I sintomi che indicano che uno dei vostri dispositivi è stato attaccato

 
Tratto da Blog Kaspersky
Autore:  Hugh Aver – 04/11/2022
 

 

Di norma, i cybercriminali cercano di realizzare i loro attacchi in modo furtivo. In fondo, più a lungo rimangono inosservati dalle vittime, più è probabile che raggiungano i loro obiettivi. Tuttavia, non sempre riescono a nascondere la loro attività. Molto spesso, infatti, in base a una serie di segnali, è possibile capire se qualcosa non va sul computer o sullo smartphone. 

Ecco un elenco con i sintomi più evidenti; tali segnali possono indicare che il malware è in esecuzione su un dispositivo o che gli hacker stanno interferendo in qualche modo (si consiglia quindi di segnalare i problemi almeno al proprio dipartimento IT):

Il dispositivo funziona lentamente

Quasi tutti i sistemi degli utenti iniziano ad avviarsi e/o a funzionare più lentamente con il passare del tempo. Ciò può essere dovuto a vari motivi: il disco è pieno, alcuni software richiedono più risorse dopo un aggiornamento o il sistema di raffreddamento è semplicemente intasato dalla polvere. Ma può anche indicare la presenza di un codice dannoso in esecuzione sul dispositivo.

Il computer accede costantemente al hard drive

Se il computer fa lampeggiare continuamente la spia di accesso all’hard drive, fa molto rumore o copia i file con una lentezza incredibile (anche se non sono stati avviati processi che consumano risorse), ciò può significare che il disco è danneggiato oppurre che qualche programma sta leggendo o scrivendo continuamente i dati.

Problemi con l’account

Se improvvisamente alcuni servizi o sistemi non vi concedono più l’accesso pur avendo inserito la password correttamente, è bene prestare attenzione. Potete provare a reimpostare la password, ma se qualcun altro l’ha cambiata non c’è garanzia che non lo faccia di nuovo. È bene prestare attenzione anche se si viene improvvisamente disconnessi dai servizi o se si ricevono più notifiche relative a tentativi di modifica della password. Tutto ciò potrebbe indicare un possibile attacco.

Finestre pop-up

È normale che un dispositivo comunichi occasionalmente all’utente che è necessario un aggiornamento o che la batteria sta per esaurirsi. Ma i messaggi di errore regolari sono un segno che qualcosa non funziona correttamente. Allo stesso modo, non è normale se improvvisamente iniziano a comparire finestre non richieste con pubblicità o richieste di conferma della password.

Comportamento sospetto del browser

A volte un comportamento anomalo del browser può essere la prova di un attacco, e non solo per le già citate finestre che appaiono all’improvviso. Se un malware di tipo adware si introduce in un computer, può iniziare a sostituire i banner su diverse pagine con lo stesso tipo di pubblicità, ma di dubbia legalità. Naturalmente, questo può anche significare un problema da parte delle reti che si occupano dei banner. Ma il fatto che lo stesso annuncio appaia su tutti i siti è un sintomo allarmante. Inoltre, bisogna prestare attenzione ai reindirizzamenti. Se inserite un indirizzo e il browser vi reindirizza regolarmente a un altro, dovreste segnalarlo agli esperti di sicurezza informatica.

File o cartelle inaccessibili o mancanti

Se di recente i file o le directory si sono aperti normalmente, ma ora non è più possibile aprirli o sono completamente scomparsi, è una buona ragione per contattare il dipartimento IT. Forse avete accidentalmente cancellato un file importante, o forse è stato criptato da un ransomware o eliminato da un wiper.

Sono comparsi file o applicazioni sconosciute

Se non avete installato un nuovo software né scaricato o aggiornato nulla, ma sul vostro computer sono comparsi nuovi programmi, file, pulsanti di programma, plug-in, tool o altri elementi sconosciuti, è meglio verificare insieme al dipartimento IT e capire di cosa si tratta e da dove provengono. È bene prestare attenzione soprattutto alle richieste di riscatto. Ci sono stati casi in cui le vittime hanno ignorato tali messaggi perché tutti i file sembravano immutati e disponibili sul dispositivo. Ma poi si è scoperto che il ransomware non era riuscito a criptare i file, ma era comunque riuscito a trasferire i dati sui server dei criminali.

Notifiche di connessione remota

Gli hacker spesso utilizzano software di accesso remoto legittimi. Di norma, tali software visualizzano sullo schermo un messaggio che indica che qualcuno si è collegato in remoto al computer. Se tale notifica appare senza il vostro consenso o se vi viene improvvisamente proposto di concedere l’accesso a una persona sconosciuta, molto probabilmente il vostro computer è stato attaccato da un hacker. Nel caso in cui ci si deve connettere remotamente, i veri amministratori di sistema avvertono in anticipo gli utenti e lo fanno tramite un canale di comunicazione fidato.

