Vulnerabilità di Windows sfruttata attivamente

 
Tratto da Blog Kaspersky
Autore:  Editorial Team – 13/05/2022
 
 

Microsoft ha rilasciato le patch per diverse decine di vulnerabilità, una delle quali viene già attivamente sfruttata dai cybercriminali

 

 

Nell’ultimo Patch Tuesday (10 maggio) Microsoft ha rilasciato aggiornamenti per 74 vulnerabilità. Gli hacker stanno già attivamente sfruttando almeno una di queste vulnerabilità; pertanto, è importante installare le patch il prima possibile.

CVE-2022-26925, la vulnerabilità più pericolosa tra quelle trattate

A quanto pare, la vulnerabilità più pericolosa a cui fa riferimento questo pacchetto di aggiornamenti è la CVE-2022-26925, contemplata dall’autorità di sicurezza locale di Windows. Tuttavia, la vulnerabilità ottiene un punteggio di 8,1 nella scala CVSS, il che è un indice relativamente basso. Però i rappresentanti di Microsoft ritengono che quando questa vulnerabilità viene utilizzata negli attacchi NTLM Relay nei confronti dei servizi certificati di Active Directory, il livello di gravità di questo bundle sale a 9,8 (scala CVSS). Il motivo dell’aumento del livello di gravità è che in queste circostanze, CVE-2022-26925 potrebbe consentire a un hacker di autenticarsi su un domain controller.

La vulnerabilità può interessare tutti i sistemi operativi Windows da Windows 7 (Windows Server 2008 per i sistemi server) in avanti. Microsoft non è entrata nei dettagli e non ha specificato come sia possibile sfruttare questa vulnerabilità; tuttavia, a giudicare dalla descrizione del problema, alcuni cybercriminali sconosciuti stanno già utilizzando attivamente gli exploit per CVE-2022-26925. La buona notizia è che, secondo gli esperti, sfruttare questa vulnerabilità in attacchi reali è piuttosto difficile.

La correzione rileva e blocca i tentativi di connessione anonima al Remote Protocol dell’autorità di sicurezza locale. Tuttavia, secondo le FAQ ufficiali, l’installazione di questo aggiornamento su Windows Server 2008 SP2 potrebbe influire sul software di backup.

Altre vulnerabilità

Oltre a CVE-2022-26925, l’ultimo aggiornamento corregge altre vulnerabilità con un livello di gravità “critico”. Tra queste vi sono la vulnerabilità RCE CVE-2022-26937 nel Network File System (NFS) di Windows, nonché CVE-2022-22012 e CVE-2022-29130, due vulnerabilità RCE che interessano il servizio LDAP.

Altre due vulnerabilità erano già note al pubblico al momento della pubblicazione delle patch. La prima è CVE-2022-29972, un bug che colpisce il driver Magnitude Simba Amazon Redshift di Insight Software; mentre la seconda è CVE-2022-22713, una vulnerabilità DoS che interessa Hyper-V di Windows. Tuttavia, ad oggi, non sono stati rilevati tentativi di sfruttamento.

Come proteggersi

Innanzitutto, installate gli ultimi aggiornamenti di Microsoft. Se per qualche motivo, nel vostro ambiente non è possibile, consultate la sezione FAQ e le soluzioni e mitigazioni dei rischi nella guida ufficiale agli aggiornamenti di sicurezza di Microsoft (data maggio 2022). Sicuramente, potrete utilizzare uno dei metodi descritti in precedenza e proteggere così la vostra infrastruttura dalle vulnerabilità più rilevanti.

16 Maggio 2022

Come bloccare un sito di phishing

 
Tratto da Blog Kaspersky
Autore:  Hugh Aver – 27/01/2022
 
 

Kaspersky ha un nuovo servizio che permette di rimuovere i siti dannosi e di phishing

 

 

I criminali informatici hanno molti schemi che coinvolgono la creazione di domini dannosi o di phishing. Possono usare questi domini per attaccare i vostri clienti, partner o anche i vostri dipendenti. Ecco perché di tanto in tanto le aziende hanno bisogno di bloccare un dominio pericoloso, e alcune di loro affrontano tali minacce abbastanza spesso. Di solito, l’eliminazione di un dominio dannoso non è impossibile, ma richiede una certa esperienza e molto tempo. Tuttavia, quando si identifica una tale minaccia, non si ha tempo da perdere, può portare a una perdita di entrate, danni alla reputazione, perdita di fiducia dei clienti, fughe di dati e altro. Ecco perché Kaspersky ha aggiornato il portfolio di informazioni sulle minacce con un nuovo servizio: Kaspersky Takedown Service.

