Come bloccare un sito di phishing

 
Tratto da Blog Kaspersky
Autore:  Hugh Aver – 27/01/2022
 
 

Kaspersky ha un nuovo servizio che permette di rimuovere i siti dannosi e di phishing

 

 

I criminali informatici hanno molti schemi che coinvolgono la creazione di domini dannosi o di phishing. Possono usare questi domini per attaccare i vostri clienti, partner o anche i vostri dipendenti. Ecco perché di tanto in tanto le aziende hanno bisogno di bloccare un dominio pericoloso, e alcune di loro affrontano tali minacce abbastanza spesso. Di solito, l’eliminazione di un dominio dannoso non è impossibile, ma richiede una certa esperienza e molto tempo. Tuttavia, quando si identifica una tale minaccia, non si ha tempo da perdere, può portare a una perdita di entrate, danni alla reputazione, perdita di fiducia dei clienti, fughe di dati e altro. Ecco perché Kaspersky ha aggiornato il portfolio di informazioni sulle minacce con un nuovo servizio: Kaspersky Takedown Service.

L’importanza del Threat Intelligence

Il Threat intelligence è un insieme di servizi che aiutano le aziende a navigare nel panorama delle minacce informatiche e a prendere le decisioni giuste per migliorare la loro sicurezza informatica. In poche parole, si tratta della raccolta e dell’analisi dei dati sulla situazione epidemiologica dentro e fuori una rete aziendale. I servizi di intelligence delle minacce includono strumenti professionali per l’indagine degli incidenti, dati analitici sui nuovi cyberattacchi mirati e molto altro. Con l’aiuto del threat intelligence, un esperto di cybersecurity può tenere traccia di ciò che stanno facendo i potenziali hacker, quanto bene sono armati e quali strategie e quali tattiche usano.

Uno dei servizi più utili del portfolio Threat Intelligence di Kaspersky è il servizio Digital Footprint Intelligence (DFI). Mette insieme un “ritratto digitale dettagliato e dinamico di un’organizzazione” (risorse del perimetro di rete, indirizzi IP, domini aziendali, provider di cloud e hosting utilizzati, e anche dipendenti, marchi associati, filiali e succursali). Successivamente monitora qualsiasi menzione di queste informazioni in fonti aperte, nella darknet e nel deepweb, e anche nel database Kaspersky che contiene informazioni su quasi un migliaio di attacchi mirati in corso e vari strumenti dannosi.

Così, il DFI scopre le vulnerabilità e le potenziali minacce e fughe di dati, oltre ai segni di cyberattacchi passati, attuali e persino pianificati, ed è eccezionalmente efficace (ecco solo un esempio delle nostre indagini DFI in Medio Oriente).

Cosa si può fare con un dominio dannoso?

Quindi cosa dovrebbe fare il responsabile della sicurezza se il monitoraggio trovasse, per esempio, un sito di phishing che finge di essere uno dei siti della vostra azienda, e sta raccogliendo i numeri delle carte di credito dei vostri utenti? Normalmente in un caso del genere un’organizzazione dovrebbe intraprendere una procedura che richiede molte risorse per raccogliere le prove della frode informatica, per creare una richiesta di rimozione e inviarla all’organizzazione che gestisce la zona di dominio del sito, per monitorare che la richiesta venga eseguita, e per fornire materiale extra se necessario. Si tratta di un compito piuttosto impegnativo, che richiede uno specialista designato (o anche un intero team di esperti).

Adesso il servizio DFI di Kaspersky ha un aggiornamento, il Kaspersky Takedown Service che può essere utilizzato per gestire il blocco dei domini dannosi, phishing e typosquatting. Non appena DFI trova una tale minaccia, tutto ciò che gli utenti devono fare è cliccare un paio di volte con il mouse per creare una richiesta di blocco di un sito. Dopo di che, tutto è automatizzato. Kaspersky raccoglie le prove, le invia alle autorità competenti, dà seguito alla richiesta e informa il cliente su ogni fase di questo processo.

Nel corso di diversi anni Kaspersky ha stabilito solide relazioni professionali con le società di registrazione dei nomi di dominio, i team di risposta alle emergenze nazionali e di settore (CERT), la polizia informatica internazionale (INTERPOL, Europol) e altre organizzazioni competenti rilevanti. Attualmente, impiega in media alcuni giorni per ottenere il blocco di un sito dannoso (a seconda della zona del dominio, del livello del dominio e del provider di hosting), e non è troppo costoso. Invece, allo stesso tempo, l’uso del DFI di Kaspersky solleva gli esperti dal complesso lavoro non-core, riduce i rischi digitali e permette agli specialisti del personale di concentrarsi sui loro compiti prioritari.

