevente), mentre l’accesso alla memoria sicura (da cui ricevono parametri di lavoro come chiavi di cifratura, certificati, ecc. Con questo stato, il gateway non può essere compromesso da attacchi da una rete esterna, poiché tutti i suoi componenti in questa fase sono disconnessi dal mondo esterno e sono considerati fidati; sono solo caricati e inizializzati.

Dopo l’inizializzazione, lo stato del gateway viene cambiato in attivo: l’agente ricevitore ottiene il diritto sia di trasferire dati a una rete esterna sia di accedere alla memoria non sicura (in cui sono contenuti dati temporanei). Così, anche se c’è un hacking sul lato server, gli hacker non possono arrivare agli altri componenti del gateway o alla rete industriale. In questo modo:

 

 

Il controllo sull’osservazione delle regole di interazione tra gli agenti, più la commutazione degli stati del gateway è fatto da un monitor di cybersecurity KSS. Questo sottosistema isolato di KasperskyOS controlla costantemente il rispetto delle politiche di sicurezza predefinite (quale componente può fare cosa) e, secondo il principio “default deny”, blocca tutte le azioni vietate. Il principale vantaggio competitivo di KSS è che le politiche di sicurezza sono molto convenienti da descrivere con un linguaggio speciale e per combinare diversi modelli predefiniti di sicurezza informatica. Se uno solo dei componenti di KISG 100 (per esempio, l’agente ricevitore) risulta essere compromesso, non può danneggiare gli altri, mentre l’operatore del sistema viene informato dell’attacco e può mettersi al lavoro per affrontarlo.

Il piccolo dispositivo può aiutare a fornire servizi digitali aggiuntivi. Permette di integrare in modo sicuro i dati industriali in ERP/CRM e altri sistemi di business assortiti di un’impresa.

Sono in corso progetti pilota di successo con Rostec e Gazprom Neft, e ne sono iniziati decine di altri con grandi organizzazioni industriali. Il dispositivo ha ricevuto un premio speciale per l’eccezionale risultato tecnologico al più grande evento IT cinese, Internet World Conference; alla fiera industriale Hannover Messe 2021 KISG 100 ha guadagnato un posto tra le migliori soluzioni innovative; e proprio di recente ha preso il primo premio nel IoT Awards 2021 dell’Internet of Things Association, battendo molte aziende più quotate.

In futuro espanderemo la gamma di questi dispositivi intelligenti. Già il “fratello maggiore” di KISG 100, KISG 1000, è in fase di beta test. Oltre ad essere un gateway-guardia, è anche un ispettore: non solo raccoglie, controlla e distribuisce la telemetria, ma trasferisce anche i comandi di gestione ai dispositivi e protegge dagli attacchi alla rete.

Il risultato? Non c’è motivo di aver paura del digitale.

14 Dicembre 2021

Il grattacapo delle imprese: il proxyware

 
Tratto da Blog Kaspersky
Autore:  Enoch Root – 23/11/2021
 
 
I dipendenti possono installare proxyware all’insaputa del loro datore di lavoro, introducendo
ulteriori cyber-rischi aziendali
 
 

 

Immaginate di venire pagati per l’accesso a una piccola porzione della vostra larghezza di banda Internet al lavoro. Non sarebbe niente male, vero? Il computer è comunque sempre acceso e avete accesso illimitato a Internet, quindi perché no? D’altronde non sono nemmeno le vostre risorse, si tratta di attrezzatura aziendale e della larghezza di banda.

Sembra tutto molto semplice, ma non c’è bisogno di fare molte ricerche per capire che quando si accetta di installare un client proxyware su un computer di lavoro, non sarà del tutto innocuo. Installando un proxyware state esponendo la vostra rete aziendale a rischi che superano di gran lunga qualsiasi reddito che potreste guadagnare dall’affare. Per dirla senza mezzi termini: nessun altro discutibile sistema per fare soldi su Internet vi fornisce una tale varietà di conseguenze indesiderabili. Ora vi spieghiamo perché è pericoloso.

Cos’è il proxyware?

