Le vulnerabilità di Open Management Infrastructure minacciano i dispositivi virtuali Linux su Microsoft Azure

 
Tratto da Blog Kaspersky
Autore: Hugh Aver – 20/09/2021
 
 

L’agente Open Management Infrastructure, che contiene quattro vulnerabilità, viene installato automaticamente sulle macchine Linux virtuali su Microsoft Azure

 

 
 
 

È emersa la notizia di una pratica piuttosto pericolosa in Microsoft Azure, secondo la quale quando un utente crea una macchina virtuale Linux e abilita alcuni servizi Azure, la piattaforma Azure installa automaticamente l’agente Open Management Infrastructure (OMI) sul dispositivo, senza che l’utente se ne accorga.

Anche se un’installazione “furtiva” potrebbe sembrare una cattiva idea a priori, in realtà non sarebbe così male se non fosse per due problemi: in primo luogo, l’agente ha vulnerabilità note e, in secondo luogo, non ha un meccanismo di aggiornamento automatico su Azure. Finché Microsoft non risolverà questo problema, le aziende che utilizzano dispositivi virtuali Linux su Azure dovranno prendere provvedimenti.

Vulnerabilità nell’infrastruttura di Open Management e come possono essere sfruttate dai cybercriminali

Nel Patch Tuesday di settembre, Microsoft ha rilasciato aggiornamenti di sicurezza per quattro vulnerabilità presenti nell’agente Open Management Infrastructure. Una di esse, CVE-2021-38647, permette l’esecuzione di un codice da remoto (RCE) ed è critica, mentre le altre tre, CVE-2021-38648, CVE-2021-38645, CVE-2021-38649, possono essere utilizzate per ottenere  maggiori privilegi  di accesso (LPE – Local Privilege Escalation) in attacchi multifase. Ciò è possibile nel caso in cui i criminali informatici si siano intrufolati previamente nella rete della vittima. Queste tre vulnerabilità hanno un punteggio elevato nel CVSS.

Quando gli utenti di Microsoft Azure creano una macchina virtuale Linux e abilitano una serie di servizi, OMI (e le sue vulnerabilità) si distribuisce automaticamente nel sistema. I servizi includono Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management e Azure Diagnostics, un elenco che purtroppo è tutt’altro che completo. L’agente Open Management Infrastructure da solo ha i privilegi più alti nel sistema, e poiché i suoi compiti includono la raccolta di statistiche e la sincronizzazione delle configurazioni, è generalmente accessibile da Internet attraverso varie porte HTTP, a seconda dei servizi abilitati.

Per esempio, se la porta di ascolto è la 5986, i cybercriminali potrebbero potenzialmente sfruttare la vulnerabilità CVE-2021-38647 ed eseguire un codice dannoso da remoto. Se OMI è disponibile per la gestione remota (attraverso le porte 5986, 5985, o 1270), i cybercriminali possono sfruttare la stessa vulnerabilità per ottenere l’accesso all’intera rete locale in Azure. Gli esperti sostengono che la vulnerabilità sia molto facile da sfruttare.

 

 

Finora non sono stati segnalati attacchi in the wild, ma con le tante informazioni disponibili su come potrebbe essere facile sfruttare queste vulnerabilità, probabilmente non ci vorrà molto.

Come difendersi

Microsoft ha rilasciato delle patch per tutte e quattro le vulnerabilità. Tuttavia, OMI non si aggiorna sempre automaticamente, quindi dovrete controllare quale versione è presente sulla vostra macchina virtuale Linux. Se la versione è precedente alla 1.6.8.1, aggiornate l’agente Open Management Infrastructure. Per sapere come, potete consultare la descrizione della vulnerabilità CVE-2021-38647.

Gli esperti raccomandano anche di limitare l’accesso alla rete alle porte 5985, 5986 e 1270 per impedire a chiunque di eseguire attacch di esecuzione del codice da remoto (RCE, Remote Code Execution).

