CVE-2021-28310: una finestra già rotta

Tratto da Blog Kaspersky
Autore: Hugh Aver – 15/04/2021
 
 

Una vulnerabilità zero-day presente in Microsoft Windows potrebbe essere già stata sfruttata dai cybercriminali. Vediamo di cosa si tratta e come proteggersi

 

 

I ricercatori di Kaspersky hanno individuato una vulnerabilità zero-day (CVE-2021-28310) in un componente di Microsoft Windows chiamato Desktop Window Manager (DWM). Crediamo che numerosi cybercriminali potrebbero aver già sfruttato questa vulnerabilità. Microsoft ha già rilasciato la patch e vi suggeriamo di installarla immediatamente.

Cos’è Desktop Window Manager?

Quasi tutti noi abbiamo dimestichezza con l’interfaccia a finestre dei moderni sistemi operativi: ogni programma si apre in una finestra separata che non necessariamente occupa tutto lo schermo. Le finestre possono sovrapporsi, per esempio, una getta un’ombra sulle altre come se stesse fisicamente bloccando la luce. Su Microsoft Windows, il componente responsabile di caratteristiche come le ombre e trasparenze si chiama Desktop Window Manager.

Per capire perché Desktop Window Manager sia importante in un contesto di sicurezza informatica, va tenuto in considerazione che i programmi non disegnano semplicemente le loro finestre sullo schermo ma aggiungono le informazioni necessarie in un buffer. Desktop Window Manager prende queste informazioni dal buffer di ogni programma e crea l’immagine complessiva di ciò che viene visualizzato dall’utente. Quando si trascina una finestra su un’altra, i programmi aperti non sanno nulla sul fatto che le loro finestre debbano proiettare un’ombra o che un’altra finestra a sua volta proietta un’ombra su di esse, per esempio. Desktop Window Manager si occupa di questo compito, si tratta di un servizio chiave che esiste su Windows a partire dalla versione Vista e che non può essere disattivato su Windows 8 o versioni successive.

La vulnerabilità in Desktop Window Manager

La vulnerabilità scoperta dalla nostra tecnologia avanzata di prevenzione degli exploit porterebbe alla cosiddetta privilege escalation; ciò significa che un programma può ingannare Desktop Window Manager e ottenere un accesso che non dovrebbe avere. In questo caso, la vulnerabilità ha permesso ai criminali informatici di eseguire un codice arbitrario sui dispositivi delle vittime, concedendo in sostanza il pieno controllo del computer.

Come evitare l’exploit CVE-2021-28310

È fondamentale agire rapidamente. Ecco cosa potete fare:

  • Installate immediatamente le patch rilasciate da Microsoft il 13 aprile e su tutti i computer vulnerabili;
  • Proteggete tutti i dispositivi con una soluzione di sicurezza robusta come Kaspersky Endpoint Security for Business, la cui componente avanzata di prevenzione degli exploit blocca i tentativi di sfruttare la vulnerabilità CVE-2021-28310.

 

Ulteriori informazioni sulla soluzione Kaspersky: dircom@argonavis.it

20 Aprile 2021

Analisi dei cyberattacchi e risposta rapida per PMI

Tratto da Blog Kaspersky
Autore: Hugh Aver – 15/04/2021
 
 
Bloccare una minaccia non è sufficiente, bisogna analizzare e ricostruire l’intera catena d’infezione
 
 
 

La maggior parte delle soluzioni di sicurezza per piccole e medie imprese blocca semplicemente l’esecuzione di malware su una workstation o un server e, per anni, questo metodo è sembrato sufficiente. Se un’azienda riusciva a rilevare le minacce informatiche sui dispositivi finali, poteva arrestare la diffusione dell’infezione sulla rete e proteggere l’infrastruttura aziendale.

Tuttavia, i tempi cambiano. Un tipico attacco informatico moderno non è più un incidente isolato sul computer di un dipendente ma un’operazione complessa che colpisce una porzione considerevole dell’infrastruttura. Pertanto, ridurre al minimo i danni di un cyberattacco di oggi richiede non solo di bloccare il malware, ma anche di capire rapidamente cosa è successo, come è successo e dove potrebbe accadere di nuovo.

