Microsoft applica delle patch a più di 100 vulnerabilità

Tratto da Blog Kaspersky

Autore: Kaspersky Team – 18/01/2022

Microsoft risolve più di 100 vulnerabilità su Windows 10 e 11, Windows Server 2019 e 2022, Exchange Server, Office e browser Edge

Microsoft ha iniziato l’anno con una massiccia correzione delle vulnerabilità, rilasciando non solo il suo regolare aggiornamento del primo martedì del mese, che questa volta copre un totale di 96 vulnerabilità, ma anche rilasciando un mucchio di correzioni per il browser Microsoft Edge (principalmente legate al motore Chromium). Questo fa sì che più di 120 vulnerabilità siano state risolte dall’inizio dell’anno. Questo è un chiaro motivo per aggiornare il sistema operativo e alcune applicazioni Microsoft il più presto possibile.

Le vulnerabilità più gravi

Nove delle vulnerabilità che sono state risolte questo martedì hanno una valutazione critica sulla scala CVSS 3.1. Di queste, due sono legate all’elevazione dei privilegi: CVE-2022-21833 in Virtual Machine IDE Drive e CVE-2022-21857 in Active Directory Domain Services. Lo sfruttamento degli altri sette può dare ad un criminale informatico la capacità di esecuzione di codice da remoto:

CVE-2022-21917 in HEVC Video Extensions;
CVE-2022-21912 e CVE-2022-21898 in DirectX Graphics Kernel;
CVE-2022-21846 in Microsoft Exchange Server;
CVE-2022-21840 in Microsoft Office;
CVE-2021-22947 in Open Source Curl;
CVE-2022-21907 in HTTP Protocol Stack.

L’ultima sembrerebbe essere la vulnerabilità più spiacevole. Un bug nello stack del protocollo HTTP permette teoricamente ai criminali informatici non solo di far eseguire codice arbitrario al computer colpito, ma anche per diffondere l’attacco sulla rete locale (secondo la terminologia Microsoft, la vulnerabilità è classificata come wormable, cioè, può essere utilizzata per creare un worm). Questa vulnerabilità è rilevante per Windows 10, Windows 11, Windows Server 2022 e Windows Server 2019. Tuttavia, secondo Microsoft, è pericoloso per gli utenti di Windows Server 2019 e Windows 10 versione 1809 solo se abilitano HTTP Trailer Support utilizzando la chiave EnableTrailerSupport nel registro di sistema.

Gli esperti hanno anche espresso preoccupazione per la presenza di un’altra grave vulnerabilità in Microsoft Exchange Server, CVE-2022-21846 (che, a proposito, non è l’unico bug di Exchange sulla lista, solo il più pericoloso). La loro preoccupazione è totalmente comprensibile, nessuno vuole una ripetizione dell’ondata di vulnerabilità Exchange sfruttate l’anno scorso.

Vulnerabilità con PoC

Alcune delle vulnerabilità risolte erano già note alla comunità di sicurezza. Inoltre, qualcuno ha già pubblicato proof of concept per loro:

CVE-2022-21836, Vulnerabilità di spoofing del certificato di Windows;
CVE-2022-21839, Vulnerabilità di negazione del servizio nell’elenco di controllo degli accessi discrezionali di Windows;
CVE-2022-21919, Vulnerabilità di elevazione dei privilegi nel servizio del profilo utente di Windows.

Non abbiamo ancora osservato attacchi reali utilizzando queste vulnerabilità. Tuttavia, le proof of concept sono già in circolazione, quindi lo sfruttamento può iniziare in qualsiasi momento.

Come rimanere al sicuro

In primo luogo, è necessario aggiornare il sistema operativo (e altri programmi di Microsoft) il più presto possibile. In generale, di solito è saggio non ritardare l’installazione delle patch per il software critico.

In secondo luogo, qualsiasi computer o server connesso a Internet deve essere dotato di una soluzione di sicurezza affidabile in grado non solo di prevenire lo sfruttamento delle vulnerabilità note, ma anche di rilevare gli attacchi con exploit ancora sconosciuti.

Per ulteriori informazioni sulle soluzioni di sicurezza Kaspersky: dircom@argonavis.it

Threat Intelligence: scopri se è arrivato il momento di integrarla in azienda

Tratto da Blog Kaspersky

Autore: Daniela Incerti – 24/11/2020

E’ giunto il momento di integrare la Threat Intelligence in azienda? Ecco le informazioni fondamentali per prevedere e prevenire cyberminacce e attacchi informatici

Aziende, vendor e analisti sono attualmente impegnati in un accurato processo di studio e verifica volto a definire cos’è effettivamente la Threat Intelligence e ciò che invece non lo è. Si tratta di un processo assolutamente necessario, perché solo comprendendo ciò che NON è Threat Intelligence, si potrà registrare un’evoluzione del settore in termini di sviluppo di prodotti e servizi che serviranno da base per una Cybersecurity proattiva.