Qualcosa impedisce al computer di spegnersi o di riavviarsi

Molti virus hanno bisogno di rimanere presenti nella RAM. Anche i trojan spia hanno bisogno di tempo per caricare le informazioni raccolte sui server dei criminali. Di conseguenza, il malware deve mantenere il computer in funzione il più a lungo possibile. Se notate che il vostro dispositivo non si spegne correttamente, informate il responsabile della sicurezza IT o un informatico il prima possibile.

Comunicazioni o messaggi che non avete inviato

Se i vostri contatti si lamentano di aver ricevuto e-mail o messaggi istantanei da voi ma non li avete mai inviati, significa che qualcuno ha avuto accesso ai vostri account o sta manipolando uno dei vostri dispositivi. In entrambi i casi, è necessario avvisare il responsabile della sicurezza aziendale.

7 Novembre 2022

Vulnerabilità in Zimbra sfruttata in-the-wild

 
Tratto da Blog Kaspersky
Autore: Editorial Team – 17/10/2022
 

I server con installato Zimbra Collaboration Suite sono stati attaccati attraverso un’utility per decomprimere gli archivi

 

 

Gli esperti di Kaspersky hanno rilevato che gruppi APT sconosciuti stanno attivamente sfruttando la vulnerabilità CVE-2022-41352, recentemente scoperta nel software Zimbra Collaboration. Almeno uno di questi gruppi sta attaccando i server vulnerabili in Asia Centrale.

Cos’è CVE-2022-41352 e perché è così pericolosa?

Questa vulnerabilità risiede nell’utility di archiviazione cpio, utilizzata dal software di sicurezza integrato nella suite Zimbra, denominato Amavis, il quale decomprime e analizza gli archivi. Gli hacker possono creare un archivio .tar dannoso con all’interno una web-shell e inviarlo a un server che esegue il software Zimbra Collaboration vulnerabile. Quando Amavis inizia a controllare questo archivio, richiama l’utility cpio che decomprime la web-shell in una delle directory pubbliche. A questo punto i criminali devono solo eseguire la loro web-shell e iniziare a eseguire comandi arbitrari sul server attaccato. In altre parole, questa vulnerabilità è simile a quella del modulo tarfile.

Potete trovare una descrizione tecnica più dettagliata della vulnerabilità nel post sul blog di Securelist. Tra l’altro, il post include un elenco con le directory in cui gli hacker hanno collocato la loro web-shell (nei casi analizzati dai nostri esperti).

L’aspetto particolarmente pericoloso è che l’exploit per questa vulnerabilità è stato aggiunto al Metasploit Framework, uno strumento in teoria creato nell’ambito di un proggetto di sicurezza informatica e pentesting, ma che in realtà viene spesso utilizzata dai criminali informatici per attacchi reali. Quindi, l’exploit per CVE-2022-41352 ora può essere utilizzato anche da criminali informatici alle prime armi.

Come proteggersi

Il 14 ottobre Zimbra ha rilasciato una patch insieme alle istruzioni per l’installazione, quindi la prima cosa da fare è logicamente installare gli aggiornamenti più recenti che si possono trovare qui. Se per qualche motivo non è possibile installare la patch, esiste un workaround: l’attacco può essere evitato installando l’utility pax su un server vulnerabile. In questo caso, Amavis utilizzerà pax per decomprimere gli archivi .tar invece di cpio. Tuttavia, non dimenticate che questa non è una vera soluzione al problema: in teoria, gli hacker possono trovare un altro modo per sfruttare cpio.

Le soluzioni Kaspersky rilevano e bloccano con successo i tentativi di sfruttamento della vulnerabilità CVE-2022-41352.

Per ulteriori informazioni: dircom@argonavis.it

20 Ottobre 2022

Nuove patch Zimbra: 9.0.0 Patch 10 + 8.8.15 Patch 17

Tratto da: Blog Zimbra
Autore: Urvi Mehta – 16 dicembre 2020
 
 
 

 

Zimbra 9.0.0 “Kepler” Patch 10 e 8.8.15 “James Prescott Joule” Patch 17 sono ora disponibili.

 

Per Zimbra 8.8.8 e versioni successive, non è necessario scaricare alcuna build di patch. I pacchetti di patch possono essere installati utilizzando i comandi di gestione dei pacchetti Linux. Fare riferimento alle rispettive note di rilascio per l’installazione delle patch sulle piattaforme Red Hat e Ubuntu.

Nota: l’installazione di un pacchetto zimbra-patch aggiorna solo i pacchetti principali di Zimbra.

Nginx Upgrade (Beta)
Aggiornato Nginx di terze parti dalla versione 1.7.1 alla 1.19.0.
Supporto di Nginx 1.19.0 per TLSv1.3.

 

Zimbra 9.0.0 “Kepler” Patch 10

La patch 10 è disponibile per la versione GA di Zimbra 9.0.0 “Kepler” e include correzioni di sicurezza, novità, problemi risolti e problemi noti come elencato nelle note di rilascio .

Installazione della patch

Fare riferimento alle note di rilascio per l’installazione di Zimbra 9.0.0 Patch 10 su piattaforme Red Hat e Ubuntu.