21 Settembre 2021

Una vulnerabilità di Internet Explorer minaccia gli utenti di Microsoft Office

 
Tratto da Blog Kaspersky
Autore: Hugh Aver – 09/09/2021
 
 

Una vulnerabilità non risolta nel motore MSHTML apre la porta ad attacchi rivolti agli utenti di Microsoft Office

 
 

Microsoft ha segnalato una vulnerabilità zero-day, indicata come CVE-2021-40444, il cui sfruttamento consente l’esecuzione remota di un codice dannoso sui computer delle vittime. Il problema è che i criminali informatici stanno già sfruttando questa vulnerabilità per attaccare gli utenti di Microsoft Office. Pertanto, Microsoft sta consigliando agli amministratori di rete Windows di impiegare un workaround temporaneo fino a quando non sarà rilasciata una patch.

CVE-2021-40444: tutti i dettagli

La vulnerabilità si trova nel motore di Internet Explorer, MSHTML. Anche se poche persone usano IE al giorno d’oggi (anche Microsoft raccomanda vivamente di passare al suo nuovo browser Edge), il vecchio browser rimane un componente dei sistemi operativi moderni, e alcuni programmi utilizzano il suo motore per gestire i contenuti web. In particolare, le applicazioni di Microsoft Office come Word e PowerPoint si affidano a esso.

Come stanno sfruttando gli hacker la vulnerabilità CVE-2021-40444?

Gli attacchi appaiono come controlli ActiveX dannosi incorporati in documenti Microsoft Office. I controlli permettono l’esecuzione di un codice arbitrario e i documenti molto probabilmente arrivano come allegati di messaggi e-mail. Come succede per qualsiasi documento allegato, gli hacker devono convincere le vittime ad aprire il file.

In teoria, Microsoft Office gestisce i documenti ricevuti su Internet in Visualizzazione Protetta o attraverso Application Guard for Office, ed entrambi possono prevenire un attacco che sfrutta la vulnerabilità CVE-2021-40444. Tuttavia, gli utenti possono fare click sul pulsante “Abilita modifica” senza pensarci, disattivando così i meccanismi di sicurezza di Microsoft.

 

 

Notifica della modalità di visualizzazione protetta su Microsoft Word.

Come proteggere la vostra azienda dalla vulnerabilità CVE-2021-40444

Microsoft ha promesso di indagare e, se necessario, rilasciare una patch ufficiale. Detto questo, non ci aspettiamo una patch prima del 14 settembre, il prossimo Patch Tuesday. In circostanze normali, l’azienda non annuncerebbe una vulnerabilità prima del rilascio di una soluzione, ma poiché i criminali informatici stanno già sfruttando la vulnerabilità CVE-2021-40444, Microsoft raccomanda di optare subito per un workaround temporaneo.

Il workaround consiste nel proibire l’installazione di nuovi controlli ActiveX, cosa che potete fare aggiungendo alcune chiavi al registro di sistema. Microsoft fornisce informazioni dettagliate sulla vulnerabilità, inclusa una sezione Workaround (in cui ci sono istruzioni su come disabilitare il workaround una volta che non ne avete più bisogno). Secondo Microsoft, il workaround non dovrebbe avere conseguenze sulle prestazioni dei controlli ActiveX già installati.

Da parte nostra, raccomandiamo quanto segue:

  • Installate una soluzione di sicurezza a livello del gateway di posta aziendale o migliorate i meccanismi di sicurezza standard di Microsoft Office 365 per proteggere la posta aziendale dagli attacchi;
  • Dotate tutti i computer dei dipendenti di soluzioni di sicurezza in grado di rilevare lo sfruttamento delle vulnerabilità;
  • Rendete maggiormente consapevoli i dipendenti delle moderne minacce informatiche su base regolare, in particolare ricordando loro di non aprire mai documenti che provengono da fonti non attendibili, né tantomeno di attivare la modalità di modifica a meno che non sia assolutamente necessario.
 

