Una vulnerabilità di Internet Explorer minaccia gli utenti di Microsoft Office

 
Tratto da Blog Kaspersky
Autore: Hugh Aver – 09/09/2021
 
 

Una vulnerabilità non risolta nel motore MSHTML apre la porta ad attacchi rivolti agli utenti di Microsoft Office

 
 

Microsoft ha segnalato una vulnerabilità zero-day, indicata come CVE-2021-40444, il cui sfruttamento consente l’esecuzione remota di un codice dannoso sui computer delle vittime. Il problema è che i criminali informatici stanno già sfruttando questa vulnerabilità per attaccare gli utenti di Microsoft Office. Pertanto, Microsoft sta consigliando agli amministratori di rete Windows di impiegare un workaround temporaneo fino a quando non sarà rilasciata una patch.

CVE-2021-40444: tutti i dettagli

La vulnerabilità si trova nel motore di Internet Explorer, MSHTML. Anche se poche persone usano IE al giorno d’oggi (anche Microsoft raccomanda vivamente di passare al suo nuovo browser Edge), il vecchio browser rimane un componente dei sistemi operativi moderni, e alcuni programmi utilizzano il suo motore per gestire i contenuti web. In particolare, le applicazioni di Microsoft Office come Word e PowerPoint si affidano a esso.

Come stanno sfruttando gli hacker la vulnerabilità CVE-2021-40444?

Gli attacchi appaiono come controlli ActiveX dannosi incorporati in documenti Microsoft Office. I controlli permettono l’esecuzione di un codice arbitrario e i documenti molto probabilmente arrivano come allegati di messaggi e-mail. Come succede per qualsiasi documento allegato, gli hacker devono convincere le vittime ad aprire il file.

In teoria, Microsoft Office gestisce i documenti ricevuti su Internet in Visualizzazione Protetta o attraverso Application Guard for Office, ed entrambi possono prevenire un attacco che sfrutta la vulnerabilità CVE-2021-40444. Tuttavia, gli utenti possono fare click sul pulsante “Abilita modifica” senza pensarci, disattivando così i meccanismi di sicurezza di Microsoft.

 

 

Notifica della modalità di visualizzazione protetta su Microsoft Word.

Come proteggere la vostra azienda dalla vulnerabilità CVE-2021-40444

Microsoft ha promesso di indagare e, se necessario, rilasciare una patch ufficiale. Detto questo, non ci aspettiamo una patch prima del 14 settembre, il prossimo Patch Tuesday. In circostanze normali, l’azienda non annuncerebbe una vulnerabilità prima del rilascio di una soluzione, ma poiché i criminali informatici stanno già sfruttando la vulnerabilità CVE-2021-40444, Microsoft raccomanda di optare subito per un workaround temporaneo.

Il workaround consiste nel proibire l’installazione di nuovi controlli ActiveX, cosa che potete fare aggiungendo alcune chiavi al registro di sistema. Microsoft fornisce informazioni dettagliate sulla vulnerabilità, inclusa una sezione Workaround (in cui ci sono istruzioni su come disabilitare il workaround una volta che non ne avete più bisogno). Secondo Microsoft, il workaround non dovrebbe avere conseguenze sulle prestazioni dei controlli ActiveX già installati.

Da parte nostra, raccomandiamo quanto segue:

  • Installate una soluzione di sicurezza a livello del gateway di posta aziendale o migliorate i meccanismi di sicurezza standard di Microsoft Office 365 per proteggere la posta aziendale dagli attacchi;
  • Dotate tutti i computer dei dipendenti di soluzioni di sicurezza in grado di rilevare lo sfruttamento delle vulnerabilità;
  • Rendete maggiormente consapevoli i dipendenti delle moderne minacce informatiche su base regolare, in particolare ricordando loro di non aprire mai documenti che provengono da fonti non attendibili, né tantomeno di attivare la modalità di modifica a meno che non sia assolutamente necessario.
 

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.com

 

10 Settembre 2021

Spyware modulare Pegasus: il commento di Kaspersky

 
Tratto da www.lineaedp.it
Autore: Redazione LineaEDP – 21/07/2021
 
 
Dmitry Galov, security researcher del GReAT team di Kaspersky, ha commentato le funzionalità dello spyware modulare Pegasus
 

spyware

 

Pegasus è uno spyware modulare per iOS e Android. Nel 2016 è stata scoperta una versione di Pegasus per iOS, successivamente ne è stata trovata anche una versione per Android, leggermente diversa dalla prima. Uno dei suoi principali schemi di infezione è il seguente: la vittima riceve un SMS contenente un link che, una volta cliccato, infetta il dispositivo con uno spyware. Inoltre, secondo informazioni pubbliche, per infettare iOS lo spyware sfrutterebbe le vulnerabilità zero-day trovate nel sistema.

