Windows ha rilasciato il “Patch Tuesday” di maggio, il mega aggiornamento cumulativo di Windows 10. Questo aggiornamento è molto importante poiché va a risolvere oltre 100 falle di sicurezza, di cui 2 fondamentali

Martedì 12 maggio Windows ha rilasciato, puntualissima, il “Patch Tuesday”, il mega aggiornamento cumulativo di Windows 10. Questo aggiornamento (identificato con la sigla KB4556799) è molto importante poiché va a risolvere oltre 100 falle di sicurezza, di cui 2 risultano essere fondamentali.

Questo rilascio non prevede nuove funzionalità, per le quali si dovrà aspettare il May 2020 Update, previsto per la fine mese, ma introduce una serie di bugfix correlati alla sicurezza dei dispositivi.

Queste vulnerabilità non riguardano soltanto il sistema operativo ma anche tutti i software presenti su Windows 10, come .NET Frameworks, il broswer Edge e Visual Studio.

Apparentemente sembra non ci siano falle di tipo “zero day” (cioè quei bug mai segnalati e i cui attacchi non vengono quindi bloccati dagli antivirus).

Tra i 100 bug che questo aggiornamento va a risolvere ce ne sono due di particolare importanza: il primo riguarda il lettore PDF di Edge, il broswer di Windows. Il lettore infatti consentirebbe di eseguire file PDF corrotti (quindi contenenti codici malevoli). Utilizzando questa vulnerabilità, gli hacker possono corrompere le celle di memoria occupate dal documento e sfruttare questa “testa di ponte” per ottenere i permessi di amministrazione sul dispositivo.

Il secondo bug importante è relativo al sistema operativo e consentirebbe agli hacker di accedere alla memoria della macchina e di eseguire del codice malevolo da remoto. In questo modo sarebbe quindi per i malintenzionati installare dei virus sui pc degli utenti, senza che sia necessario scaricare file infetti. Ovviamente questa falla è molto pericolosa in quanto permetterebbe a terzi di impossessarsi della macchina come amministratori di sistema.

Come installare gli aggiornamenti di sicurezza di Windows 10

Nel caso in cui non l’abbiate già fatto, è necessario installare subito questo nuovo aggiornamento.

Per farlo cliccate sul tasto Start e poi sull’icona a forma di ingranaggio, che vi riporterà alle impostazioni del Sistema Operativo. Scorrete infondo e l’ultima voce che troverete nel menu è “Aggiornamento di Sicurezza”.

A questo potrete verificare quando è stato installato l’ultimo aggiornamento sul vostro pc. Cliccate poi su “Verifica disponibilità aggiornamenti”.

Vedrete quindi la lista di tutti gli aggiornamenti disponibili e comparirà il pulsante “Riavvia ora”.

Riavviando la macchina il processo di update inizierà automaticamente.

(!) Attenzione: segnaliamo ai nostri clienti che ci stiamo occupando noi dell’installazione degli aggiornamenti, è quindi importante non forzare questa procedura prima dell’intervento del tecnico.

Il lavoro da casa, reso obbligatorio dall’epidemia di Coronavirus degli ultimi mesi, ha sollevato enormi problemi alla sicurezza informatica: tra dipendenti poco informati e cyber-criminali pronti a colpire, vediamo cosa è successo in questo periodo

A causa dell’epidemia di Coronavirus molte aziende sono state costrette, in questi mesi, ad approcciarsi al cosiddetto “smart working” o, più precisamente, hanno dovuto dare la possibilità ai dipendenti di lavorare da casa.

Questo nuovo approccio lavorativo ha inevitabilmente esposto le reti informatiche a nuovi rischi, in parte perché i dipendenti sono stati poco informati circa i comportamenti da tenere quando ci si connette a una rete aziendale da casa, in parte perché i cyber-criminali non si sono di certo lasciati sfuggire l’opportunità di sfruttare questa situazione di vulnerabilità e hanno aumentato esponenzialmente gli attacchi.