I ricercatori di Cisco Talos hanno coniato il termine proxyware e hanno segnalato il fenomeno in profondità. Essenzialmente, un servizio proxyware agisce come un server proxy. Installato su un computer fisso o uno smartphone, rende la connessione Internet del dispositivo accessibile a terzi. A seconda di quanto tempo il programma rimane abilitato e quanta larghezza di banda gli è permesso di utilizzare, il cliente accumula punti che possono essere convertiti in valuta e trasferiti su un conto bancario.

Naturalmente, questi tipi di servizi non devono essere usati per scopi illegali, e hanno alcune applicazioni legittime. Per esempio, alcuni si rivolgono ai dipartimenti di marketing di grandi aziende, che hanno bisogno del maggior numero possibile di punti di accesso al web in diverse regioni geografiche.

Perché il proxyware su un computer aziendale è una cattiva idea

Anche se i servizi di proxyware affermano che gli “inquilini” sono innocui, a volte si verificano problemi, tra cui il danno alla reputazione dell’indirizzo IP e l’affidabilità del software.

Depotenziamento dell’indirizzo IP

Il problema più comune con il proxyware per gli utenti dei computer su cui gira, o anche per l’intera rete se ha un singolo indirizzo IP, è che i servizi spesso incontrano i CAPTCHA, il cui scopo è quello di garantire che solo le persone possano accedere a una risorsa online. Un computer con proxyware solleva sospetti, e anche giustamente.

Un modo in cui gli “affittuari” di banda possono usare i computer carichi di proxyware è quello di scansionare il web o misurare la velocità di accesso ai siti web distribuendo regolarmente un flusso di richieste, e questo non piace ai sistemi automatici di protezione DDoS. Può anche essere un segno di qualcosa di ancora più losco, come lo spam.

Tenete a mente che le conseguenze possono essere molto più disastrose per l’azienda, con richieste automatiche che atterrano sull’indirizzo IP dell’organizzazione su una lista di indirizzi non sicuri. Così, per esempio, se il server di posta elettronica opera sullo stesso indirizzo, ad un certo punto i messaggi dei dipendenti potrebbero smettere di raggiungere i destinatari esterni. Altri server di posta elettronica inizieranno semplicemente a bloccare l’indirizzo IP e il dominio dell’organizzazione.

Falsi clienti proxyware

Un altro rischio che i dipendenti corrono nell’installare il proxyware è che possono scaricare qualcosa di indesiderato. Provate a fare così: andate su Google e cercate “honeygain download”. Otterrete un paio di link al sito ufficiale dello sviluppatore e centinaia di link a siti di file-sharing senza scrupoli, la metà dei quali include “contenuti bonus” con i loro download.

Che tipo di “contenuto bonus”? Beh, i ricercatori descrivono uno di questi installer trojanizzati come distribuire un programma di estrazione di criptovaluta (che divora le risorse e l’elettricità di un PC) e un tool, per connettersi al server di comando dei criminali informatici, da cui qualsiasi altra cosa può essere scaricata in ogni instante.

Questo tipo di proxyware può mettere fuori uso l’intera infrastruttura IT di un’organizzazione. Potrebbe anche portare ad un ransomware capace di cifrare i dati, richieste di riscatto e altro. In sintesi, il proxyware è sinonimo di pericolo per un’azienda.

Installazione nascosta di proxyware

La maggior parte degli scenari assomiglia a quanto detto sopra: conseguenze non volute di installazioni intenzionali (anche se a volte non autorizzate). A volte succede anche il contrario, con un dipendente che cattura un vero malware su un sito sospetto, e quel malware installa un client proxyware modificato sul computer. Questo non è altro che un problema: computer rallentati, meno banda di rete e, potenzialmente, furto di dati.

Consigli per le imprese

Il modo migliore per combattere lo sfruttamento criminale attraverso il proxyware è quello di installare una soluzione antivirus affidabile su ogni computer con accesso a Internet. Non solo questo proteggerà la vostra azienda dagli effetti dannosi del proxyware, ma se tale proxyware include, o è incluso in altri malware, sarete comunque coperti.

