Follina: file di Office come cavallo di troia

 
Tratto da Blog Kaspersky
Autore:  Editorial Team – 02/06/2022
 
 

La nuova vulnerabilità CVE-2022-30190, nota come Follina, consente di sfruttare il Windows Support Diagnostic Tool attraverso i file di MS Office

 

 

I ricercatori hanno scoperto un’altra grave vulnerabilità nei prodotti Microsoft che potenzialmente permette agli hacker di eseguire un codice arbitrario. Il MITRE ha classificato questa vulnerabilità con il nome di CVE-2022-30190, mentre i ricercatori l’hanno chiamata in modo un po’ poetico Follina. La cosa più preoccupante è che non esiste ancora un fix per questo bug e ciò che è ancor più grave è che la vulnerabilità viene già sfruttata attivamente da molti criminali informatici. L’aggiornamento è in fase di sviluppo, ma nel frattempo consigliamo a tutti gli utenti e amministratori di Windows di utilizzare workaround temporanei.

Che cos’è CVE-2022-30190 e quali sono i prodotti interessati?

La vulnerabilità CVE-2022-30190 è contenuta nello strumento di diagnostica Microsoft Windows Support Diagnostic Tool (al quale ci riferiremo con la sua sigla MSDT), il che non sembra un grosso problema. Purtroppo, a causa dell’implementazione di questo strumento, la vulnerabilità può essere sfruttata tramite un file MS Office dannoso.

L’MSDT è un’applicazione utilizzata per raccogliere automaticamente informazioni diagnostiche e inviarle a Microsoft quando qualcosa non funziona su Windows. Lo strumento può essere richiamato da altre applicazioni (Microsoft Word è l’esempio più noto) attraverso un protocollo URL speciale di MSDT. Se la vulnerabilità viene sfruttata con successo, un utente malintenzionato può eseguire un codice arbitrario con i privilegi dell’applicazione che ha richiamato l’MSDT, ovvero, in questo caso, con i diritti dell’utente che ha aperto il file dannoso.

La vulnerabilità CVE-2022-30190 può essere sfruttata in tutti i sistemi operativi della famiglia Windows, sia desktop che server.

Come i cyber-criminali sfruttano CVE-2022-30190

Per capire come funziona un attacco, i ricercatori che hanno scoperto questa vulnerabilità offrono il seguente esempio.

I criminali creano un documento Office dannoso e fanno in modo che la vittima lo riceva. Il modo più comune per farlo è inviare un’e-mail con un allegato dannoso, condito con qualche classico stratagemma di social engineering per convincere il destinatario ad aprire il file in questione. Per esempio, un e-mail con un messaggio del tipo “controlla urgentemente il contratto, firma domani mattina” potrebbe funzionare.

Il file infetto contiene un link a un file HTML che contiene a sua volta un codice JavaScript capace di eseguire un codice dannoso nella riga di comando tramite l’MSDT. Se lo sfruttamento va a buon fine, gli hacker possono installare programmi, visualizzare, modificare o distruggere dati, nonché creare nuovi account, ovvero avere il via libera all’interno del sistema utilizzando i privilegi della vittima.

Come proteggersi

Come menzionato in precedenza, non esiste ancora una patch. Nel frattempo, Microsoft consiglia disabilitare il protocollo URL di MSDT. Per farlo, è necessario aprire il prompt dei comandi con diritti di amministratore ed eseguire il comando reg delete HKEY_CLASSES_ROOT\ms-msdt /f. Prima di farlo, vi raccomandiamo di eseguire un back up del registro eseguendo il seguente codice: reg export HKEY_CLASSES_ROOT\ms-msdt filename. In questo modo, potrete ripristinare velocemente il registro con il comando reg import filename non appena questo workaround non sarà più necessario.

Naturalmente, questa è solo una misura temporanea e la cosa migliore sarebbe installare, non appena disponibile, l’aggiornamento che corregga la vulnerabilità Follina.

I metodi descritti per sfruttare questa vulnerabilità prevedono l’uso di e-mail con allegati dannosi e metodi di social engineering. Pertanto, si consiglia di prestare ancora più attenzione del normale alle e-mail provenienti da mittenti sconosciuti, in particolare ai file Office allegati. Per le aziende, è opportuno sensibilizzare regolarmente i dipendenti circa i trucchi più importanti e comuni utilizzati dagli hacker.