Come stato segnalato nel corso del Security Analyst Summit (edizione digitale) dello scorso 8 aprile 2020 infatti, gli hacker si sono concentrati soprattutto nello sfruttamento delle vulnerabilità delle reti domestiche che, in questa particolare situazione, si sono praticamente trasformate in un’estensione di quelle aziendali, diventando potenzialmente degli ottimi punti di accesso.

Le connessioni di casa spesso non hanno i requisiti di sicurezza di quelle delle aziende. Partendo dai semplici modem che sovente sono antiquati, succede di frequente che gli utenti non cambino la password del loro wifi o ne utilizzino una veramente semplice, senza contare anche tutti i dispositivi connessi alla stessa rete che potrebbero non essere aggiornati e che risulterebbero quindi esposti a numerosi rischi.

Anche il fatto che i vari tecnici ed amministratori di sistema non possano interagire fisicamente con le macchine dell’ufficio è causa di problemi: è stato stimato da Microsoft che almeno 126.000 macchine non siano state aggiornate quando è stata rilasciata la patch per correggere la falla SNMB Ghost, lasciando quindi i pc dell’ufficio pericolosamente scoperti.

Un’altra società di sicurezza, Kaspersky, ha segnalato come i collegamenti da remoto siano il bersaglio preferito dei cyber-criminali. I servizi RDP (Remote Desktop Protocol) hanno infatti registrato un’impennata di attacchi brute forcing (che consistono nel provare tutte le combinazioni di lettere, caratteri speciali e numeri, finché non si individua la password dell’utente), poiché risultano i più efficaci quando si tratta di forzare un sistema che si basa su credenziali semplici come nome utente e password.

Per difendersi da questi attacchi gli esperti consigliano l’utilizzo di una VPN (cioè una rete virtuale privata), sottolineando come invece la scelta di modificare la porta utilizzata per RDP sia inutile.
Se da un lato quindi abbiamo reti scoperte e hacker pronti a colpire, dall’altra abbiamo un’utenza che sembra non essere stata veramente informata circa il funzionamento del lavoro da casa e di come gestirlo a livello di sicurezza.

Secondo una recente ricerca realizzata da Kaspersky, “How Covid-19 changed the way people work”, quasi un dipendente su quattro che sta usufruendo del remote working qui in Italia, per l’esattezza il 73%, non ha ricevuto una guida o una formazione specifica sulla sicurezza informatica.

Dallo studio emerge infatti come non sia stato spiegato ad oltre il 73% dei dipendenti come proteggersi da eventuali attacchi di phishing o che non sia stato chiarito loro quali applicazioni usare per videoconferenze e messaggistica.

Ricordiamo che il download accidentale di contenuti malevoli da questo tipo di email può portare all'infezione dei dispositivi e anche alla compromissione dei dati aziendali.

Questo senza contare che c’è stato, in questo periodo, un aumento significativo di campagne malevole a tema Covid-19.

Il Corriere della Sera riporta un articolo molto dettagliato in cui espone quanto rilevato nel rapporto di Leonardo, il colosso pubblico della Difesa, riportiamo qui alcuni esempi di attacchi verificatisi solo negli ultimi due mesi:

1. RAT (Remote Access TOOL): una campagna mail malevola di phishing, il cui allegato (e veicolatore di infezione) era denominato “CoronaVirusSafetyMeasures_pdf.exe2”. una volta aperto il file questo avviva connessioni con un servizio di file sharing.
2. Un sito con lo stesso logo di Windows “Wise Cleaner”, creato per distribuire due diversi malware: il trojan Kpot3 e un nuovo ransomware denominato “Coronavirus”, con lo scopo di individuare tutte le password salvate sul dispositivo infettato.
3. L’infostealer AZORult (un trojan mirato a rubare informazioni e dati dal pc infetto) è stato veicolato sia attraverso siti di false mappe relative alla diffusione del virus sia tramite e-mail di phishing a tema COVID-19.

Le e-mail avevano come target aziende operanti nel settore industriale, finanziario, dei trasporti, farmaceutico e della cosmetica.