L’importanza del Threat Intelligence

Il Threat intelligence è un insieme di servizi che aiutano le aziende a navigare nel panorama delle minacce informatiche e a prendere le decisioni giuste per migliorare la loro sicurezza informatica. In poche parole, si tratta della raccolta e dell’analisi dei dati sulla situazione epidemiologica dentro e fuori una rete aziendale. I servizi di intelligence delle minacce includono strumenti professionali per l’indagine degli incidenti, dati analitici sui nuovi cyberattacchi mirati e molto altro. Con l’aiuto del threat intelligence, un esperto di cybersecurity può tenere traccia di ciò che stanno facendo i potenziali hacker, quanto bene sono armati e quali strategie e quali tattiche usano.

Uno dei servizi più utili del portfolio Threat Intelligence di Kaspersky è il servizio Digital Footprint Intelligence (DFI). Mette insieme un “ritratto digitale dettagliato e dinamico di un’organizzazione” (risorse del perimetro di rete, indirizzi IP, domini aziendali, provider di cloud e hosting utilizzati, e anche dipendenti, marchi associati, filiali e succursali). Successivamente monitora qualsiasi menzione di queste informazioni in fonti aperte, nella darknet e nel deepweb, e anche nel database Kaspersky che contiene informazioni su quasi un migliaio di attacchi mirati in corso e vari strumenti dannosi.

Così, il DFI scopre le vulnerabilità e le potenziali minacce e fughe di dati, oltre ai segni di cyberattacchi passati, attuali e persino pianificati, ed è eccezionalmente efficace (ecco solo un esempio delle nostre indagini DFI in Medio Oriente).

Cosa si può fare con un dominio dannoso?

Quindi cosa dovrebbe fare il responsabile della sicurezza se il monitoraggio trovasse, per esempio, un sito di phishing che finge di essere uno dei siti della vostra azienda, e sta raccogliendo i numeri delle carte di credito dei vostri utenti? Normalmente in un caso del genere un’organizzazione dovrebbe intraprendere una procedura che richiede molte risorse per raccogliere le prove della frode informatica, per creare una richiesta di rimozione e inviarla all’organizzazione che gestisce la zona di dominio del sito, per monitorare che la richiesta venga eseguita, e per fornire materiale extra se necessario. Si tratta di un compito piuttosto impegnativo, che richiede uno specialista designato (o anche un intero team di esperti).

Adesso il servizio DFI di Kaspersky ha un aggiornamento, il Kaspersky Takedown Service che può essere utilizzato per gestire il blocco dei domini dannosi, phishing e typosquatting. Non appena DFI trova una tale minaccia, tutto ciò che gli utenti devono fare è cliccare un paio di volte con il mouse per creare una richiesta di blocco di un sito. Dopo di che, tutto è automatizzato. Kaspersky raccoglie le prove, le invia alle autorità competenti, dà seguito alla richiesta e informa il cliente su ogni fase di questo processo.

Nel corso di diversi anni Kaspersky ha stabilito solide relazioni professionali con le società di registrazione dei nomi di dominio, i team di risposta alle emergenze nazionali e di settore (CERT), la polizia informatica internazionale (INTERPOL, Europol) e altre organizzazioni competenti rilevanti. Attualmente, impiega in media alcuni giorni per ottenere il blocco di un sito dannoso (a seconda della zona del dominio, del livello del dominio e del provider di hosting), e non è troppo costoso. Invece, allo stesso tempo, l’uso del DFI di Kaspersky solleva gli esperti dal complesso lavoro non-core, riduce i rischi digitali e permette agli specialisti del personale di concentrarsi sui loro compiti prioritari.

Per ulteriori informazioni sui servizi di Threat Intelligence di Kaspersky: dircom@argonavis.it

28 Gennaio 2022

I più comuni vettori di attacco

 
Tratto da Blog Kaspersky
Autore: Kaspersky Team – 11/10/2021
 
 

Ecco come i criminali informatici sono più propensi a entrare nell’infrastruttura delle aziende di loro interesse

 

 

Quando indaghiamo un cyberincidente, prestiamo sempre particolare attenzione al vettore di attacco iniziale. In parole povere, la via d’accesso è un punto debole, e per evitare che si ripeta, è essenziale identificare i punti deboli dei sistemi di difesa.