Inoltre, tutti i dispositivi con accesso a Internet dovrebbero essere dotati di solide soluzioni di sicurezza. Tali soluzioni possono impedire l’esecuzione di codici dannosi sul computer dell’utente anche quando si sfrutta una vulnerabilità sconosciuta.

6 Giugno 2022

Data breach: Garante privacy sanziona Inail per 50mila euro

 
 
Tratto da www.garanteprivacy.it – GPDP Newsletter del 30/05/2022
 
 
L’ente ha subito tre violazioni di dati sugli infortuni dei lavoratori
 
 

Tutti gli enti pubblici, in particolare quelli con rilevanti competenze istituzionali, devono adottare adeguate misure tecniche e organizzative per evitare violazioni dei dati personali. Lo ha ribadito il Garante per la privacy nel sanzionare l’Inail, che ha registrato tre incidenti informatici che hanno comportato l’accesso non autorizzato ai dati di alcuni lavoratori, in particolare quelli sulla salute e sugli infortuni subiti.

Dall’istruttoria del Garante è emerso che, almeno in tre diverse occasioni, lo “Sportello Virtuale Lavoratori” gestito dall’Ente avrebbe consentito ad alcuni utenti di consultare accidentalmente le pratiche di infortunio e malattia professionale di altri lavoratori. In un caso, peraltro, l’incidente si è verificato a seguito dell’esecuzione di una versione non aggiornata dello “Sportello Virtuale Lavoratori”, a causa di un errore umano.

Nel provvedimento, l’Autorità ha rimarcato che un Ente con così significative competenze istituzionali, che comportano il trattamento di dati particolarmente delicati riferibili a interessati anche vulnerabili, è tenuto ad adottare, in linea con il principio di responsabilizzazione richiesto dal Gdpr, misure tecniche e organizzative che assicurino su base permanente la riservatezza dei dati trattati, nonché l’integrità dei relativi sistemi e servizi.

Il Garante per la privacy, tenuto conto della piena collaborazione offerta dalla pubblica amministrazione nel corso dell’istruttoria e del numero esiguo di persone coinvolte nei data breach individuati, ha comminato all’Ente una sanzione di 50.000 euro.

31 Maggio 2022

Email aziendale: il collaboratore esterno ha gli stessi diritti del dipendente

 
 
Tratto da www.garanteprivacy.it – GPDP Newsletter del 19/05/2022
 
 
Il Garante sanziona un’azienda per 50.000 euro
 
 
 

Il lavoratore va sempre informato in maniera esaustiva sul trattamento dei suoi dati e il datore di lavoro deve rispettarne i diritti, le libertà fondamentali e la reputazione professionale.

Questo il principio ribadito dal Garante, che, a seguito di un reclamo, ha imposto ad una società la sanzione di 50.000 euro per aver gestito l’account di posta aziendale di una collaboratrice esterna in violazione delle norme sulla privacy.

La società senza alcun preavviso né comunicazione successiva, aveva inibito alla dipendente l’accesso al suo account, utilizzato per le relazioni commerciali, account che risultava però ancora attivo.
La lavoratrice infatti continuava a ricevere sul suo computer e sul telefono gli avvisi e le richieste di immettere la nuova password di accesso, che era stata cambiata da remoto a sua insaputa.

L’interessata aveva provveduto a segnalare l’accaduto alla Società, chiedendo il tempestivo ripristino della casella di posta, che conteneva comunicazioni di lavoro e personali, ma non avendo ricevuto risposta si era rivolta al Garante.

A seguito dell’accertamento ispettivo, effettuato su mandato dell’Autorità dal Nucleo Speciale Privacy della Guardia di Finanza, e della chiusura dell’istruttoria, l’Autorità ha ribadito gli obblighi informativi e quelli di corretta e trasparente gestione della casella di posta aziendale a carico della Società, precisando che il fatto che la reclamante fosse un’agente e non una lavoratrice subordinata non rilevava ai fini della necessità di tali adempimenti.

Numerose le violazioni contestate all’azienda: omesso riscontro alla richiesta di informazioni del Garante, inosservanza del principio di limitazione della conservazione dei dati, mancata documentazione del rilascio di un’idonea informativa, mancata risposta all’istanza dell’interessata e inibizione del suo account aziendale. Rilevati gli illeciti, il Garante ha comminato alla Società una sanzione di 50.000 euro.