Nei giorni scorsi l'app di videochat Zoom ha subito un brutto attacco informatico: oltre 500mila credenziali dei suoi utenti sono state rubate e messe in vendita sul dark web

Nei giorni scorsi l'app di videochat Zoom, diventata popolare in questo periodo di quarantena per la possibilità di fare videochiamate con tanti partecipanti, ha subito un brutto attacco informatico, in cui sono state rubate le credenziali di oltre 500mila utenti. Le credenziali sono poi state messe in vendita, per pochi centesimi, sul darkweb.

A segnalare l'hackeraggio è stata la società di sicurezza informatica Cyble secondo cui gli hacker sono riusciti ad accedere alle password e ai collegamenti Url di mezzo milione di account già ad inizio aprile. I dati sono poi stati messi in vendita sul dark web al prezzo di 0,002 centesimi di dollari ciascuno.

Alcune credenziali sono invece state addirittura regalate per favorire il diffondersi dello "Zoombombing" (un fenomeno che si sta diffondendo e di cui vi avevamo parlato in questo articolo).

Questo attacco informatico ha fatto leva su una pratica chiamata "credential stuffing" e cioè l'utilizzo, da parte degli utenti, delle stesse credenziali per accedere ad applicazioni diverse.

Per quanto infatti sia scomodo avere una password diversa per ogni applicazione è molto importate che le credenziali vengano, di volta in volta, personalizzate e cambiate con cadenza almeno semestrale.

Zoom intanto ha richiesto ai suoi utenti di cambiare urgentemente le password e noi consigliamo, qualora abbiate un account Zoom e abbiate usato come credenziale una password che utilizzate anche su altre applicazioni, di cambiare anche quella nelle alte app.

Zoom ha evidenziato già dagli inizi della sua diffusione diversi problemi di privacy, a cui vanno aggiunti quindi questi hackeraggi e l'accusa, circolata alcuni giorni fa, di violare ulteriormente la privacy degli utenti inviando i loro dati in Cina. A seguito di queste voci alcune istituzioni internazionali (come il Senato USA) e grandi aziende (come Space X e Google), hanno vietato ai propri dipendenti di usarla.

Il CEO di Zoom ha intanto annunciato che sono state arruolate diverse società di intelligence per indagare sull'accaduto e ha deciso di riabilitare la propria immagine affidandosi ad Alex Stamos, ex capo della sicurezza di Facebook ed oggi docente presso la Standford University.

Nel caso in cui voleste sapere se in vostro indirizzo mail è inserito in qualche database di credenziali rubate, uno strumento può essere: pwd query.

In questo periodo di lavoro a distanza l’app Zoom ha avuto un’impennata di iscrizioni: le prestazioni sono migliori di quelle di Skype e offre più possibilità rispetto a Whatsapp. Un’importante falla però mette a rischio le password Windows degli utenti, che si scontrano anche con un nuovo indesiderato fenomeno: lo Zoom-bombing

In questo periodo di lavoro a distanza l’app Zoom è diventata moto popolare tra gli utenti, facendo impennare vertiginosamente le iscrizioni, questo perchè le prestazioni sono migliori di quelle di altre applicazione, anche più famose, come Skype, e offre decisamente più possibilità rispetto ad altre, come ad esempio Whatsapp. Un’importante falla però mette a rischio le password degli utenti, che devono anche fronteggiare un nuovo indesiderato fenomeno: lo Zoom-bombing.

È recentissima infatti la notizia di due importanti falle scoperte sia nella versione dell’app per Mac, sia in quella per Windows.

La prima è stata riportata da Patrick Wardle, un ex hacker della NSA, questo bug consentirebbe agli hacker di accedere al microfono e alla videocamera di un Mac e di registrarne addirittura lo schermo, senza la richiesta di permessi da parte dell’utente.

L’app infatti ha “una specifica “esclusione” che consente di iniettare codice dannoso nel suo spazio di processo, in cui tale codice può impedire l’accesso di Zoom (microfono e videocamera)! Ciò fornisce un modo per registrare riunioni Zoom o, peggio ancora, accedere al microfono e alla videocamera in momenti arbitrari (senza la richiesta di accesso dell’utente)!”, dice Wardle.