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.com

 

10 Settembre 2021

Mail di spam con numeri di vishing

 
Tratto da Blog Kaspersky
Autore: Roman Dedenok – 09/08/2021
 
 

Avete ricevuto un’e-mail di conferma per un acquisto che non avete fatto e che contiene un numero di telefono per contattare l’azienda? Attenzione, si tratta di vishing.

 
 
 
 
 

Con la quantità colossale di truffe telefoniche in circolazione di questi tempi, è difficile trovare un proprietario di un numero di telefono, in qualsiasi parte del pianeta, che non sia stato almeno una volta bersaglio dei truffatori. Ma come tutte le forme di quelle che vengono denominate “chiamate a freddo”, anche per le truffe telefoniche sono necessarie molte risorse e spesso non portano a risultati. Per questo motivo, alcuni truffatori hanno cercato di ottimizzare il processo, facendo sì che siano le potenziali vittime a chiamare. E per farlo, si servono del caro, vecchio spam.

“Se non avete effettuato questo acquisto, chiamateci”

Abbiamo rilevato di recente diverse ondate di e-mail di spam, apparentemente da aziende rispettabili, che notificano ai destinatari l’avvenuta transazione per acquisti considerevoli. L’oggetto in questione è di solito un dispositivo di gamma alta come l’ultimo Apple Watch o un computer portatile per il gaming, acquistato su Amazon o pagato tramite PayPal.

 

 

False conferme di acquisto su PayPal/Amazon con numeri di telefono di vishing.

Di tanto in tanto spuntano varianti più originali. Per esempio, abbiamo rilevato un’e-mail riguardo l’acquisto di “Criptovaluta (Bitcoin)” per il valore di 1.999 dollari:

 

 

Finta notifica PayPal, che acclude  il numero di telefono dei truffatori, di un acquisto di una voce denominata “criptovaluta (Bitcoin)”.

Altre notifiche simili menzionano l’acquisto di licenze di software di sicurezza, ne abbiamo viste alcune che si riferiscono a Norton e persino a Kaspersky (anche se la nostra linea di prodotti non ha mai incluso un software che si chiamasse “Kaspersky Total Protection”).

 

 

False notifiche sull’acquisto di licenze Norton e “Kaspersky Total Protection” con numeri di telefono di vishing.

La truffa si basa sulla speranza che i destinatari, allarmati per la perdita di una somma considerevole di denaro, agiscano in modo avventato per poter recuperare i propri soldi.

Naturalmente, il denaro in questione non è andato da nessuna parte, almeno non ancora. Questo particolare tipo di e-mail di spam non contiene link, ma include un numero di telefono che la vittima è invitata a chiamare se vuole modificare o annullare l’ordine. A volte il numero si trova discretamente da qualche parte in fondo al testo, altre volte è evidenziato in rosso e ripetuto più volte nel messaggio.

Cosa succede se chiamate? Molto probabilmente i truffatori cercheranno di strapparvi le credenziali di accesso a qualche servizio finanziario o i dati della vostra carta di credito. In alternativa, potrebbero cercare di indurvi a trasferire del denaro o persino a installare un Trojan sul vostro computer, cosa che è già successa. Gli unici limiti sono l’immaginazione e le abilità di vishing dei truffatori.

Come difendersi da e-mail di questo tipo

I dettagli possono cambiare, ma tutte le truffe hanno alcuni elementi in comune: l’uso di uno stratagemma per convincere qualcuno a fare qualcosa. Il vishing non è diverso. Seguite queste linee guida per la sicurezza per dormire sonni tranquilli:

  • Non richiamate;
  • Accedete al vostro account del servizio coinvolto, digitando l’indirizzo nel vostro browser. Non cliccate su nessun link nel messaggio e controllate i vostri ordini o la pagina delle attività recenti;
  • Esaminate il vostro saldo e l’elenco delle transazioni recenti su tutte le vostre carte, soprattutto se individuate motivi per preoccuparvi;
  • Installate una soluzione antivirus affidabile, che vi protegga da attacchi di questo tipo, dal phishing e dalle truffe online.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.com