Purtroppo, questo non è sempre possibile. In alcuni casi, trascorre troppo tempo tra l’incidente e il suo rilevamento; in altri, la vittima non ha tenuto i registri o ha distrutto le tracce (accidentalmente o intenzionalmente).

A complicare le cose, quando i criminali informatici attaccano attraverso la supply chain, un metodo sempre più usato, il vettore iniziale non rientra nella sfera di competenza della vittima finale, ma piuttosto in quella di un terzo sviluppatore di programmi o fornitore di servizi. Tuttavia, gli esperti Kaspersky sono riusciti a determinare con precisione il vettore di attacco iniziale, in più della metà degli incidenti.

Primo e secondo posto: forza bruta e sfruttamento di applicazioni accessibili al pubblico

Gli attacchi di forza bruta e lo sfruttamento di vulnerabilità in applicazioni e sistemi accessibili dall’esterno del perimetro aziendale condividono i primi due posti. Ognuno di essi è stato il vettore iniziale di penetrazione nel 31,58% dei casi.

Nessun altro metodo è così efficace nel lanciare un attacco come lo sfruttamento delle vulnerabilità. Un’analisi più dettagliata delle vulnerabilità sfruttate suggerisce che è attribuibile principalmente alla mancata installazione tempestiva degli aggiornamenti da parte delle aziende; al momento degli attacchi, le patch erano già disponibili per ogni singola vulnerabilità e la loro semplice applicazione avrebbe protetto le vittime.

La transizione di massa delle aziende allo smart working e l’uso di servizi di accesso da remoto spiegano l’aumento della popolarità degli attacchi di forza bruta. Nel fare la transizione, molte organizzazioni non sono riuscite ad affrontare adeguatamente le questioni di sicurezza e, di conseguenza, il numero di attacchi alle connessioni remote è aumentato praticamente da un giorno all’altro. Per esempio, il periodo da marzo a dicembre 2020 ha visto un aumento del 242% degli attacchi di forza bruta basati su RDP.

Terzo posto: e-mail dannose

Nel 23,68% dei casi, il vettore di attacco iniziale era un’e-mail dannosa, attraverso un malware allegato o sotto forma di phishing. Gli operatori di attacchi mirati e i mittenti di e-mail di massa hanno usato a lungo entrambi i tipi di messaggi dannosi.

Quarto posto: drive-by compromise

A volte i cybercriminali cercano di ottenere l’accesso al sistema utilizzando un sito web che la vittima visita periodicamente o su cui clicca per caso. Per utilizzare una tattica del genere, che abbiamo rilevato in alcuni attacchi APT complessi, i criminali informatici, generalmente, inseriscono nel sito script in grado di sfruttare una vulnerabilità del browser e poter eseguire codice dannoso sul computer della vittima, oppure ingannano la vittima così da scaricare e installare il malware. Nel 2020, è stato il vettore di attacco iniziale nel 7,89% dei casi.

Quinto e sesto posto: unità portatili e insider

L’uso di chiavette USB per infiltrarsi nei sistemi aziendali è diventato raro. Oltre al fatto che i virus che infettano le chiavette USB appartengono in gran parte al passato, la tattica di far utilizzare a qualcuno una chiavetta USB dannosa non è molto affidabile. Tuttavia, questo metodo ha rappresentato il 2,63% delle penetrazioni iniziali della rete.

Gli insider hanno causato la stessa percentuale (2,63%) di incidenti. Si tratta di impiegati che, per motivi vari, volevano danneggiare la propria azienda.

Come minimizzare la probabilità di un incidente informatico e le sue conseguenze

La maggior parte degli incidenti analizzati dagli esperti Kaspersky erano evitabili. Sulla base delle loro scoperte, raccomandano di:

  • Introdurre una rigorosa politica di password e imporre l’uso dell’autenticazione a più fattori;
  • Proibire l’uso di servizi di gestione remota accessibili pubblicamente;
  • Installare gli aggiornamenti del software il più rapidamente possibile;
  • Proteggere i server di posta con strumenti antiphishing e antimalware;
  • Aumentare la consapevolezza dei dipendenti sulle moderne minacce informatiche su base regolare.

Inoltre, si rende necessario configurare tutti i sistemi di auditing e di registrazione ed eseguire regolarmente il backup dei dati, non solo per facilitare le indagini, ma anche per ridurre al minimo i danni da incidenti informatici.