Quando noi di Kaspersky abbiamo studiato Pegasus per Android nel 2017, lo spyware si è dimostrato in grado di leggere gli SMS e le e-mail della vittima, ascoltare le chiamate, acquisire screenshot, registrare le sequenze di tasti e accedere ai contatti e alla cronologia del browser. Ma le sue funzionalità non si esauriscono qui. Vale anche la pena notare che Pegasus è un malware piuttosto complesso e costoso, progettato per spiare individui di particolare interesse, quindi è improbabile che l’utente medio venga preso di mira.

Quanto sono comuni le vulnerabilità come Pegasus che consentono di spiare le persone? Oggi esistono esempi di questo tipo disponibili sul darknet e quanto sono utilizzati in generale?

Vale la pena distinguere tra due concetti: spyware e vulnerabilità. Pegasus è uno spyware con versioni sia per dispositivi iOS che Android. Anche quando abbiamo studiato Pegasus per Android nel 2017, lo spyware poteva leggere SMS e e-mail della vittima, ascoltare le chiamate, acquisire screenshot, registrare sequenze di tasti, accedere ai contatti, alla cronologia del browser e ad altro ancora.

Inoltre è noto che, per infettare iOS, lo spyware sfrutta le vulnerabilità zero-day trovate nel sistema. Si tratta di vulnerabilità di cui lo sviluppatore non è a conoscenza e per le quali non è ancora stata rilasciata una patch, ma che possono essere sfruttate dai criminali informatici per implementare vari tipi di attacchi, inclusi attacchi mirati rivolti a organizzazioni o persone specifiche.

Sia gli spyware che le vulnerabilità zero-day possono essere venduti e acquistati da vari gruppi sulla darknet. Il prezzo delle vulnerabilità può raggiungere i 2,5 milioni di dollari: questo è quanto è stato offerto nel 2019 per l’intera catena di vulnerabilità Android. È interessante notare che nello stesso anno, per la prima volta, una vulnerabilità di Android si è rivelata più costosa di una vulnerabilità di iOS.

Cosa dovrebbero fare gli utenti per proteggersi da questi attacchi?

Il modo migliore per proteggersi da questi strumenti è fornire quante più informazioni possibili su questi attacchi ai fornitori di software e sicurezza. Gli sviluppatori di software risolveranno le vulnerabilità sfruttate dai threat actor e i fornitori di sicurezza adotteranno misure per rilevare tali minacce e proteggere gli utenti.

21 Luglio 2021

Aggiornate subito iOS e iPadOS alla versione 14.4

 

Tratto da Blog Kaspersky
Autore: Hugh Aver – 27/01/2021
 
 
La versione 14.4 corregge alcune vulnerabilità che i cybercriminali stanno sfruttando attivamente. Installate questo aggiornamento il prima possibile.
 
 
 

Apple ha rilasciato un aggiornamento di sicurezza per far fronte a tre vulnerabilità zero-day: CVE-2021-1780, CVE-2021-1781 e CVE-2021-1782. Apple ritiene che alcuni cybercriminali non ben definiti stiano già sfruttando queste vulnerabilità, ed è per questo che l’azienda consiglia a tutti gli utenti iOS e iPadOS di aggiornare i propri sistemi operativi.

Le vulnerabilità

CVE-2021-1780 e CVE-2021-1781 sono vulnerabilità nel motore browser WebKit, utilizzato dal browser predefinito Safari. Secondo Apple, entrambe le vulnerabilità possono portare all’esecuzione arbitraria di codice sul dispositivo interessato.

Gli utenti di altri browser hanno comunque bisogno di questo aggiornamento. Anche se sul sistema è presente un altro browser, infatti, altre applicazioni potrebbero utilizzare il motore Safari per la navigazione in-app. La presenza stessa di un motore vulnerabile nel sistema rappresenta di per sé un pericolo.

CVE-2021-1782 è una vulnerabilità nel kernel del sistema. Apple la descrive come un errore race condition che qualcuno potrebbe utilizzare per conferire maggiori privilegi a un processo.

Secondo le informazioni disponibili, alcuni cybercriminali sconosciuti potrebbero stare già sfruttando queste vulnerabilità. Potrebbero servirsene per una catena di exploit; tuttavia, con le indagini in corso, e per la protezione degli utenti, Apple prevede di rimandare la diffusione di ulteriori dettagli. Anche il database CVE manca di informazioni precise al momento.

Come proteggere i vostri dispositivi iOS

  • Aggiornate il prima possibile tutti gli iPhone e iPad alla versione iOS/iPadOS 14.4. Secondo il sito di Apple, l’aggiornamento è disponibile per iPhone 6s e successivi, iPad Air 2 e successivi, iPad mini 4 e successivi, e iPod touch di settima generazione;
  • Se il vostro dispositivo è meno recente e non supporta la versione 14.4 di iOS o iPadOS, installate un altro browser in alternativa a Safari e impostatelo come browser predefinito. Ad esempio, a partire da iOS 11, è possibile utilizzare Firefox o DuckDuckGo, e a partire da iOS 12, potete anche optare per Google Chrome.

28 Gennaio 2021