 

Zimbra 8.8.15 Patch 17 “James Prescott Joule”

La patch 17 è disponibile per la versione GA di Zimbra 8.8.15 “James Prescott Joule” e include correzioni di sicurezza, novità, problemi risolti e problemi noti come elencato nelle note di rilascio .

Installazione della patch

Fare riferimento alle note di rilascio per l’installazione di Zimbra 8.8.15 Patch 17 su piattaforme Red Hat e Ubuntu.

23 Dicembre 2020

Zimbra 9: la nuova versione

 

Zimbra è una piattaforma, basata su tecnologia open source, per la messaggistica e la collaborazione.

Sono centinaia di milioni le caselle di posta elettronica gestite oggi da Zimbra in quasi tutto il mondo: la piattaforma, infatti, viene utilizzata in oltre 140 paesi.

Nella nuova versione, Zimbra 9, uscita quest’anno:

  • l’’interfaccia utente, basata sulla tecnologia React, è rinnovata, moderna e reattiva, facile da utilizzare
  • la release è sempre più estendibile e può essere integrata anche con nuove app, quali Slack, Dropbox e Zoom
  • l’integrazione con il back-end di Zimbra 8 assicura agli utenti affidabilità, sicurezza e privacy dei dati
  • grazie a un nuovo framework di Zimlet, è aumentata la possibilità di personalizzazione e di flessibilità
  • il procedimento di upgrade è molto facile e non è necessario effettuare la migrazione dei dati.

In sintesi, le funzionalità di Zimbra, oltre all’invio e al ricevimento della posta elettronica, sono le seguenti:

  • Gestione della posta – archiviazione automatica dei messaggi per utenti, gruppi e data
  • Rubriche e Calendari – Email, Calendario, Documenti, Files e Instant Messaging sono integrati in un’unica piattaforma e possono essere condivisi con il team di lavoro
  • Documenti Web – la suite permette la creazione, la condivisione e l’archiviazione di file e documenti
  • Chat di messaggistica istantanea, chiamate vocali e segreteria telefonica – per non perdere nemmeno una conversazione o un messaggio importante
  • Agenda – per tenere traccia degli impegni, rispettare le deadline e organizzare i task
  • Videoconferenze – il client consente a più persone distanti una dall’altra di incontrarsi virtualmente in riunioni e call, evitando spostamenti, trasferte, viaggi e perdite di tempo
  • Integrazione con un’infinità di applicazioni esterne e servizi web: Facebook, Twitter, Socialcast, Slack, Dropbox, Zoom e altre applicazioni d’impresa, tra cui Oracle e SAP. In questo modo è garantito un flusso di lavoro e di collaborazione continuo e accessibile da un’unica piattaforma.

Le estensioni che permettono al prodotto di integrarsi con altre applicazioni e funzioni, potenziandone così le performance, sono definite Zimlet, piccoli plug-in, di componenti aggiuntive e mini applicazioni che estendono le potenzialità e le funzionalità del client di posta elettronica.

Zimbra può anche essere implementato nel cloud, in sede (cloud privato) o come servizio ibrido, a seconda delle preferenze.

Il servizio di email collaboration è rivolto alle aziende, agli enti pubblici, alle università, alle istituzioni finanziarie e ai singoli individui.

Per maggiori informazioni: dircom@argonavis.it

25 Novembre 2020

NUOVE patch Zimbra: 9.0.0 Patch 8 + 8.8.15 Patch 15

Tratto da: Blog Zimbra
Autore: Urvi Mehta – 26 ottobre 2020
 
 
 

 

 

Zimbra 9.0.0 “Kepler” Patch 8 e 8.8.15 “James Prescott Joule” Patch 15 sono ora disponibili.

Per Zimbra 8.8.8 e versioni successive, non è necessario scaricare alcuna build di patch.

I pacchetti di patch possono essere installati utilizzando i comandi di gestione dei pacchetti Linux.

Occorre fare riferimento alle rispettive note di rilascio per l’installazione delle patch sulle piattaforme Red Hat e Ubuntu.

Nota: l’installazione di un pacchetto zimbra-patch aggiorna solo i pacchetti principali di Zimbra.

 

 

Zimbra 9.0.0 “Kepler” Patch 8

La patch 8 è disponibile per la versione GA di Zimbra 9.0.0 “Kepler” e include novità, problemi risolti e problemi noti elencati nelle note di rilascio.

Installazione della patch

Fare riferimento alle note di rilascio per l’installazione di Zimbra 9.0.0 Patch 8 su piattaforme Red Hat e Ubuntu.

 

 

Zimbra 8.8.15 Patch 15 “James Prescott Joule”

La patch 15 è disponibile per la versione GA di Zimbra 8.8.15 “James Prescott Joule” e include Novità, Problemi risolti e Problemi noti elencati nelle note di rilascio.

Installazione della patch

Fare riferimento alle note di rilascio per l’installazione di Zimbra 8.8.15 Patch 15 su piattaforme Red Hat e Ubuntu.

 

2 Novembre 2020