Cosa è cambiato?

Il cybercrimine moderno si è evoluto a tal punto che anche una piccola azienda potrebbe ragionevolmente essere preda di un attacco mirato e su tutti i fronti. In certa misura, questa evoluzione è il risultato della crescente disponibilità degli strumenti che consentono di portare a termine un attacco complesso e in più fasi. Inoltre, i cybercriminali cercano sempre di massimizzare il rapporto sforzo-profitto e i creatori di ransomware si contraddistinguono davvero in questo senso. Ultimamente, abbiamo notato un loro crescente impegno in esaustive ricerche e in lunghi preparativi; a volte, si appostano silenziosamente nella rete obiettivo per settimane, esplorando l’infrastruttura e rubando informazioni vitali prima di colpire con la cifratura dei dati e la successiva richiesta di riscatto.

Una piccola impresa può anche servire come obiettivo intermedio in un attacco alla supply chain; i criminali informatici a volte usano l’infrastruttura di un appaltatore, un provider di servizi online o di un piccolo partner per assaltare un’impresa più grande. In questi casi, possono anche sfruttare le vulnerabilità zero-day, tattica normalmente più costosa.

Capire cosa è successo

Porre fine a un attacco complesso e multilivello richiede un quadro chiaro di come il cybercriminale sia riuscito a penetrare nell’infrastruttura, quanto tempo vi abbia trascorso, a quali dati possa aver avuto accesso e così via. Eliminare semplicemente il malware sarebbe come curare i sintomi di una malattia senza affrontarne le cause.

Nelle aziende di grandi dimensioni, ad occuparsi delle indagini c’è il SOC, il dipartimento di sicurezza informatica o un servizio esterno dedicato a questo scopo. Le grandi aziende usano soluzioni di classe EDR per questo: budget e personale limitati fanno sì che spesso le piccole aziende scartino a priori queste opzioni. Eppure, le piccole imprese hanno comunque bisogno di strumenti specializzati che le aiutino a rispondere prontamente alle minacce complesse.

Kaspersky Endpoint Security Cloud con EDR

Per configurare la soluzione Kaspersky per PMI con funzionalità EDR non serve un esperto in sicurezza poiché l’aggiornamento di Kaspersky Endpoint Security Cloud Plus offre una migliore visibilità dell’infrastruttura. L’amministratore può identificare rapidamente i percorsi che utilizza una minaccia per diffondersi, ottenere informazioni dettagliate sui dispositivi colpiti, visualizzare rapidamente i dettagli dei file dannosi e vedere dove vengono utilizzati. Tutto ciò aiuta gli amministratori a rilevare prontamente tutti i “punti caldi” delle minacce, bloccare l’esecuzione dei file pericolosi e isolare i dispositivi colpiti, riducendo al minimo i potenziali danni.

 

Per ulteriori informazioni: dircom@argonavis.it

18 Aprile 2021

Veeam Backup & Replication è ora in grado di eseguire il backup nativo dell’ambiente Azure

Tratto da Blog Veeam
Autore: David Hill – 12/04/2021
 

Veeam Backup for Microsoft Azure consente la creazione completamente automatizzata di snapshot e backup nativi delle macchine virtuali (VM) di Microsoft Azure, incluso l’offload di tali macchine nello storage Azure Blob per una maggiore efficienza dei costi nel cloud.  Il ripristino è altrettanto potente e offre le funzionalità per eseguire opzioni di ripristino a livello di file o completo all’interno di Azure oppure all’esterno su qualsiasi altra piattaforma supportata. L’appliance può essere facilmente implementata direttamente da Azure Marketplace in pochi minuti. Questo rimane valido anche per la versione 2, ma per chi utilizza ambienti ibridi protetti da Veeam, questa appliance può ora essere implementata e gestita direttamente da Veeam Backup & Replication.

Backup nativo di Azure con Veeam Backup & Replication

Veeam Backup & Replication supporta diverse piattaforme ed ora è estremamente facile aggiungere un ambiente Microsoft Azure nella console. Questa nuova integrazione consente di proteggere e ripristinare facilmente in modo nativo i carichi di lavoro di Microsoft Azure con la stessa console Veeam Backup & Replication che viene utilizzata per tutti gli altri job.