La seconda falla è un po’ più complessa e consentirebbe agli hacker di rubare le credenziali di accesso a Windows di potenziali vittime.

Zoom ha un’impostazione client predefinita che converte tutti gli url scambiati nei messaggi di chat in collegamenti ipertestuali cliccabili (come avviene in molte altre applicazioni), questo rende molto semplice per gli utenti aprire i vari link.

Un ricercatore indipendente (@_g0dmode), ha scoperto però che non solo gli url vengono convertiti in link ipertestuali ma anche i percorsi di rete UNC (Universal Naming Convention). Questi percorsi sono, in sintesi, i percorsi dei file contenuti nelle cartelle Windows: mettiamo che vogliamo linkare il percorso del file “immagine.jpg”, contenuta nel nostro pc, in questo caso l’unc sarà, ad esempio, \\PC\Cartella1\Cartella2\immagine.jpg.

Nel momento in cui inviamo questo percorso su Zoom e il ricevente ci clicca sopra, viene effettuato un tentativo di connessione all’host remoto mediante il protocollo SMB per soddisfare la richiesta di apertura del file “immagine.jpg”.

Windows invia quindi al server lo username con cui l’utente effettua il login al sistema e l’hash della password utilizzando la suite di protocolli di sicurezza di Microsoft NTLM.

Qualora il server remoto però fosse attaccato da un hacker, questo potrebbe essere in grado di decifrare la password dell’utente, anche attraverso dei tool gratuiti come Hashcat, specializzati in recupero di password cifrate.
Questa falla è particolarmente importante poichè alcuni percorsi UNC potrebbero potenzialmente permettere di accedere a qualunque file nell’hard disk. Ci tranquillizza in parte il fatto che Windows richieda sempre all’utente l’autorizzazione prima di eseguire qualsiasi programma.
Al momento Zoom non ha ancora corretto questa vulnerabilità, tuttavia per mitigare il rischio è possibile, innanzitutto, non condividere questo tipo di percorsi (per quanto possano essere utili, specie nelle call di lavoro) e poi configurare Windows in modo da bloccare l’invio automatico delle credenziali NTLM a server remoti quando si accede ad una condivisione di rete.
Questo è possibile farlo, su Windows 10, utilizzando l’editor dei Criteri di gruppo per accedere al percorso Pannello di controllo/Modifica Criteri di gruppo/Impostazioni di Windows/Impostazioni sicurezza/Criteri locali/Opzioni di sicurezza e modificare il criterio Sicurezza di rete: limitazione di NTLM: traffico NTLM in uscita verso server remoti impostandola su Rifiuta tutto.

Come se i problemi di Zoom non fossero sufficienti, la piattaforma è diventata scenario di un altro deprecabile fenomeno: lo Zoom-bombing.

Questa pratica consiste nell’inserirsi in riunioni alle quali non si era stati invitati, al fine di creare confusione, insultando, spiando le conversazioni altrui, registrandole senza permesso o addirittura incitando all’odio e alla violenza.

Ma come è possibile che chiunque entri nelle nostre conversazioni?

Zoom consente all’host di condividere con gli altri partecipanti l’url della riunione (che è anche molto banale, dato che è una sequenza di numeri da 9 a 11 cifre) che spesso può essere pubblico (come ad esempi quello di molte lezioni online). In questo modo chiunque può intromettersi e creare scompiglio.

Inizialmente lo Zoom-bombing era nato come semplice scherzo di cattivo gusto in cui un gruppo di persone poco organizzate si intrometteva in determinate call, per fare scherzi ai partecipanti.

Il fenomeno si è però ingigantito, passando all’invio di materiale pornografico e razzista, rendendo necessario anche l’intervento dell’FBI, che ha diramato un comunicato di avvertimento, in consiglia di limitare le impostazioni di condivisione dello schermo, di evitare di promuovere le riunioni sui social media e di impostare una password alle proprie call (spuntando la casella Require meeting password), in questo modo l’host attiva una sorta di “sala di attesa” in cui gli ospiti sono fermi, impossibilitati ad entrare, se non espressamente approvati.

