Compatibilità di Kaspersky Endpoint Security 10 con Windows 10 Anniversary Update

La versione Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 2, ultima kasperskyversione ufficialmente disponibile non è compatibile con Windows 10 Anniversary Update, ma verrà supportata dalla versione Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 3, il cui rilascio è previsto lunedì 15 agosto.

La procedura corretta di aggiornamento è:

  • Aggiornare KES 10 MR2 alla versione KES 10 MR3
  • Aggiornare Windows

Fino al rilascio ufficiale sarebbe preferibile non effettuare l’aggiornamento, mentre per chi avesse già proceduto con l’avanzamento è possibile installare la versione beta di Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 3 scaricabile da questo link

EDIT: (17 agosto 2016) è stata rilasciata la versione Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 3 che estende la compatibilità a Windows 10 Anniversary Update

11 Agosto 2016

Ransomware Petya e Mischa disponibili as a Service

Da qualche giorno su un sito raggiungibile tramite rete TOR è possibile affiliarsi ad una rete di criminali informatici che mette a disposizione i ransomware Petya e Mischa, attraverso una vera e propria piattaforma RaaS (Ransomware as a Service) per la diffusione del malware come servizio.

La piattaforma mette a disposizione una interfaccia web per generare campagne di diffusione del malware e gestire i riscatti.

La tabella sottostante riporta i guadagni offerti. Si va dal 25% se il volume settimanale di BitCoin raccolti è inferiore a 5, fino all’85% se il volume di riscatti settimanali ottenuti è superiore ai 125 BitCoin, che come viene riportato nella descrizione, al momento equivale ad un guadagno superiore ai 45.000 dollari.

raas

L’incoraggiamento dato al potenziale affiliato sulla facilità con cui si possono raccogliere più di 100 BitCoin con le giuste tecniche è una realtà, i ransomware hanno raggiunto livelli di diffusione rilevanti e la pubblicazione di queste piattaforme per l’affiliazione produrrà nuove campagne sempre può mirate.

Tutte le aziende per evitare perdite di denaro dovrebbero implementare delle soluzioni tecniche in grado di mitigare la minaccia di infezione da Cryptlocker.

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni ed illustrarvi come proteggere i vostri sistemi impiegando le più diffuse best practies ed utilizzando le tecnologie più efficaci.

Richiedi Informazioni

2 Agosto 2016

Regolamento generale sulla protezione dei dati (GDPR)

Il regolamento generale sulla protezione dei dati (GDPR) (regolamento UE 2016/679) è un Logo-Unione-Europea-2regolamento con il quale la Commissione Europea ha voluto omogeneizzare e rafforzare la protezione dei dati personali all’interno dell’Unione Europea. Il regolamento, trascorso il periodo di transizione andrà a sostituire la direttiva sulla protezione dei dati (direttiva UE 95/46 del 1995).

Il periodo di transizione durerà due anni, ed entrerà pienamente in vigore il 25 maggio 2018.
A differenza di una direttiva, questo provvedimento è un regolamento che viene applicato senza richiedere che i governi nazionali lo recepiscano con delle leggi nazionali.

Secondo il nuovo regolamento sono da considerarsi dati personali qualsiasi informazione riguardante una persona fisica, sia che si riferisca alla sua vita privata che la sua vita professionale o pubblica.

Può essere qualsiasi tipo di informazione: un nome, una foto, un indirizzo e-mail, coordinate bancarie, messaggi su siti web o social network, informazioni mediche, o l’indirizzo IP di un computer.

Il regolamento si applica oltre alle aziende ed alle organizzazioni con sede all’interno di un paese dell’Unione Europea, anche a quelle società extra comunitarie che trattano i dati di cittadini europei.

Dal 2018 tutte le aziende che trattano i dati di cittadini europei dovranno attenersi scrupolosamente al GDPR.

In caso di incidente informatico e violazione dei dati, sono previste multe, per le aziende, fino al 4% dei loro ricavi annui o 20 milioni di Euro (si applica il valore maggiore), oltre all’obbligo di informare l’autorità di vigilanza del proprio paese.

Le attività da svolgere per essere compliance sono numerose ed il tempo a disposizione (2 anni circa) non è molto.

