Tre vulnerabilità di Google Chrome

 
Tratto da Blog Kaspersky
Autore: Kaspersky Team – 06/10/2021
 
 

Google ha rilasciato un aggiornamento che corregge tre pericolose vulnerabilità di Google Chrome. Aggiornate immediatamente il vostro browser!

 

 
 

Google ha rilasciato un aggiornamento di emergenza per il browser Chrome che risolve tre vulnerabilità: CVE-2021-37974, CVE-2021-37975 e CVE-2021-37976. Gli esperti di Google considerano una delle vulnerabilità come critica e le altre due come altamente pericolose.

Purtroppo, non finisce qui: secondo Google, i criminali informatici hanno già sfruttato due di queste tre vulnerabilità. Pertanto, Google consiglia a tutti gli utenti di Chrome di aggiornare immediatamente il browser alla versione 94.0.4606.71. Queste vulnerabilità sono rilevanti anche per altri browser basati sul motore Chromium, per esempio, Microsoft raccomanda di aggiornare Edge alla versione 94.0.992.38.

Perché sono pericolose queste vulnerabilità di Google Chrome

CVE-2021-37974 e CVE-2021-37975 sono vulnerabilità di tipo use-after-free (UAF), sfruttano un uso scorretto della memoria heap e, di conseguenza, possono portare all’esecuzione di codice arbitrario sul computer colpito.

La prima, CVE-2021-37974, è legata alla componente Safe Browsing, un sottosistema di Google Chrome che avvisa gli utenti riguardo siti web e download non sicuri. La valutazione di gravità CVSS v3.1 per questa vulnerabilità è 7,7 su 10.

La seconda vulnerabilità, CVE-2021-37975, è stata trovata nel motore JavaScript V8 di Crome. È considerata la più pericolosa di tutte e tre, un 8.4 sulla scala CVSS v3.1, che la rende una vulnerabilità critica.  Dei cybercriminali stanno già utilizzando questa vulnerabilità nei loro attacchi agli utenti di Chrome.

La causa della terza vulnerabilità, CVE-2021-37976, è la sovraesposizione dei dati causata dal nucleo di Google Chrome. È leggermente meno pericolosa, un 7.2 sulla scala CVSS v3.1, ma è già utilizzata dai criminali informatici.

Come possono sfruttare queste vulnerabilità i criminali informatici

Lo sfruttamento di tutte e tre le vulnerabilità richiede la creazione di una pagina web dannosa. I criminali informatici hanno semplicemente bisogno di creare un sito web con un exploit incorporato e attirarci le vittime. Di conseguenza, gli exploit riguardanti le due vulnerabilità use-after-free permettono ai criminali informatici di eseguire codice arbitrario sui computer degli utenti di Chrome, privi di patch, che hanno avuto accesso alla pagina; il che può portare alla compromissione del loro sistema. L’exploit per la terza vulnerabilità, CVE-2021-37976, permette ai cybercriminali di ottenere l’accesso alle informazioni riservate della vittima.

Google molto probabilmente rivelerà maggiori dettagli sulle vulnerabilità dopo che la maggior parte degli utenti avrà aggiornato i loro browser. In ogni caso, non vale la pena di rimandare l’aggiornamento, raccomandiamo di farlo il prima possibile.

Come proteggersi

Il primo passo per tutti è quello di aggiornare i browser su tutti i dispositivi che hanno accesso a Internet. In genere, l’aggiornamento viene installato automaticamente quando il browser viene riavviato, tuttavia molti utenti non riavviano il computer molto spesso, quindi il loro browser può risultare vulnerabile per diversi giorni o addirittura settimane. In ogni caso, si consiglia di controllare la versione di Chrome. Ecco come fare: cliccate sul pulsante Impostazioni nell’angolo in alto a destra della finestra del browser e scegliete Informazioni su Chrome. Se la versione del vostro browser non è l’ultima disponibile, Chrome avvierà automaticamente l’aggiornamento.

Per una maggiore protezione consigliamo agli utenti di installare le soluzioni di sicurezza su tutti i dispositivi con accesso a Internet. In questo modo, anche se siete sorpresi senza un browser aggiornato, le tecnologie di protezione proattiva ridurranno al minimo la possibilità di sfruttare con successo la vulnerabilità.