Per ulteriori informazioni sui servizi di Threat Intelligence di Kaspersky: dircom@argonavis.it

28 Gennaio 2022

Microsoft applica delle patch a più di 100 vulnerabilità

 
Tratto da Blog Kaspersky
Autore:  Kaspersky Team – 18/01/2022
 
 

Microsoft risolve più di 100 vulnerabilità su Windows 10 e 11, Windows Server 2019 e 2022, Exchange Server, Office e browser Edge

 

 

Microsoft ha iniziato l’anno con una massiccia correzione delle vulnerabilità, rilasciando non solo il suo regolare aggiornamento del primo martedì del mese, che questa volta copre un totale di 96 vulnerabilità, ma anche rilasciando un mucchio di correzioni per il browser Microsoft Edge (principalmente legate al motore Chromium). Questo fa sì che più di 120 vulnerabilità siano state risolte dall’inizio dell’anno. Questo è un chiaro motivo per aggiornare il sistema operativo e alcune applicazioni Microsoft il più presto possibile.

Le vulnerabilità più gravi

Nove delle vulnerabilità che sono state risolte questo martedì hanno una valutazione critica sulla scala CVSS 3.1. Di queste, due sono legate all’elevazione dei privilegi: CVE-2022-21833 in Virtual Machine IDE Drive e CVE-2022-21857 in Active Directory Domain Services. Lo sfruttamento degli altri sette può dare ad un criminale informatico la capacità di esecuzione di codice da remoto:

L’ultima sembrerebbe essere la vulnerabilità più spiacevole. Un bug nello stack del protocollo HTTP permette teoricamente ai criminali informatici non solo di far eseguire codice arbitrario al computer colpito, ma anche per diffondere l’attacco sulla rete locale (secondo la terminologia Microsoft, la vulnerabilità è classificata come wormable, cioè, può essere utilizzata per creare un worm). Questa vulnerabilità è rilevante per Windows 10, Windows 11, Windows Server 2022 e Windows Server 2019. Tuttavia, secondo Microsoft, è pericoloso per gli utenti di Windows Server 2019 e Windows 10 versione 1809 solo se abilitano HTTP Trailer Support utilizzando la chiave EnableTrailerSupport nel registro di sistema.

Gli esperti hanno anche espresso preoccupazione per la presenza di un’altra grave vulnerabilità in Microsoft Exchange Server, CVE-2022-21846 (che, a proposito, non è l’unico bug di Exchange sulla lista, solo il più pericoloso). La loro preoccupazione è totalmente comprensibile, nessuno vuole una ripetizione dell’ondata di vulnerabilità Exchange sfruttate l’anno scorso.

Vulnerabilità con PoC

Alcune delle vulnerabilità risolte erano già note alla comunità di sicurezza. Inoltre, qualcuno ha già pubblicato proof of concept per loro:

  • CVE-2022-21836, Vulnerabilità di spoofing del certificato di Windows;
  • CVE-2022-21839, Vulnerabilità di negazione del servizio nell’elenco di controllo degli accessi discrezionali di Windows;
  • CVE-2022-21919, Vulnerabilità di elevazione dei privilegi nel servizio del profilo utente di Windows.

Non abbiamo ancora osservato attacchi reali utilizzando queste vulnerabilità. Tuttavia, le proof of concept sono già in circolazione, quindi lo sfruttamento può iniziare in qualsiasi momento.

Come rimanere al sicuro

In primo luogo, è necessario aggiornare il sistema operativo (e altri programmi di Microsoft) il più presto possibile. In generale, di solito è saggio non ritardare l’installazione delle patch per il software critico.

In secondo luogo, qualsiasi computer o server connesso a Internet deve essere dotato di una soluzione di sicurezza affidabile in grado non solo di prevenire lo sfruttamento delle vulnerabilità note, ma anche di rilevare gli attacchi con exploit ancora sconosciuti.