Naturalmente, le statistiche di cui sopra rappresentano solo una piccola parte delle informazioni utili date dagli esperti. Qui è consultabile l’articolo completo dell’Incident Response Analyst Report 2021 di Kaspersky.

12 Ottobre 2021

Tre vulnerabilità di Google Chrome

 
Tratto da Blog Kaspersky
Autore: Kaspersky Team – 06/10/2021
 
 

Google ha rilasciato un aggiornamento che corregge tre pericolose vulnerabilità di Google Chrome. Aggiornate immediatamente il vostro browser!

 

 
 

Google ha rilasciato un aggiornamento di emergenza per il browser Chrome che risolve tre vulnerabilità: CVE-2021-37974, CVE-2021-37975 e CVE-2021-37976. Gli esperti di Google considerano una delle vulnerabilità come critica e le altre due come altamente pericolose.

Purtroppo, non finisce qui: secondo Google, i criminali informatici hanno già sfruttato due di queste tre vulnerabilità. Pertanto, Google consiglia a tutti gli utenti di Chrome di aggiornare immediatamente il browser alla versione 94.0.4606.71. Queste vulnerabilità sono rilevanti anche per altri browser basati sul motore Chromium, per esempio, Microsoft raccomanda di aggiornare Edge alla versione 94.0.992.38.

Perché sono pericolose queste vulnerabilità di Google Chrome

CVE-2021-37974 e CVE-2021-37975 sono vulnerabilità di tipo use-after-free (UAF), sfruttano un uso scorretto della memoria heap e, di conseguenza, possono portare all’esecuzione di codice arbitrario sul computer colpito.

La prima, CVE-2021-37974, è legata alla componente Safe Browsing, un sottosistema di Google Chrome che avvisa gli utenti riguardo siti web e download non sicuri. La valutazione di gravità CVSS v3.1 per questa vulnerabilità è 7,7 su 10.

La seconda vulnerabilità, CVE-2021-37975, è stata trovata nel motore JavaScript V8 di Crome. È considerata la più pericolosa di tutte e tre, un 8.4 sulla scala CVSS v3.1, che la rende una vulnerabilità critica.  Dei cybercriminali stanno già utilizzando questa vulnerabilità nei loro attacchi agli utenti di Chrome.

La causa della terza vulnerabilità, CVE-2021-37976, è la sovraesposizione dei dati causata dal nucleo di Google Chrome. È leggermente meno pericolosa, un 7.2 sulla scala CVSS v3.1, ma è già utilizzata dai criminali informatici.

Come possono sfruttare queste vulnerabilità i criminali informatici

Lo sfruttamento di tutte e tre le vulnerabilità richiede la creazione di una pagina web dannosa. I criminali informatici hanno semplicemente bisogno di creare un sito web con un exploit incorporato e attirarci le vittime. Di conseguenza, gli exploit riguardanti le due vulnerabilità use-after-free permettono ai criminali informatici di eseguire codice arbitrario sui computer degli utenti di Chrome, privi di patch, che hanno avuto accesso alla pagina; il che può portare alla compromissione del loro sistema. L’exploit per la terza vulnerabilità, CVE-2021-37976, permette ai cybercriminali di ottenere l’accesso alle informazioni riservate della vittima.

Google molto probabilmente rivelerà maggiori dettagli sulle vulnerabilità dopo che la maggior parte degli utenti avrà aggiornato i loro browser. In ogni caso, non vale la pena di rimandare l’aggiornamento, raccomandiamo di farlo il prima possibile.

Come proteggersi

Il primo passo per tutti è quello di aggiornare i browser su tutti i dispositivi che hanno accesso a Internet. In genere, l’aggiornamento viene installato automaticamente quando il browser viene riavviato, tuttavia molti utenti non riavviano il computer molto spesso, quindi il loro browser può risultare vulnerabile per diversi giorni o addirittura settimane. In ogni caso, si consiglia di controllare la versione di Chrome. Ecco come fare: cliccate sul pulsante Impostazioni nell’angolo in alto a destra della finestra del browser e scegliete Informazioni su Chrome. Se la versione del vostro browser non è l’ultima disponibile, Chrome avvierà automaticamente l’aggiornamento.

Per una maggiore protezione consigliamo agli utenti di installare le soluzioni di sicurezza su tutti i dispositivi con accesso a Internet. In questo modo, anche se siete sorpresi senza un browser aggiornato, le tecnologie di protezione proattiva ridurranno al minimo la possibilità di sfruttare con successo la vulnerabilità.