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni ed illustrarvi come proteggere i vostri sistemi impiegando le più diffuse best practies ed utilizzando le tecnologie più efficaci.

Richiedi Informazioni

6 Luglio 2016

Quando il pericolo è nell’antivirus

Le vulnerabilità delle applicazioni sono la più grande minaccia da cui dovremmo guardarci, anche perché mentre gli attacchi vengono portati da attaccanti, che spesso scelgono accuratamente le proprie vittime, le applicazioni le andiamo a scegliere ed installare noi eggstessi.

Negli ultimi periodi, analizzando i casi di attacco più importanti abbiamo sempre riscontrato che uno dei vettori utilizzati per effettuare l’attacco è stata una vulnerabilità.

Fra le ultime vulnerabilità riscontrate un gruppo di queste ha coinvolto i prodotti di un noto produttore di software antimalware: Symantec.

  • CVE-2016-2207 Symantec Antivirus multiple remote memory corruption unpacking RAR [1]
  • CVE-2016-2208 Symantec antivirus products use common unpackers to extract malware binaries when scanning a system. A heap overflow vulnerability in the ASPack unpacker could allow an unauthenticated remote attacker to gain root privileges on Linux or OSX platforms. The vulnerability can be triggered remotely using a malicious file (via email or link) with no user interaction. [2]
  • CVE-2016-2209 Symantec: PowerPoint misaligned stream-cache remote stack buffer overflow [3]
  • CVE-2016-2210 Symantec: Remote Stack Buffer Overflow in dec2lha library [4]
  • CVE-2016-2211 Symantec: Symantec Antivirus multiple remote memory corruption unpacking MSPACK Archives [5]
  • CVE-2016-3644 Symantec: Heap overflow modifying MIME messages [6]
  • CVE-2016-3645 Symantec: Integer Overflow in TNEF decoder [7]
  • CVE-2016 -3646 Symantec: missing bounds checks in dec2zip ALPkOldFormatDecompressor::UnShrink [8]

Le più gravi fra queste vulnerabilità permettevano ad un attaccante di far eseguire del codice arbitrario alla macchina vittima, semplicemente inviando un file da far analizzare al motore di scansione, che durante la sua decompressione produceva all’interno dell’applicazione un buffer overflow e comunque un tentativo di attacco fallito è in grado di generare dei crash dell’applicazione e di conseguenza, trattandosi di un sistema di protezione del sistema, una falla nella sicurezza.

Nonostante al momento non risultino casi in cui queste vulnerabilità siano state utilizzate per effettuare un attacco reale non è da sottovalutare la gravità di questo caso, in cui il sistema di protezione è l’elemento stesso di vulnerabilità.

Tutti i clienti Symantec e Norton dovrebbero verificare con il proprio supporto quali patch installare per rendere sicura la propria installazione

 

5 Luglio 2016

Configurare Kaspersky Application Privilege Control per bloccare i ransomware

Il modulo Application Privilege Control di Kaspersky svolge un ruolo fondamentale nell’arginare la diffusione di malware di difficile individuazione con i metodi tradizionali.

In particolare per mitigare il rischio portato dai malware più sofisticati, quelli in grado di comprendere quando sono sotto analisi euristica rendendola inefficace, è importante effettuare una configurazione rigorosa di Application Privilege Control.

Il modulo discrimina in base alla firma dell’eseguibile, quelli noti da quelli sconosciuti, e concede l’accesso alle risorse in base al livello di fiducia.

kas application privilege control

Per poter essere il più efficace possibile la configurazione di default deve essere modificata e deve essere settata per l’opzione: “For unknown applications” il valore: “Automatically move to group: Untrusted“.

In questo caso avremo la certezza di bloccare l’esecuzione di tutte le applicazioni sconosciute, ed un malware rientrerà sicuramente in questa categoria.

Una configurazione così rigida porta a diversi casi in cui applicazioni poco diffuse possono rimanere bloccate.

Suggeriamo di monitorare il comportamento effettuando il log degli eventi di blocco da parte di Application Privilege Control in modo da rendere facile lo sblocco manuale delle applicazioni non pericolose.

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con le tecnologie più efficaci.

Richiedi Informazioni

30 Giugno 2016

Blog & News

Categorie