Per essere chiari, neanche con il proxyware “pulito” sarete del tutto fuori pericolo. Una sana politica di sicurezza non dovrebbe permettere a nessuno di installare proxyware o qualsiasi altro software discutibile sui computer dei dipendenti, indipendentemente dal fatto che i computer siano in ufficio o che i dipendenti si colleghino alla VPN dell’organizzazione. Come regola, la maggior parte degli impiegati non ha bisogno, e non dovrebbe avere il permesso, di installare software sui loro computer in modo indipendente.

24 Novembre 2021

Phishing mascherato da spam

 
Tratto da Blog Kaspersky
Autore:  Roman Dedenok – 18/11/2021
 
 
Gli hacker stanno cercando di rubare le credenziali dalla posta aziendale inviando liste di e-mail di spam in quarantena
 
 

 

Cosa fate quando un’e-mail non richiesta arriva nella vostra casella di posta del lavoro? A meno che voi non siate un analista di spam, molto probabilmente la cancellate e basta. Paradossalmente, questo è esattamente ciò che alcuni phisher vogliono e, come risultato, ultimamente le nostre trappole di posta hanno visto sempre più e-mail che sembrano essere notifiche di messaggi ovviamente indesiderati.

 

Come funziona

I criminali informatici, contando sull’inesperienza degli utenti in materia di tecnologie antispam, inviano notifiche agli impiegati aziendali sulle e-mail che presumibilmente arrivano al loro indirizzo e sono messe in quarantena. Questi messaggi assomigliano a questo:

 

False notifiche sulle e-mail in quarantena.

 

La scelta dell’argomento è generalmente poco importante, i criminali informatici copiano semplicemente lo stile di altre pubblicità per beni e servizi non richiesti e forniscono pulsanti per cancellare o mantenere ogni messaggio. Fornisce anche un’opzione per eliminare tutti i messaggi in quarantena in una volta sola o per aprire le impostazioni della casella di posta. Gli utenti ricevono anche istruzioni visive:

 

Istruzioni visive inviate dai truffatori.

 

Qual è il trucco?

Naturalmente, i pulsanti non sono quello che sembrano. Dietro ogni pulsante e collegamento ipertestuale si trova un indirizzo che porta chi clicca a una finta pagina di login, che sembra l’interfaccia web di un servizio di posta:

 

Sito di phishing.

 

Il messaggio “Sessione scaduta” ha lo scopo di convincere l’utente ad accedere. La pagina ha uno scopo, ovviamente: raccogliere le credenziali di posta aziendale.

 

Indizi

Nell’e-mail, la prima cosa che dovrebbe attirare la vostra attenzione è l’indirizzo del mittente. Se la notifica fosse reale, dovrebbe provenire dal vostro server, che ha lo stesso dominio del vostro indirizzo di posta, non, come in questo caso, da una società sconosciuta.

Prima di cliccare qualsiasi link o pulsante su un messaggio, controllate dove vi reindirizzano, passando sopra il cursore del mouse. In questo caso, lo stesso link è collegato in tutti gli elementi attivi, e porta a un sito web che non ha alcuna relazione né con il dominio del destinatario né con quello ungherese del mittente. Questo include il pulsante che presumibilmente invia una “richiesta HTTP per togliere tutti i messaggi dalla quarantena”. Lo stesso indirizzo dovrebbe servire come campanello d’allarme sulla pagina di login.

 

Come evitare lo spam e phishing

Per evitare di abboccare all’amo, gli utenti aziendali devono avere familiarità con il playbook di base del phishing.

Uno strumento online di facile gestione che sviluppa livello per livello le competenze dei dipendenti in materia di cybersecurity è la Piattaforma Kaspersky Automated Security Awareness (ASAP).

Naturalmente, è meglio prevenire gli incontri tra gli utenti finali e le e-mail pericolose e i siti web di phishing in primo luogo. Per questo, occorre usare soluzioni antiphishing sia a livello di mail server che sui computer degli utenti.

Per ulteriori informazioni sulle soluzioni antiphishing e sulla Piattaforma ASAP di Kaspersky: dircom@argonavis.it

19 Novembre 2021