Raccomandiamo inoltre ai dipendenti dei dipartimenti di sicurezza delle informazioni aziendali di utilizzare soluzioni di sicurezza su tutti i dispositivi, monitorare gli aggiornamenti di sicurezza e applicare la distribuzione automatica degli aggiornamenti e il sistema di controllo. Se possibile, dare priorità all’installazione degli aggiornamenti del browser.

7 Ottobre 2021

Le vulnerabilità di Open Management Infrastructure minacciano i dispositivi virtuali Linux su Microsoft Azure

 
Tratto da Blog Kaspersky
Autore: Hugh Aver – 20/09/2021
 
 

L’agente Open Management Infrastructure, che contiene quattro vulnerabilità, viene installato automaticamente sulle macchine Linux virtuali su Microsoft Azure

 

 
 
 

È emersa la notizia di una pratica piuttosto pericolosa in Microsoft Azure, secondo la quale quando un utente crea una macchina virtuale Linux e abilita alcuni servizi Azure, la piattaforma Azure installa automaticamente l’agente Open Management Infrastructure (OMI) sul dispositivo, senza che l’utente se ne accorga.

Anche se un’installazione “furtiva” potrebbe sembrare una cattiva idea a priori, in realtà non sarebbe così male se non fosse per due problemi: in primo luogo, l’agente ha vulnerabilità note e, in secondo luogo, non ha un meccanismo di aggiornamento automatico su Azure. Finché Microsoft non risolverà questo problema, le aziende che utilizzano dispositivi virtuali Linux su Azure dovranno prendere provvedimenti.

Vulnerabilità nell’infrastruttura di Open Management e come possono essere sfruttate dai cybercriminali

Nel Patch Tuesday di settembre, Microsoft ha rilasciato aggiornamenti di sicurezza per quattro vulnerabilità presenti nell’agente Open Management Infrastructure. Una di esse, CVE-2021-38647, permette l’esecuzione di un codice da remoto (RCE) ed è critica, mentre le altre tre, CVE-2021-38648, CVE-2021-38645, CVE-2021-38649, possono essere utilizzate per ottenere  maggiori privilegi  di accesso (LPE – Local Privilege Escalation) in attacchi multifase. Ciò è possibile nel caso in cui i criminali informatici si siano intrufolati previamente nella rete della vittima. Queste tre vulnerabilità hanno un punteggio elevato nel CVSS.

Quando gli utenti di Microsoft Azure creano una macchina virtuale Linux e abilitano una serie di servizi, OMI (e le sue vulnerabilità) si distribuisce automaticamente nel sistema. I servizi includono Azure Automation, Azure Automatic Update, Azure Operations Management Suite, Azure Log Analytics, Azure Configuration Management e Azure Diagnostics, un elenco che purtroppo è tutt’altro che completo. L’agente Open Management Infrastructure da solo ha i privilegi più alti nel sistema, e poiché i suoi compiti includono la raccolta di statistiche e la sincronizzazione delle configurazioni, è generalmente accessibile da Internet attraverso varie porte HTTP, a seconda dei servizi abilitati.

Per esempio, se la porta di ascolto è la 5986, i cybercriminali potrebbero potenzialmente sfruttare la vulnerabilità CVE-2021-38647 ed eseguire un codice dannoso da remoto. Se OMI è disponibile per la gestione remota (attraverso le porte 5986, 5985, o 1270), i cybercriminali possono sfruttare la stessa vulnerabilità per ottenere l’accesso all’intera rete locale in Azure. Gli esperti sostengono che la vulnerabilità sia molto facile da sfruttare.

 

 

Finora non sono stati segnalati attacchi in the wild, ma con le tante informazioni disponibili su come potrebbe essere facile sfruttare queste vulnerabilità, probabilmente non ci vorrà molto.

Come difendersi

Microsoft ha rilasciato delle patch per tutte e quattro le vulnerabilità. Tuttavia, OMI non si aggiorna sempre automaticamente, quindi dovrete controllare quale versione è presente sulla vostra macchina virtuale Linux. Se la versione è precedente alla 1.6.8.1, aggiornate l’agente Open Management Infrastructure. Per sapere come, potete consultare la descrizione della vulnerabilità CVE-2021-38647.

Gli esperti raccomandano anche di limitare l’accesso alla rete alle porte 5985, 5986 e 1270 per impedire a chiunque di eseguire attacch di esecuzione del codice da remoto (RCE, Remote Code Execution).