Originariamente, sono state considerate in qualità di precursori della “Threat Intelligence” le blacklist di IP e URL; in seguito, per integrare le informazioni contenute in tali elenchi, sono stati sviluppati prodotti di sicurezza come i firewall next generation (NGFW) e specifici prodotti per la gestione degli eventi (SIEM). Tuttavia, con il trascorrere del tempo, la quantità di dati riconducibili alla Threat Intelligence è cresciuta in modo esponenziale; è quindi divenuto particolarmente difficile stabilire cosa fosse davvero rilevante e cosa no. Inoltre, i controlli di sicurezza allora esistenti non erano stati affatto progettati per elaborare un numero così elevato di Indicatori di Compromissione.

L’importanza dell’analisi dei dati

Vi sono attualmente numerosi provider di threat feed e servizi di intelligence sulle minacce intenti a processare e fornire grandi quantità di dati essenzialmente non elaborati (ovvero indicatori privi di contesto), proposti sul mercato come “Threat Intelligence”. Alimentare le proprie attività di sicurezza con una simile “intelligence” causa inevitabilmente un numero eccessivo di falsi avvisi di sicurezza quotidiani, che si riflette in un sovraccarico di lavoro per i team responsabili della sicurezza IT, creando notevoli difficoltà nella gestione di tali notifiche. Situazioni del genere provocano un forte impatto negativo, sia in termini di effettiva capacità di risposta agli incidenti, sia a livello di sicurezza complessiva dell’azienda. Secondo una ricerca condotta da Cisco nel 2018, il 44% degli avvisi di sicurezza quotidiani non viene sottoposto ad alcuna investigation: i dati rimangono semplicemente inutilizzati. Selezionare e classificare un’enorme quantità di dati (privi di effettivo contesto) provenienti dalle fonti di intelligence sulle minacce non significa affatto produrre e fornire una vera Threat Intelligence.

Ciò ha generato la consapevolezza che non esiste, di fatto, una soluzione di Threat Intelligence pronta all’uso per garantire la protezione dell’azienda. È opinione comune, al giorno d’oggi, che montagne di dati non elaborati e privi di qualsiasi struttura non debbano essere definite “utili”, e men che meno classificate come “intelligence”. E soprattutto, i dati, per quanto rilevanti, continuano a rivelarsi inutili se non risultano finalizzati all’azione e contestualizzati.

L’attenzione è ora interamente rivolta alla qualità delle fonti di dati. La sola identificazione di ciò che in passato rappresentava una minaccia appartiene ormai a un’epoca remota. I dati devono necessariamente fornire non solo gli insight, ma anche precise linee guida per le conseguenti decisioni e azioni. E se la qualità dei dati risulta limitata dalla carenza di valide fonti, ad esempio in caso di visibilità insufficiente riguardo alle minacce che si celano nella Darknet, o di assenza di una vision globale e multilingue, è impossibile trasformare gli stessi in un’efficace Threat Intelligence. Una vera intelligence deve essere in grado di prevedere il modo in cui l’azienda dovrà necessariamente prepararsi per combattere le future minacce.

Ogni organizzazione è diversa e necessità di soluzioni mirate

Inoltre, una valida soluzione di Threat Intelligence deve sapersi adattare perfettamente alle specifiche esigenze di ogni singola organizzazione in termini di sicurezza IT. Deve guidare l’azienda nell’impostare, in relazione agli asset di natura critica, gli indispensabili punti di raccolta interna dei dati, in modo da abbinare questi ultimi con la Threat Intelligence esterna, al fine di identificare in modo efficiente le potenziali minacce. Senza tale approccio mirato, non si potranno stabilire le necessarie priorità in termini di informazioni occorrenti per difendere le risorse chiave. “Le minacce sono effettivamente tali solo nello specifico contesto di rischio dell’azienda”, afferma Helen Patton, Chief Information Security Officer (CISO) presso la Ohio State University.