 

 

Per la configurazione iniziale si hanno a disposizione due opzioni: 1) la connessione a un’appliance di Veeam Backup for Microsoft Azure già esistente (già implementata) oppure 2) implementarne una nuova. Una volta completati i pochi passaggi necessari per la connessione, tutte le policy di backup e i backup possono essere gestiti direttamente all’interno di Veeam Backup & Replication.

 

 

Snapshot, backup e ripristini vengono tutti gestiti direttamente tramite la console di Veeam Backup & Replication. Grazie alle integrazioni di Veeam Backup & Replication, non si è neppure limitati al ripristino in Azure, poiché è possibile anche eseguirlo su qualsiasi piattaforma supportata, inclusi altri provider cloud. Questa nuova integrazione si basa sulla strategia di Cloud Data Management di Veeam, che consente di proteggere adeguatamente i dati alla sorgente, spostarli dove serve e quando serve, oltre a proteggerli adeguatamente a destinazione, il tutto da un unico piano di controllo.

 

 

 

Tiering nello storage Azure Blob ad accesso frequente o infrequente

Sebbene a volte sia facile pensare di utilizzare gli snapshot esclusivamente a scopo di backup, è importante considerare anche i requisiti di retention dei dati. Con Veeam Backup for Microsoft Azure, i backup possono essere eseguiti e scaricati nello storage Microsoft Blob per la retention dei dati a basso costo e a lungo termine. Lo storage Microsoft Azure Blob offre diversi livelli per diversi casi d’uso, che generalmente sono incentrati sulla frequenza di accesso ai dati.

Veeam Backup for Microsoft Azure ora supporta il tier di storage infrequente di Azure Blob (oltre al tier ad accesso frequente già supportato), consentendo di includere i requisiti di costo rispetto alla frequenza in qualsiasi policy di backup. Per i requisiti di storage dei dati a lungo termine che intendono soddisfare le raccomandazioni di conformità, è possibile utilizzare lo storage ad accesso infrequente, con l’aspettativa che i dati rimangano sul posto per più di 30 giorni. Lo storage ad accesso frequente viene invece generalmente utilizzato per archiviare i dati a cui si accede frequentemente e che vengono eliminati regolarmente.  Con l’introduzione del supporto per entrambi questi livelli, Veeam Backup for Microsoft Azure fornisce le funzionalità per creare una vera policy di protezione dei dati per il ripristino rapido o la retention dei dati a lungo termine, il tutto controllando le spese del cloud.

 

 

Consistenza a livello applicativo

L’esecuzione di backup è sempre fondamentale per proteggere i dati, ma è altrettanto importante assicurarsi che i dati di backup siano coerenti. L’ultima release di Veeam Backup for Microsoft Azure consente di definire policy di backup per acquisire snapshot application-aware per VM Microsoft Windows o eseguire script di backup pre e post-job per VM Microsoft Windows o Linux.

 

 

Questa modalità offre una maggiore coerenza durante la protezione dei carichi di lavoro, come ad esempio i database in esecuzione. È possibile eseguire degli script per arrestare il database prima di eseguire un backup e riportarlo online dopo il backup.

 

Procedura guidata per le policy migliorata

Insieme a tutte le nuove capacità introdotte in Veeam Backup for Microsoft Azure, è stata inclusa una procedura guidata per la creazione delle policy migliorata, per un utilizzo più ottimizzato. La procedura guidata per la creazione delle policy introduce funzionalità incentrate sulla pianificazione armonizzata, consentendo di scegliere opzioni giornaliere, settimanali, mensili e annuali, oltre a poter selezionare diversi repository di backup per la pianificazione.

16 Aprile 2021

Cloud Security: nuove soluzioni di sicurezza per le aziende

Tratto da Blog Kaspersky
Autore: Daniela Incerti – 13/04/2021
 
 
Il cloud è al centro della modernizzazione degli ambienti IT. Le aziende stanno cambiando il loro modello di business, passando da soluzioni on premise a soluzioni ibride e multicloud
 
 
 

 

Nel 2020 abbiamo vissuto una crisi senza precedenti che ha richiesto profondi cambiamenti sui nostri stili di vita, sul modo in cui interagiamo gli uni con gli altri e sul modo in cui lavoriamo.