Per ulteriori informazioni sulle soluzioni di sicurezza Kaspersky: dircom@argonavis.it

18 Gennaio 2022

Cookie: le nuove Linee Guida del Garante diventano operative

 
 
Tratto da www.garanteprivacy.it
 
 

Dal 9 gennaio 2022 sono diventate operative le indicazioni contenute nelle Linee Guida del Garante approvate lo scorso mese di giugno in materia di cookie e altri strumenti di tracciamento.

Le nuove Linee guida suggeriscono alcuni miglioramenti che i titolari possono adottare al fine di rendere agli utenti un’informativa conforme ai requisiti di trasparenza previsti dagli articoli 12 e 13 del Regolamento. Le Linee Guida inoltre propongono significative innovazioni in tema di consenso.

Per una piena e corretta comprensione degli adempimenti, il Garante consiglia la consultazione del testo integrale delle «Linee guida sull’utilizzo di cookie e altri strumenti di tracciamento» disponibili alla pagina www.gpdp.it/cookie .

10 Gennaio 2022

Buone Feste e Felice 2022

 

Vi informiamo che i nostri uffici rimarranno chiusi nei seguenti giorni:

 

24, 27, 28, 29, 30, 31 dicembre 2021

6 e 7 gennaio 2022.

 

Auguri dallo Staff Argonavis

 

21 Dicembre 2021

OWOWA: il modulo IIS dannoso

 
Tratto da Blog Kaspersky
Autore:  Kaspersky Team – 16/12/2021
 
 

Il modulo dannoso IIS (Internet Information Services) rende Outlook sul web uno strumento per i criminali informatici

 

 

Un modulo dannoso di Internet Information Services (IIS) sta trasformando Outlook in uno strumento per rubare credenziali e un pannello di accesso remoto. Degli attori sconosciuti hanno usato il modulo in attacchi mirati, e i nostri ricercatori lo hanno rinominato OWOWA.

Perché Outlook sul web attira gli hacker

Outlook sul web (precedentemente noto come Exchange Web Connect, Outlook Web Access e Outlook Web App, o semplicemente OWA) è un’interfaccia basata sul web per accedere al servizio Personal Information Manager di Microsoft. L’applicazione è distribuita su server Web che eseguono IIS.

Molte aziende lo usano per fornire ai dipendenti l’accesso remoto alle caselle di posta e ai calendari aziendali senza dover installare un client dedicato. Ci sono diversi metodi per implementare Outlook sul web, uno dei quali comporta l’utilizzo di Exchange Server in loco, che è quello a cui sono attratti i criminali informatici. In teoria, ottenere il controllo di questa applicazione dà loro accesso a tutta la corrispondenza aziendale, insieme a infinite opportunità per espandere il loro attacco all’infrastruttura e lanciare ulteriori campagne BEC.

Come funziona OWOWA

OWOWA si carica sui server web IIS compromessi come un modulo per tutte le app compatibili, ma il suo scopo è quello di intercettare le credenziali inserite in OWA. Il malware controlla le richieste e le risposte su Outlook nella pagina di accesso Web, e se vede che un utente ha inserito le credenziali e ha ricevuto un token di autenticazione in risposta, scrive il nome utente e la password in un file (in forma cifrata).

Inoltre, OWOWA permette ai cybercriminali di controllare la sua funzionalità direttamente tramite lo stesso modulo di autenticazione. Inserendo alcuni comandi nei campi del nome utente e della password, un hacker può recuperare le informazioni raccolte, cancellare il file log o eseguire comandi arbitrari sul server compromesso attraverso PowerShell.

Per una descrizione tecnica più dettagliata del modulo con indicatori di compromissione, leggete il nostro post su Securelist.

Chi sono le vittime degli attacchi di OWOWA?

I nostri esperti hanno rilevato attacchi basati su OWOWA su server in diversi paesi asiatici: Malesia, Mongolia, Indonesia e Filippine. Tuttavia, i nostri esperti hanno ragione di credere che i criminali informatici siano interessati anche alle organizzazioni in Europa.

La maggior parte degli obiettivi erano agenzie governative, con almeno una società di trasporti (anch’essa di proprietà statale).

Come proteggersi da OWOWA

Potete usare il comando appcmd.exe, o il normale strumento di configurazione di IIS, per rilevare il modulo dannoso OWOWA (o qualsiasi altro modulo IIS di terze parti) sul server web IIS. Tenete a mente, tuttavia, che qualsiasi server rivolto a Internet, come qualsiasi computer, ha bisogno di protezione.

16 Dicembre 2021

Blog & News

Categorie