21 Settembre 2021

Attacchi mirati tramite due zero day di Windows e Chrome

 
Tratto da www.bitmat.it
Autore: Redazione BitMAT – 09/06/2021
 
 
 
Kaspersky rileva due zero-day in Microsoft Windows e Chrome impiegati in una serie di attacchi mirati contro diverse aziende. Microsoft ha già reso disponibili due patch.
 
 
 
attacchi mirati
 
 

Duranti gli ultimi mesi sono stati osservati numerosi attacchi mirati condotti tramite minacce avanzate che sfruttano gli zero-days in the wild. A metà aprile, gli esperti di Kaspersky hanno scoperto una nuova ondata di exploit contro diverse aziende che hanno permesso agli attaccanti di compromettere le reti prese di mira senza essere rilevati. Non avendo trovato un legame tra questi attacchi e i threat actor già noti, Kaspersky ha denominato questo nuovo attore PuzzleMaker.

Tutti gli attacchi mirati sono stati condotti attraverso Chrome e hanno utilizzato un exploit per eseguire del codice da remoto. Sebbene i ricercatori di Kaspersky non siano stati in grado di risalire al codice per l’exploit di esecuzione remota, la linea temporale e la disponibilità dell’exploit suggeriscono che gli attaccanti stavano usando la vulnerabilità, ora patchata, CVE-2021-21224. Questa vulnerabilità era legata a un bug Type Mismatch in V8, un motore JavaScript utilizzato da Chrome e Chromium web-browser, e permetteva agli attaccanti di sfruttare il processo di rendering di Chrome (responsabili di ciò che accade all’interno della tab degli utenti).

Gli esperti di Kaspersky sono stati, tuttavia, in grado di rilevare e analizzare gli attacchi mirati del secondo exploit: l’exploit di elevazione dei privilegi che sfrutta due vulnerabilità distinte presenti nel kernel del sistema operativo Microsoft Windows. La prima è una vulnerabilità Information Disclosure, in grado di far trapelare informazioni sensibili del kernel, rinominata CVE-2021-31955. La vulnerabilità è collegata a SuperFetch, una feature introdotta per la prima volta in Windows Vista che mira a ridurre i tempi di caricamento del software precaricando le applicazioni comunemente utilizzate in memoria.

La seconda vulnerabilità, Elevation of Privilege (una vulnerabilità che permette agli attaccanti di sfruttare il kernel e ottenere un accesso privilegiato al computer), è stata denominata CVE-2021-31956, ed è un buffer overflow heap-based. Gli attacchi mirati hanno usato la vulnerabilità CVE-2021-31956 insieme a Windows Notification Facility (WNF) per creare primitive di lettura/scrittura di memoria arbitraria ed eseguire moduli malware con privilegi di sistema.

Una volta che gli attaccanti hanno usato entrambi gli exploit di Chrome e Windows per infiltrarsi nel sistema preso di mira, il modulo stager scarica ed esegue un dropper malware più complesso da un server remoto. Questo dropper installa poi due file eseguibili, che si presentano come file legittimi del sistema operativo Microsoft Windows. Uno dei due file eseguibili è un modulo shell remoto, che è in grado di scaricare e caricare file, creare processi, rimanere in stand-by per un certo periodo di tempo e cancellarsi dal sistema infetto.

In occasione del Patch Tuesday. Microsoft ha rilasciato una patch per entrambe le vulnerabilità.

Gli attacchi mirati che abbiamo rilevato, non sono stati ancora collegati a un threat actor noto. Pertanto, abbiamo denominato il loro sviluppatore “PuzzleMaker” e monitoreremo con attenzione il panorama degli attacchi alla ricerca delle sue attività future o di nuovi insight su questo gruppo. Di recente, abbiamo assistito al proliferare di minacce di alto profilo legate a exploit zero-day. Questo ci ricorda che gli zero-day continuano ad essere il metodo più efficace per infettare gli obiettivi designati. Ora che queste vulnerabilità sono state rese pubbliche, probabilmente osserveremo un aumento del loro utilizzo negli attacchi da parte di questo e altri threat actor. Per questa ragione raccomandiamo agli utenti di scaricare l’ultima patch da Microsoft il più presto possibile“, ha dichiarato Boris Larin, Senior Security Researcher del Global Research and Analysis Team (GReAT).

I prodotti Kaspersky rilevano e proteggono dall’exploit delle vulnerabilità Information Disclosure CVE-2021-31955 ed Elevation of Privilege CVE-2021-31956 e dai moduli malware associati.

Maggiori informazioni su questi nuovi zero-day sono disponibili su Securelist.