In ambito agile working e smartworking le aziende hanno avuto, da un anno a questa parte, una forte spinta ad accelerare e abilitare in maniera molto rapida modalità di lavoro agili per consentire a tutti i lavoratori l’accesso alle risorse e ai dati aziendali,  mantenendo così la continuità operativa.

Anche l’ecommerce è un settore che nel corso del 2020 ha subito un a forte accelerazione. Infatti i consumatori hanno iniziato ad utilizzare molto di più i canali digitali per contattare le aziende attraverso device diversi.

In base ad una ricerca di IDC del 2020, al primo posto di quelle che sono le nuove priorità di innovazione delle aziende per il 2021, c’è la necessità di far evolvere i propri ambienti IT verso infrastrutture più agili, modulari e scalabili.

Come conseguenza della crescente digitalizzazione degli ambienti di lavoro e dell’aumento dell’innovazione, le organizzazioni stanno migrando i carichi di lavoro sul cloud. Questo settore ha visto infatti una crescita del 20% degli investimenti nel 2020.

Il cloud è al centro della modernizzazione degli ambienti IT. Le aziende stanno infatti cambiando il loro modello di business , passando da soluzione on premise a soluzioni ibride e multicloud.

Perché le aziende vanno verso il cloud?

Perché i benefici per il business sono molteplici e superiori rispetto a quelli tecnologici. Il cloud permette alle aziende di fondare i propri processi su sistemi flessibili in grado di reagire rapidamente ad eventi inaspettati (come ad esempio il lavoro da remoto) per mantenere continuità operativa. Il cloud fornisce infatti una maggiore agilità all’IT.

Oggi, agli ambienti IT tradizionali, si affiancano sempre più i servizi cloud.
Terminali e device degli utenti (personal pc, smartphone e tablet) sono sempre più connessi e hanno necessità di accedere alle risorse aziendali.
Con l’aumento dello smartworking abbiamo visto anche la crescita di connessioni domestiche per accedere alla rete aziendale, estendendo così sempre di più il perimetro aziendale. Proprio per questo l’approccio della sicurezza deve per forza evolvere da un approccio hardware ad uno più software.

Per reagire a questi cambiamenti le aziende oggi stanno aumentando la loro spesa in sicurezza (secondo una ricerca IDC, il 46% delle aziende italiane nel 2021 aumenterà gli investimenti in ambito security).

Gli ambienti IT ibridi e il multicloud richiedono però anche nuovi approcci, strategie e tecnologie di protezione per far fornte alla nuove priorità di sicurezza che sono:

  • Cloud security
  • Data Security
  • IoT & Edge Security
  • OT Security
  • Automation &Orchestration
  • Access Management& Protection (ZeroTrust, SASE, …)
  • Security as-a-service.

Quando si parla di ibrido e multicloud, quali sono oggi le principali sfide per le aziende?

Durante la migrazione per il passaggio al cloud, le aziende si trovano di fronte ad un lavoro non indifferente. Devono adattare i propri sistemi durante ma anche alla fine della transizione verso il cloud. In questa fase i cyber criminali potrebbero approfittarne per perpetrare i loro attacchi.

Per proteggere gli ambienti cloud, servono tecnologie dedicate alla sicurezza dei sistemi virtuali.
La soluzione Hybrid Cloud Security di Kaspersky  offre un’eccezionale protezione multi-layered per ambienti multi-cloud. Ovunque si elaborino e archivino i dati aziendali critici, su un cloud privato o pubblico o su entrambi, la soluzione Kaspersky è in grado di offrire una perfetta combinazione equilibrata di sicurezza agile, continua ed efficiente, proteggendo i dati contro le più avanzate minacce presenti e future, senza compromettere le prestazioni dei sistemi.

Per ulteriori informazioni: dircom@argonavis.it

15 Aprile 2021

I file di testo sono sicuri?

 

Tratto da Blog Kaspersky
Autore: Hugh Aver – 09/04/2021
 
 

I file con l’estensione TXT generalmente sono considerati sicuri. Ma lo sono per davvero?