 

31 Agosto 2021

I criteri di gruppo permettono la diffusione del ransomware

 
Tratto da Blog Kaspersky
Autore: Hugh Aver – 03/08/2021
 
 

Il ransomware LockBit 2.0 può diffondersi in una rete locale attraverso i criteri di gruppo creati su un controller di dominio hackerato

 

 

 

La creazione di ransomware è diventata un’industria sotterranea qualche tempo fa, con servizi di supporto tecnico, centri stampa e campagne pubblicitarie. Come per qualsiasi altra industria, creare un prodotto competitivo richiede un miglioramento continuo. LockBit, per esempio, è l’ultimo di una serie di gruppi di criminali informatici che pubblicizzano la capacità di automatizzare l’infezione dei computer locali attraverso un controller di dominio.

LockBit segue il modello Ransomware as a Service (RaaS), fornendo ai suoi clienti (i veri attaccanti) l’infrastruttura e il malware, e ricevendo una quota del riscatto. Irrompere nella rete della vittima è responsabilità del contraente, e per quanto riguarda la distribuzione del ransomware attraverso la rete, LockBit ha progettato una tecnologia abbastanza interessante.

La distribuzione di LockBit 2.0

Dopo che i cybercriminali ottengono l’accesso alla rete e raggiungono il controller di dominio, riferisce Bleeping Computer, eseguono il loro malware sullo stesso, creando nuovi criteri di gruppo utenti, che vengono poi automaticamente distribuiti ad ogni dispositivo della rete. I criteri prima disabilitano la tecnologia di sicurezza integrata nel sistema operativo, altri, invece,  creano un compito programmato su tutti i dispositivi Windows per avviare l’eseguibile del ransomware.

Bleeping Computer menziona il ricercatore Vitali Kremez secondo cui il ransomware utilizza l’API di Windows Active Directory per eseguire query LDAP (Lightweight Directory Access Protocol) per ottenere un elenco di computer. LockBit 2.0 quindi bypassa il controllo dell’account utente (UAC) e viene eseguito silenziosamente, senza innescare alcun allarme sul dispositivo cifrato.

Apparentemente, questo rappresenta la prima diffusione in assoluto di un malware di massa attraverso i criteri di gruppo utenti. Inoltre, LockBit 2.0 consegna le note di riscatto in modo piuttosto bizzarro, inserendo la nota su tutte le stampanti collegate alla rete.

Come potete proteggere la vostra azienda da minacce simili?

Tenete a mente che un controller di dominio è in realtà un server Windows, e come tale, ha bisogno di protezione. Kaspersky Security for Windows Server, che viene fornito con la maggior parte delle soluzioni Kaspersky di sicurezza endpoint per le aziende e protegge i server con Windows dalla maggior parte delle minacce moderne, dovrebbe essere parte del vostro arsenale.

Ad ogni modo, il ransomware che si diffonde attraverso i criteri di gruppo rappresenta l’ultima fase di un attacco. L’attività dannosa dovrebbe diventare evidente molto prima, per esempio quando i criminali informatici entrano per la prima volta nella rete o tentano di hackerare il controller di dominio. Le soluzioni Managed Detection and Response sono particolarmente efficaci nel rilevare i segni di questo tipo di attacco.

La cosa più importante è che i cybercriminali spesso usano tecniche di ingegneria sociale e e-mail di phishing per ottenere l’accesso iniziale. Per evitare che i vostri dipendenti cadano in questi trucchi, migliorate la loro consapevolezza della sicurezza informatica con una formazione regolare.