Per proteggere la propria organizzazione dagli attacchi mirati che sfruttano queste due nuove vulnerabilità, gli esperti di Kaspersky raccomandano di:

  • Aggiornare il browser Chrome e Microsoft Windows appena possibile e controllare regolarmente la disponibilità di aggiornamenti.
  • Utilizzare una soluzione di sicurezza per gli endpoint affidabile, come Kaspersky Endpoint Security for Business, dotata di funzionalità di prevenzione degli exploit, behavior detection e di un remediation engine in grado di respingere gli attacchi mirati.
  • Installare soluzioni anti-APT e EDR, abilitando le funzionalità di discovery e detection delle minacce, le indagini e la remediation tempestiva degli incidenti.
  • Fornire al team SOC l’accesso alla più recente threat intelligence e a una formazione professionale continua. Il framework Kaspersky Expert Security offre tutte queste funzionalità.
  • Un’adeguata protezione degli endpoint e l’implementazione di servizi dedicati possono respingere gli attacchi mirati di alto profilo. Il servizio Kaspersky Managed Detection and Response può aiutare a identificare e fermare gli attacchi nelle loro fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi.

Per ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

11 Giugno 2021

Patch Microsoft per vulnerabilità su Exchange Server

Tratto da Blog Kaspersky
Autore: Hugh Aver – 09/03/2021
 
 
 
 

Microsoft ha rilasciato una patch fuori programma per risolvere numerose vulnerabilità presenti su Exchange Server. Secondo quanto afferma l’azienda, quattro di queste vulnerabilità sarebbero già state utilizzate in attacchi mirati, per questo installare le patch al più presto è di sicuro la decisione più saggia.

Qual è il rischio?

Le quattro vulnerabilità più pericolose già sfruttate consentono ai cybercriminali di effettuare un attacco in tre fasi. Prima accedono a un server Exchange, poi creano una web shell per l’accesso da remoto al server e infine utilizzano questo accesso per rubare dati dalla rete della vittima. Le vulnerabilità sono:

  • CVE-2021-26855, che può essere utilizzata per la falsificazione delle richieste dal lato server e che porta all’esecuzione di un codice da remoto;
  • CVE-2021-26857, che può essere utilizzata per eseguire un codice arbitrario per conto del sistema (anche se questa fase richiede diritti di amministratore o lo sfruttamento della vulnerabilità menzionata nel punto precedente);
  • CVE-2021-26858 e CVE-2021-27065, che possono essere utilizzate dai cybercriminali per sovrascrivere i file sul server.

I criminali informatici si avvalgono di tutte e quattro le vulnerabilità; tuttavia, secondo Microsoft, a volte sostituiscono la prima fase di attacco con l’utilizzo di credenziali rubate e accedono al server senza sfruttare la vulnerabilità CVE-2021-26855.

La stessa patch corregge alcune altre vulnerabilità minori su Exchange che non sono direttamente collegate ad attacchi mirati attivi (per quanto ne sappiamo).

Chi è a rischio?

La versione su cloud di Exchange non è interessata da queste vulnerabilità, che rappresentano una minaccia solo per i server all’interno dell’infrastruttura. Inizialmente Microsoft aveva rilasciato aggiornamenti per Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 e Microsoft Exchange Server 2019, e un ulteriore aggiornamento “Defense in Depth” per Microsoft Exchange Server 2010. Tuttavia, a causa della gravità dell’attacco, hanno esteso la patch anche su Exchange Server obsoleti.

Secondo i ricercatori di Microsoft, a sfruttare le vulnerabilità per rubare informazioni riservate sono stati i criminali informatici del gruppo Hafnium. I loro obiettivi includono grandi industrie statunitensi, ricercatori di malattie infettive, studi legali, organizzazioni no profit e analisti politici. Il numero esatto delle vittime non è ancora noto, ma secondo le fonti di KrebsOnSecurity parliamo di almeno 30.000 aziende negli Stati Uniti, tra cui piccole imprese, amministrazioni comunali e governi locali, la cui  sicurezza è stata violata utilizzando queste vulnerabilità. I nostri esperti hanno scoperto che a essere in pericolo non sono solo le aziende americane: i criminali informatici di tutto il mondo stanno già sfruttando queste vulnerabilità. Troverete maggiori informazioni sulla geografia dell’attacco nel nostro post su Securelist.