L’azienda dovrà inoltre consentire alla lavoratrice di accedere alla propria casella di posta per recuperare la sua corrispondenza e disattivare l’account informando clienti e fornitori con indirizzi alternativi. La società non potrà trattare i dati estratti dalla casella di posta, se non per la tutela dei diritti in sede giudiziaria e solo per il tempo necessario a tale scopo e dovrà garantire un tempestivo riscontro all’esercizio dei diritti di tutti i suoi lavoratori, rilasciando loro un’idonea, preventiva e documentata informativa sul trattamento dei dati personali, incluso l’utilizzo di Internet e della posta elettronica aziendale.

20 Maggio 2022

Vulnerabilità di Windows sfruttata attivamente

 
Tratto da Blog Kaspersky
Autore:  Editorial Team – 13/05/2022
 
 

Microsoft ha rilasciato le patch per diverse decine di vulnerabilità, una delle quali viene già attivamente sfruttata dai cybercriminali

 

 

Nell’ultimo Patch Tuesday (10 maggio) Microsoft ha rilasciato aggiornamenti per 74 vulnerabilità. Gli hacker stanno già attivamente sfruttando almeno una di queste vulnerabilità; pertanto, è importante installare le patch il prima possibile.

CVE-2022-26925, la vulnerabilità più pericolosa tra quelle trattate

A quanto pare, la vulnerabilità più pericolosa a cui fa riferimento questo pacchetto di aggiornamenti è la CVE-2022-26925, contemplata dall’autorità di sicurezza locale di Windows. Tuttavia, la vulnerabilità ottiene un punteggio di 8,1 nella scala CVSS, il che è un indice relativamente basso. Però i rappresentanti di Microsoft ritengono che quando questa vulnerabilità viene utilizzata negli attacchi NTLM Relay nei confronti dei servizi certificati di Active Directory, il livello di gravità di questo bundle sale a 9,8 (scala CVSS). Il motivo dell’aumento del livello di gravità è che in queste circostanze, CVE-2022-26925 potrebbe consentire a un hacker di autenticarsi su un domain controller.

La vulnerabilità può interessare tutti i sistemi operativi Windows da Windows 7 (Windows Server 2008 per i sistemi server) in avanti. Microsoft non è entrata nei dettagli e non ha specificato come sia possibile sfruttare questa vulnerabilità; tuttavia, a giudicare dalla descrizione del problema, alcuni cybercriminali sconosciuti stanno già utilizzando attivamente gli exploit per CVE-2022-26925. La buona notizia è che, secondo gli esperti, sfruttare questa vulnerabilità in attacchi reali è piuttosto difficile.

La correzione rileva e blocca i tentativi di connessione anonima al Remote Protocol dell’autorità di sicurezza locale. Tuttavia, secondo le FAQ ufficiali, l’installazione di questo aggiornamento su Windows Server 2008 SP2 potrebbe influire sul software di backup.

Altre vulnerabilità

Oltre a CVE-2022-26925, l’ultimo aggiornamento corregge altre vulnerabilità con un livello di gravità “critico”. Tra queste vi sono la vulnerabilità RCE CVE-2022-26937 nel Network File System (NFS) di Windows, nonché CVE-2022-22012 e CVE-2022-29130, due vulnerabilità RCE che interessano il servizio LDAP.

Altre due vulnerabilità erano già note al pubblico al momento della pubblicazione delle patch. La prima è CVE-2022-29972, un bug che colpisce il driver Magnitude Simba Amazon Redshift di Insight Software; mentre la seconda è CVE-2022-22713, una vulnerabilità DoS che interessa Hyper-V di Windows. Tuttavia, ad oggi, non sono stati rilevati tentativi di sfruttamento.

Come proteggersi

Innanzitutto, installate gli ultimi aggiornamenti di Microsoft. Se per qualche motivo, nel vostro ambiente non è possibile, consultate la sezione FAQ e le soluzioni e mitigazioni dei rischi nella guida ufficiale agli aggiornamenti di sicurezza di Microsoft (data maggio 2022). Sicuramente, potrete utilizzare uno dei metodi descritti in precedenza e proteggere così la vostra infrastruttura dalle vulnerabilità più rilevanti.

16 Maggio 2022

7 motivi per cui il backup di Microsoft 365 è essenziale

Tratto da Blog Veeam
Autore: Edward Watson – 12/05/2022
 

Le organizzazioni continuano a passare a Microsoft 365 per la facilità di collaborazione nel cloud. Con il diffondersi della pandemia all’inizio del 2020, è aumentata anche la necessità di supportare il lavoro a distanza. Questo ha causato una massiccia adozione di Microsoft Teams, che non sta rallentando la sua corsa.