Fondamentale l’integrazione con i processi aziendali

In ultima analisi, se l’intelligence non è “finalizzata all’azione” non si rivela utile. Per esserlo, deve riuscire a integrare perfettamente più fonti di Threat Intelligence nelle attività di sicurezza svolte dall’organizzazione, attraverso un unico entry point. Se la Threat Intelligence di tipo machine-readable e human-readable non può essere utilizzata in modo rapido e agevole assieme ai sistemi già implementati in azienda, se i relativi formati e metodi di fornitura non supportano una facile integrazione con le attività di sicurezza già esistenti, ciò significa che i dati prodotti non potranno essere convertiti in una efficace soluzione di Threat Intelligence.

In conclusione, se risulta impossibile elaborare, integrare e convertire i dati in intelligence finalizzata ad un’azione immediata, allo scopo di garantire esclusivi insight sulle minacce emergenti, consentire ai security team di assegnare le giuste priorità agli avvisi di sicurezza, ottimizzare le risorse e accelerare i processi decisionali, un simile accumulo di dati non potrà mai superare il test di “Threat Intelligence” in base ai requisiti necessari nel 2020.

Come decidere se la propria azienda è “pronta” per la Threat Intelligence?

Di seguito sono riportate alcune domande, estremamente utili per determinarlo. Se la maggior parte delle risposte è SÌ, allora è già tempo di pensare a integrare la Threat Intelligence in azienda.

L’azienda ha bisogno di prendere decisioni informate più rapide e più efficaci in materia di sicurezza IT, basate su prove concrete, anziché starsene a inseguire delle ombre?
Gli esperti del security team aziendale si trovano in difficoltà nella gestione degli avvisi di sicurezza e nell’assegnazione delle relative priorità? Forse un considerevole numero di avvisi non viene esaminato semplicemente perché il team in questione è già sovraccarico di lavoro?
L’azienda deve comprendere meglio quali sono le vulnerabilità maggiormente soggette allo sfruttamento da parte di cybercriminali? Non sa esattamente in che modo assegnare le priorità a livello di patching?
L’azienda ha forse bisogno di informazioni in tempo reale più accurate riguardo agli URL e agli indirizzi IP malevoli che minacciano il proprio ambiente digitale?
L’azienda deve individuare eventuali dati carpiti da qualche malintenzionato, che potrebbero arrecare danni all’immagine o al brand dell’impresa?
All’azienda occorre forse un quadro ben più chiaro riguardo a chi possa effettivamente essere l’avversario, in merito alle tipologie di attacco più probabili e alle misure proattive da adottare per rafforzare le difese informatiche?
L’azienda corre il rischio di non riuscire a rilevare le minacce attive in agguato all’interno dell’infrastruttura IT, oppure i cyberattacchi nel momento stesso in cui si verificano (e individua l’assalto solo in seguito, o addirittura mai!), mentre aumentano i costi generati dall’attacco e si amplifica la portata delle conseguenze negative prodotte dallo stesso?
L’azienda si trova in difficoltà nello stabilire le priorità in relazione agli incidenti occorsi e rischia di perseguire una strategia di sicurezza per nulla adeguata alle attuali minacce attive?

Per un test dimostrativo riguardo ai vantaggi prodotti dall’implementazione di un servizio di Threat Intelligence all’interno della propria azienda, è possibile accedere gratuitamente al Threat Intelligence Portal (TIP) di Kaspersky, che mette a disposizione decine di tecnologie di analisi avanzata, combinate tra loro, relativamente a file, hash, indirizzi IP e URL sospetti, consentendo ben 4.000 lookup al giorno per ogni singola azienda.

Kaspersky: ecco i nuovi trend negli attacchi APT

Tratto da www.lineaedp.it

Redazione LineaEDP – 04/11/2020

I ricercatori di Kaspersky hanno studiato e individuato le nuove tendenze negli attacchi APT

Nel terzo trimestre del 2020, i ricercatori di Kaspersky hanno osservato una spaccatura nell’approccio adottato dai threat actor. Sono stati osservati diversi sviluppi nelle tattiche, tecniche e procedure (TTP) dei gruppi APT di tutto il mondo, oltre a campagne efficaci che utilizzano vettori di infezione e set di strumenti piuttosto banali.

Uno dei risultati più importanti del trimestre è stata una campagna condotta da un threat actor non ancora conosciuto che ha deciso di infettare una delle vittime utilizzando un bootkit personalizzato per l’UEFI, un componente hardware essenziale dei moderni dispositivi informatici. Questo vettore di infezione faceva parte di un framework a più stadi chiamato MosaicRegressor. L’infezione del UEFI ha reso il malware installato sul dispositivo più persistente ed estremamente difficile da rimuovere. Inoltre, il payload scaricato dal malware sui dispositivi di ciascuna vittima poteva essere diverso. Questo approccio flessibile ha permesso al threat actor di nascondere il suo payload in modo efficace.