Come difendersi dagli attacchi su MS Exchange

  • Prima di tutto, installate la patch per Microsoft Exchange Server. Se la vostra azienda non può installare gli aggiornamenti, Microsoft raccomanda una serie di soluzioni alternative;
  • Secondo Microsoft, negare a risorse non affidabili, l’accesso al server Exchange sulla porta 443, o in generale limitare le connessioni dall’esterno alla rete aziendale, può fermare la fase iniziale dell’attacco. Ma tale metodo non aiuterà se gli i cybercriminali si trovano già all’interno dell’infrastruttura o se ottengono l’accesso di un utente con diritti di amministratore per eseguire un file dannoso;
  • Una buona soluzione di Endpoint Detection and Response (se avete esperti in azienda) o specialisti esterni che si occupano di Managed Detection and Response possono rilevare questi comportamenti dannosi;
  • Tenete sempre a mente che ogni computer connesso a Internet, sia esso server o workstation, ha bisogno di una soluzione di sicurezza per endpoint affidabile, in grado di gli exploit e di rilevare in modo proattivo i comportamenti dannosi.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

10 Marzo 2021

A tutti gli utenti: aggiornate immediatamente Google Chrome

 

Tratto da Blog Kaspersky
Autore: Kaspersky Team – 08/02/2021
 
 
I cybercriminali stanno sfruttando attivamente una pericolosa vulnerabilità presente in Google Chrome. È stata risolta con la versione 88.0.4324.150.
 
 

 

I ricercatori hanno individuato in Google Chrome una vulnerabilità critica, rinominata CVE-2021-21148. Consigliamo di prendere provvedimenti il prima possibile perché i criminali informatici la stanno già sfruttando. Le versioni del browser per i principali sistemi operativi desktop (Windows, MacOS e Linux) sono tutte vulnerabili. Ecco cosa sta succedendo e come aggiornare il vostro browser.

Perché la vulnerabilità CVE-2021-21148 è pericolosa

Questa vulnerabilità permette ai criminali informatici di eseguire un attacco heap overflow, una manipolazione che può portare all’esecuzione di un codice remoto sul dispositivo della vittima. Sfruttare la vulnerabilità può essere semplice, basta realizzare una pagina web dannosa e attirare delle vittime su di essa e, come risultato potenzialmente devastante, i cybercriminali possono ottenere il controllo totale del sistema colpito.

La componente vulnerabile in questo caso è il motore JavaScript V8 integrato nel browser. Google ha ricevuto informazioni sulla vulnerabilità il 24 gennaio scorso dal ricercatore per la sicurezza Mattias Buelens, e la società ha pubblicato una patch con la correzione il 4 febbraio. Google ha riconosciuto che alcuni hacker non ben definiti avrebbero sfruttato attivamente la vulnerabilità CVE-2021-21148 in the wild.

Secondo un articolo di ZDnet, la vulnerabilità può essere collegata ai recenti attacchi da parte di criminali informatici dalla Corea del Nord alla comunità di esperti in cybersecurity. Il modello di attacco per lo meno sembra avere delle notevoli somiglianze con lo sfruttamento della vulnerabilità CVE-2021-21148. Inoltre, la data della scoperta della vulnerabilità è molto vicina alla data in cui sono stati divulgati gli attacchi agli esperti. Tuttavia, non abbiamo ancora una conferma diretta di questa teoria.

Come al solito, Google sta aspettando che la maggior parte degli utenti attivi di Chrome abbiano aggiornato i loro browser per divulgare maggiori dettagli tecnici. Una decisione comprensibile: la divulgazione irresponsabile della vulnerabilità può portare a un rapido aumento degli attacchi.

Come mantenersi al sicuro

  • Aggiornate immediatamente Google Chrome sul vostro PC. Per farlo, cliccate sul pulsante con i tre puntini nell’angolo in alto a destra della finestra del browser e scegliete Impostazioni → Informazioni su Chrome. Una volta aperta questa pagina il vostro browser inizierà ad aggiornarsi automaticamente;
  • Riavviate il browser se richiesto affinché vengano applicate le modifiche. Procedete immediatamente e non preoccupatevi di perdere le schede aperte: le versioni moderne di Chrome ripristinano automaticamente le schede al riavvio o, in caso di arresto imprevisto, viene offerta la possibilità di ripristinarle;
  • Se la pagina Informazioni su Chrome indica che state già usando la versione 88.0.4324.150, allora il vostro browser è aggiornato e non dovrete più preoccuparvi della vulnerabilità CVE-2021-21148.

 

10 Febbraio 2021

Blog & News

Categorie