Per ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.com

4 Agosto 2021

Phishing attraverso Google Apps Script

 
Tratto da Blog Kaspersky
Autore: Roman Dedenok – 28/07/2021
 
 
Alcuni truffatori si servono di Google Apps Script per il reindirizzamento, evitando che i server di posta blocchino i link di phishing
 
 

 

Per rubare le credenziali delle e-mail aziendali dei dipendenti, i criminali informatici devono prima superare le soluzioni anti-phishing presenti sui server di posta elettronica aziendali. Di regola, si avvalgono di servizi web legittimi in modo da evitare di farsi notare; e, sempre più spesso, si servono di Google Apps Script, una piattaforma di scripting basata su JavaScript.

Cos’è Apps Script e come viene sfruttata dai cybercriminali?

Apps Script è una piattaforma basata su JavaScript per automatizzare le attività all’interno dei prodotti Google (ad esempio, per la creazione di componenti aggiuntivi per Google Docs), così come in applicazioni di terze parti. Essenzialmente, si tratta di un servizio per creare script ed eseguirli all’interno dell’infrastruttura di Google.

Nel phishing via e-mail, i cybercriminali utilizzano questo servizio per i reindirizzamenti. Invece di inserire l’URL di un sito web dannoso direttamente in un messaggio, i criminali informatici possono inserire un link a uno script. In questo modo, possono bypassare le soluzioni anti-phishing a livello di server di posta: un collegamento ipertestuale a un sito legittimo di Google con una buona reputazione supera la maggior parte dei filtri. Come vantaggio secondario per i criminali informatici, i siti di phishing non rilevati possono rimanere attivi più a lungo. Questo stratagemma conferisce ai cybercriminali la flessibilità di cambiare lo script se necessario (nel caso in cui le soluzioni di sicurezza rilevino il trucco) e di sperimentare con la consegna dei contenuti (ad esempio, reindirizzando le vittime su diverse versioni del sito a seconda della regione di appartenenza).

Esempio di una truffa tramite Google Apps Script

Tutto quello che i cybercriminali devono fare è convincere l’utente a cliccare su un link. Di recente, il pretesto più comune riguardava la “casella di posta piena”. In teoria, sembra plausibile.

 

 

Una tipica e-mail di phishing riguardante una fantomatica casella di posta piena.

I cybercriminali di solito lasciano segni per smascherare la truffa e che dovrebbero essere evidenti anche agli utenti che non hanno familiarità con le notifiche reali:

  • L’e-mail proviene apparentemente da Microsoft Outlook, ma l’indirizzo e-mail del mittente ha un dominio diverso. Una vera notifica su una casella di posta piena dovrebbe provenire dal server Exchange interno (extra: nel nome del mittente, Microsoft Outlook, manca uno spazio e viene utilizzato uno zero al posto della lettera O);
  • Il link, che appare quando il cursore passa sopra “Fix this in storage settings”, porta a un sito Google Apps Script:

 

 

Collegamento e-mail a Google Apps Script

  • Le caselle di posta non superano improvvisamente i loro limiti. Outlook inizia ad avvertire gli utenti che lo spazio si sta esaurendo molto prima di raggiungere il limite. Superarlo improvvisamente di 850 MB significherebbe probabilmente ricevere tanto spam tutto in una volta, il che è estremamente improbabile.

In ogni caso, ecco un esempio di notifica legittima di Outlook:

 

 

Notifica legittima di una casella di posta quasi piena.

  • Il link “Fix this in storage settings” reindirizza su un sito di phishing. Anche se in questo caso si tratta di una copia abbastanza convincente della pagina di accesso dall’interfaccia web di Outlook, uno sguardo alla barra degli indirizzi del browser rivela che la pagina è ospitata su un sito web contraffatto, non sull’infrastruttura della compagnia.

Come evitare di abboccare all’amo del phishing

L’esperienza dimostra che le e-mail di phishing non devono necessariamente contenere link di phishing. Pertanto, una protezione aziendale affidabile deve includere capacità anti-phishing sia a livello di server di posta, sia sui computer degli utenti.

Inoltre, alla soluzione di sicurezza va affiancata anche una formazione continua di dei dipendenti riguardo le attuali minacce informatiche e le truffe di phishing.

30 Luglio 2021

Blog & News

Categorie