Raccomandiamo inoltre ai dipendenti dei dipartimenti di sicurezza delle informazioni aziendali di utilizzare soluzioni di sicurezza su tutti i dispositivi, monitorare gli aggiornamenti di sicurezza e applicare la distribuzione automatica degli aggiornamenti e il sistema di controllo. Se possibile, dare priorità all’installazione degli aggiornamenti del browser.

7 Ottobre 2021

Le vulnerabilità di Open Management Infrastructure minacciano i dispositivi virtuali Linux su Microsoft Azure

 
Tratto da Blog Kaspersky
Autore: Hugh Aver – 20/09/2021
 
 

L’agente Open Management Infrastructure, che contiene quattro vulnerabilità, viene installato automaticamente sulle macchine Linux virtuali su Microsoft Azure

 

 
 
 

È emersa la notizia di una pratica piuttosto pericolosa in Microsoft Azure, secondo la quale quando un utente crea una macchina virtuale Linux e abilita alcuni servizi Azure, la piattaforma Azure installa automaticamente l’agente Open Management Infrastructure (OMI) sul dispositivo, senza che l’utente se ne accorga.

Anche se un’installazione “furtiva” potrebbe sembrare una cattiva idea a priori, in realtà non sarebbe così male se non fosse per due problemi: in primo luogo, l’agente ha vulnerabilità note e, in secondo luogo, non ha un meccanismo di aggiornamento automatico su Azure. Finché Microsoft non risolverà questo problema, le aziende che utilizzano dispositivi virtuali Linux su Azure dovranno prendere provvedimenti.

Vulnerabilità nell’infrastruttura di Open Management e come possono essere sfruttate dai cybercriminali

Nel Patch Tuesday di settembre, Microsoft ha rilasciato aggiornamenti di sicurezza per quattro vulnerabilità presenti nell’agente Open Management Infrastructure. Una di esse, CVE-2021-38647, permette l’esecuzione di un codice da remoto (RCE) ed è critica, mentre le altre tre, CVE-2021-38648, CVE-2021-38645, CVE-2021-38649, possono essere utilizzate per ottenere  maggiori privilegi  di accesso (LPE – Local Privilege Escalation) in attacchi multifase. Ciò è possibile nel caso in cui i criminali informatici si siano intrufolati previamente nella rete della vittima. Queste tre vulnerabilità hanno un punteggio elevato nel CVSS.

Quando gli utenti di Microsoft Azure creano una macchina virtuale Linux e abilitano una serie di servizi, OMI (e le sue vulnerabilità) si distribuisce automaticamente nel sistema. I servizi includono Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management e Azure Diagnostics, un elenco che purtroppo è tutt’altro che completo. L’agente Open Management Infrastructure da solo ha i privilegi più alti nel sistema, e poiché i suoi compiti includono la raccolta di statistiche e la sincronizzazione delle configurazioni, è generalmente accessibile da Internet attraverso varie porte HTTP, a seconda dei servizi abilitati.

Per esempio, se la porta di ascolto è la 5986, i cybercriminali potrebbero potenzialmente sfruttare la vulnerabilità CVE-2021-38647 ed eseguire un codice dannoso da remoto. Se OMI è disponibile per la gestione remota (attraverso le porte 5986, 5985, o 1270), i cybercriminali possono sfruttare la stessa vulnerabilità per ottenere l’accesso all’intera rete locale in Azure. Gli esperti sostengono che la vulnerabilità sia molto facile da sfruttare.

 

 

Finora non sono stati segnalati attacchi in the wild, ma con le tante informazioni disponibili su come potrebbe essere facile sfruttare queste vulnerabilità, probabilmente non ci vorrà molto.

Come difendersi

Microsoft ha rilasciato delle patch per tutte e quattro le vulnerabilità. Tuttavia, OMI non si aggiorna sempre automaticamente, quindi dovrete controllare quale versione è presente sulla vostra macchina virtuale Linux. Se la versione è precedente alla 1.6.8.1, aggiornate l’agente Open Management Infrastructure. Per sapere come, potete consultare la descrizione della vulnerabilità CVE-2021-38647.

Gli esperti raccomandano anche di limitare l’accesso alla rete alle porte 5985, 5986 e 1270 per impedire a chiunque di eseguire attacch di esecuzione del codice da remoto (RCE, Remote Code Execution).

21 Settembre 2021