Durante tutto questo periodo, il prodotto Veeam in più rapida crescita, Veeam Backup for Microsoft 365, ha protetto i dati di Office 365 dei clienti, anche di Microsoft Teams con il supporto dedicato al backup di Teams.

Attualmente, la ricerca interna Veeam e gli analisti del settore rilevano che Veeam è il leader del backup di Microsoft 365 in termini di quota di mercato complessiva.

Leggendo questo articolo, si potrebbe pensare: “Microsoft non si occupa del backup di Office 365?”

È importante ricordare che i provider di piattaforme SaaS, come Microsoft 365, si assumono la responsabilità del tempo di attività delle applicazioni e dell’infrastruttura sottostante. Tuttavia, è responsabilità del cliente gestire e proteggere i propri dati aziendali vitali, secondo il modello a responsabilità condivisa di Microsoft. Inoltre, vale la pena notare che, mentre molte delle funzionalità native integrate in Microsoft 365 possono sembrare dei backup, nessuna di esse aderisce alla definizione comune di backup, ovvero una copia separata dei dati archiviati in una posizione diversa che può essere rapidamente e facilmente ripristinata.

Veeam ha identificato 7 motivi per cui il backup dei dati di Office 365 è critico:

  1. Cancellazione accidentale: il primo motivo è in realtà il problema più comune per la perdita di dati in Microsoft 365. Se cancelli un utente, per errore o meno, quella cancellazione viene replicata in tutta la rete. Un backup può ripristinare quell’utente, in Exchange on-premises o in Office 365.
  2. Lacune e confusione nelle policy di retention: le policy di retention in Office 365 sono progettate per aiutare le organizzazioni a rispettare le normative, le leggi e le policy interne che richiedono la retention o l’eliminazione dei contenuti, non sono dei backup. Tuttavia, anche se fai affidamento sulle policy di retention al posto del backup, è difficile tenerne il passo, per non parlare della loro gestione. Un backup fornisce una retention più lunga e accessibile, il tutto protetto e archiviato in un’unica posizione per un facile ripristino.
  3. Minacce alla sicurezza interna: quando pensiamo alle minacce alla nostra attività, di solito lo facciamo in termini di protezione da quelle esterne. Tuttavia, molte aziende sono sottoposte a minacce provenienti dall’interno, e tutto questo accade molto più spesso di quanto si pensi. Disporre di una soluzione di ripristino di alto livello riduce il rischio di perdita o distruzione di dati critici.
  4. Minacce alla sicurezza esterna: il ransomware diventa sempre più sofisticato e i criminali trovano sempre più modi per raggiungere i nostri utenti, inducendoli a fare clic su un collegamento in modo da crittografare i dati dell’intera organizzazione a scopo di riscatto. Un backup può facilmente ripristinare i dati in un’istanza prima dell’attacco.
  5. Requisiti legali e di conformità: all’interno di Microsoft 365 sono presenti funzionalità di eDiscovery integrate, ma una soluzione di backup di terze parti è appositamente progettata per eseguire facilmente ricerche all’interno di un backup e ripristinare rapidamente i dati per soddisfare qualsiasi esigenza di conformità normativa.
  6. Gestione di distribuzioni e migrazioni di e-mail ibride a Office 365: che tu stia migrando a Microsoft 365 o abbia un mix di utenti Exchange on-premises e Microsoft 365, i dati business-critical devono essere gestiti e protetti allo stesso modo, indipendentemente dalla loro origine.
  7. Struttura dei dati di Teams: il backend di Teams è molto più complesso di quanto si pensi. Teams non è un’applicazione autonoma, e ciò significa che i dati generati in Teams risiedono in altre applicazioni, come Exchange Online, SharePoint Online e OneDrive. Con questo ulteriore livello di complessità, garantire che i dati siano adeguatamente protetti è fondamentale.

Veeam offre una Modern Data Protection per carichi di lavoro virtuali, fisici, cloud, SaaS e Kubernetes e i clienti apprezzano di poter disporre del pieno controllo sui propri dati di Office 365 e della protezione dai 7 motivi trattati sopra.

Per ulteriori informazioni sui prodotti Veeam: dircom@argonavis.it

13 Maggio 2022

Blog & News

Categorie