 

 

I dipendenti che ricevono e-mail esterne di solito ricevono informazioni su quali file sono potenzialmente pericolosi. Per esempio, i file EXE di default sono considerati non sicuri, così come i file DOCX e XLSX, che possono contenere macro dannose. I file di testo, d’altra parte, sono generalmente considerati innocui di per sé, perché non possono contenere altro se non del testo semplice. Eppure non è sempre così.

I ricercatori hanno trovato un modo per sfruttare una vulnerabilità nel formato (ora risolta) e potrebbero trovarne altre. Il formato del file non è in realtà il problema ma il modo in cui i programmi gestiscono i file TXT.

La vulnerabilità CVE-2019-8761 di macOS

Il ricercatore Paulos Yibelo ha evidenziato un modo curioso di attaccare i computer macOS attraverso i file di testo. Come molte altre soluzioni di protezione, il sistema di sicurezza integrato di macOS Gatekeeper considera i file di testo come completamente affidabili. Gli utenti possono scaricarli e aprirli utilizzando l’editor integrato TextEdit senza ulteriori controlli.

Tuttavia, TextEdit è un po’ più sofisticato del blocco note di Microsoft Windows. Può svolgere più compiti, come visualizzare il testo in grassetto, permettere agli utenti di cambiare il colore del carattere e altro. Poiché il formato TXT non è progettato per memorizzare informazioni di stile, TextEdit si occupa delle informazioni tecniche aggiuntive in modo da poter gestire il tutto. Per esempio, se un file inizia con la riga <!DOCTYPE HTML><html><head></head><body>, TextEdit inizia a gestire i tag HTML anche in un file con estensione .txt.

Essenzialmente, scrivere un codice HTML in un file di testo, che inizia con quella riga, costringe TextEdit ad elaborare il codice o almeno alcuni suoi elementi.

I diversi tipi di attacchi possibili attraverso i file di testo

Dopo aver esaminato attentamente tutte le possibilità messe a disposizione da questo metodo, Yibelo ha scoperto che la vulnerabilità permette di:

  • Eseguire attacchi DoS. Gatekeeper non impedisce l’apertura di file locali da un oggetto con estensione TXT. Pertanto, l’apertura di un file di testo dannoso può sovraccaricare un computer, per esempio, utilizzando il codice HTML per accedere al file /dev/zero, una fonte infinita di caratteri nulli;
  • Identificare il vero indirizzo IP di un utente. Il codice nel file di testo può richiedere l’apertura di AutoFS, un programma standard per il montaggio dei file di sistema, che può fornire l’accesso a un’unità esterna. Sebbene questa azione sia innocua di per sé (perché il processo di montaggio automatico costringe il kernel del sistema a inviare una richiesta TCP), anche quando c’è l’utente dietro un server proxy, il creatore del file di testo dannoso può scoprire l’ora esatta in cui è stato aperto e registrare il vero indirizzo IP;
  • Rubare dei file. Interi file possono essere inseriti in un documento di testo contenente l’attributo <iframedoc>. Pertanto, il file di testo dannoso può ottenere l’accesso a qualsiasi file sul computer della vittima e poi trasferirne il contenuto utilizzando un attacco di tipo dangling markup. L’utente deve solo aprire il file.

La vulnerabilità è stata segnalata ad Apple già nel dicembre 2019 e le è stato assegnato il numero CVE-2019-8761. Il post di Paulos Yibelo fornisce maggiori informazioni sullo sfruttamento della vulnerabilità.

Come difendersi

Un aggiornamento del 2020 ha installato una patch per la vulnerabilità CVE-2019-8761, ma questo non garantisce che nessun bug legato a TXT non sia in circolazione nel software. Potrebbero essercene altri che nessuno ha ancora capito come sfruttare. Quindi, la risposta corretta alla domanda “Questo file di testo è sicuro?” è :”Sì, per ora. Ma rimanete sempre all’erta”.

Pertanto, è opportuno formare tutti i dipendenti affinché considerino qualsiasi file come una potenziale minaccia, anche quando si tratta di un innocuo file di testo.

Indipendentemente da ciò, sarebbe saggio anche affidare il controllo di tutti i flussi di informazioni in uscita dell’azienda a un SOC esterno o interno.

12 Aprile 2021

Blog & News

Categorie