Altri gruppi criminali si avvalgono della steganografia. In the wild è stato rilevato, in un attacco rivolto ad una società di telecomunicazioni europea, un nuovo metodo che abusa del binario Windows Defender firmato Authenticode, un programma integrale e approvato per la soluzione di sicurezza Windows Defender. Una campagna in corso, attribuita a Ke3chang, ha utilizzato una nuova versione della backdoor di Okrum. Questa versione aggiornata di Okrum abusa di un binario di Windows Defender firmato Authenticode attraverso l’impiego di una tecnica di side-loading unica nel suo genere. Gli aggressori hanno utilizzato la steganografia per nascondere il payload principale nell’eseguibile del Defender, mantenendone valida la firma digitale e riducendo così le possibilità di rilevamento.

Anche molti altri threat actor continuano ad aggiornare i loro toolset per renderli più flessibili e meno inclini al rilevamento. Diversi framework multistadio, come quello sviluppato dal gruppo APT MuddyWater, continuano ad apparire in the wild. Questo trend vale anche per altri malware come Dtrack RAT (Remote Access Tool), ad esempio, che è stato aggiornato con una nuova funzione che consente all’aggressore di eseguire diversi payload.

Tuttavia, alcuni gruppi criminali utilizzano ancora con successo catene di infezione a bassa tecnologia come ad esempio un gruppo di mercenari che i ricercatori di Kaspersky hanno chiamato DeathStalker. Questo gruppo APT si concentra principalmente su studi legali e società che operano nel settore finanziario, raccogliendo informazioni sensibili e preziose dalle vittime. Grazie all’impiego di tecniche per lo più identiche dal 2018 e ad una particolare attenzione ai metodi per eludere i sistemi di rilevamento, DeathStalker è stato in grado di portare avanti una serie di attacchi di successo.

“Mentre alcuni threat actor rimangono coerenti nel tempo cercando di sfruttare temi caldi come il COVID-19, per invogliare le vittime a scaricare allegati dannosi, altri gruppi reinventano sé stessi e i loro strumenti. Nell’ultimo trimestre abbiamo assistito all’ampliamento della portata delle piattaforme attaccate, ad un continuo lavoro sulle nuove catene di infezione e all’uso di servizi legittimi come parte della loro infrastruttura di attacco. In definitiva, per gli specialisti di sicurezza questo significa che i difensori dovranno investire diverse risorse nella caccia alle attività malevole in nuovi ambienti legittimi che in passato sono stati poco esaminati. Questo include malware scritti in linguaggi di programmazione meno conosciuti e veicolati attraverso servizi cloud legittimi. Il tracciamento delle attività degli attori e dei TTP ci permette di seguirli mentre adattano nuove tecniche e strumenti, e quindi di prepararci a reagire in tempo ai nuovi attacchi”, ha commentato Ariel Jungheit, Senior Security Researcher, Global Research and Analysis Team di Kaspersky.

È disponibile una sintesi delle tendenze APT dell’ultimo trimestre che riassume i risultati dei report di threat intelligence di Kaspersky relativi ai soli abbonati, oltre ad altre fonti che coprono i principali sviluppi di cui il settore aziendale dovrebbe essere a conoscenza. I report di threat intelligence di Kaspersky includono anche i dati sugli Indicatori di Compromissione (IoC), nonché le regole di Yara e Suricata per aiutare gli esperti forensi e supportare la caccia ai malware.

Per evitare di cadere vittima di un attacco mirato da parte di un attore noto o sconosciuto, i ricercatori di Kaspersky raccomandano di mettere in pratica le seguenti misure:

• Fornire al team SOC l’accesso alla threat intelligence più recente (TI). Kaspersky Threat Intelligence Portal offre un unico punto di accesso per la TI dell’azienda e fornisce i dati sugli attacchi informatici in corso e le informazioni raccolte da Kaspersky in oltre 20 anni di esperienza sul campo. È possibile accedere gratuitamente alle sue funzioni e controllare file, URL e indirizzi IP a questo link.
• Per la detection a livello endpoint, l’indagine e il ripristino tempestivo degli incidenti, è necessario implementare soluzioni EDR come Kaspersky Endpoint Detection and Response.
• Oltre ad adottare una protezione per endpoint è necessario implementare una soluzione di sicurezza di livello aziendale in grado di rilevare tempestivamente le minacce avanzate della rete, come Kaspersky Anti Targeted Attack Platform.