Un altro aspetto da approfondire è la cifratura end-to-end dichiarata sul sito. Zoom sostiene infatti che tutte le chiamate sono criptate con questa tecnologia (la stessa di Whatsapp e Telegram), tuttavia The Intercept ha raccontato che non è proprio così: pare infatti che sui server i dati siano salvati in chiaro. Per Zoom i server sembrano essere infatti punti di arrivo a cui nessuno (ufficialmente) può accedere, non esiste quindi il classico passaggio di chiavi tra destinatario e mittente, tipico della tecnologia end-to-end.

Per quanto il CEO di Zoom Eric Yuan si dica dispiaciuto di non essere all’altezza delle aspettative a livello di privacy degli utenti, ricordiamo che la sicurezza non deve mai essere messa in secondo piano, anche in un momento di emergenza come questo.

Giornata nera per il sito dell’INPS quella di oggi: le richieste del bonus di 600€ destinato alle partite iva dal decreto Cura Italia sono troppe e il sito va completamente in tilt

Quella di oggi, 1 aprile 2020, è stata una giornata decisamente nera per il sito dell’INPS: da oggi infatti era possibile richiedere il bonus partite IVA, previsto dal decreto Cura Italia, che prevede appunto l’assegnazione di 600€ ai liberi professionisti, a fronti dei mancati incassi dovuti al periodo di quarantena.

Com’era prevedibile il sito è stato preso d’assalto già dal mattino presto ed è andato completamente in crash.

Non è tutto però: prima di essere irraggiungibile molti utenti hanno segnalato che dopo aver effettuato l’accesso con le proprie credenziali, si sono trovati loggati dentro al profilo di altri utenti dei quali non solo potevano vedere tutti i dati (anche quelli molto sensibili, come l’invalidità), ma su cui potevano anche andare ad interagire (ad esempio cambiando l’IBAN associato al profilo).

A seguito delle numerose segnalazioni il sito è stato “spento”. Nel farlo però il messaggio viene pubblicato in modo errato, mostrando il codice HTML.

Una volta corretto anche questo errore il sito è stato messo completamente offline, con un messaggio che riporta: “Al fine di consentire una migliore e piu' efficace canalizzazione delle richieste di servizio, il sito è temporaneamente non disponibile. Si assicura che tutti gli aventi diritto potranno utilmente presentare la domanda per l'ottenimento delle prestazioni.

Sia il presidente INPS Pasquale Tridico che la vicepresidente Luisa Gnecchi hanno assicurato che nessuno resterà senza bonus, nonostante i contrattempi.

A parte il crash del sito che è sicuramente dovuto al sovraccarico dei server (che andava sicuramente previsto ed evitato), il focus si sposta tutto sulla grande violazione dei dati degli utenti. Quella di oggi sembra essere, fino ad ora, la più grande violazione avvenuta in Italia.

Vedremo se il GDPR porterà a delle conseguenze.

Fonte foto: il mattino.it

Non c’è pace nel mondo informatico, in piena emergenza Coronavirus infatti gli hacker non si sono fermati e hanno tentato un attacco all’OMS (Organizzazione Mondiale della Sanità)

Non c’è pace nel mondo informatico, in piena emergenza Coronavirus infatti un gruppo di criminal hacker non si è fermato e ha tentato un attacco alle reti dell’OMS.

Secondo quanto riportato da Reuters dall’inizio di marzo sono aumentati esponenzialmente i tentativi di attacchi informatici verso l’Organizzazione Mondiale della Sanità.

Sembra che i pirati informatici stiano agendo su due fronti: da un lato sono stati notificati tentativi di violazione delle mail del personale interno all’OMS, con il preciso intento di rubare informazioni che possono valere parecchio in questa situazione di emergenza sanitaria mondiale; dall’altra sono stati creati siti e domini molto simili a quelli ufficiali dell’Organizzazione, per far leva sulla paura delle persone e convincerle ad aprire allegati, millantando informazioni sulla gestione della pandemia di COVID19, per poi rubare i dati dei malcapitati.

Intuire come mai sia stata presa di mira proprio l‘OMS, in piena epidemia mondiale dovuta la Coronavirus, è semplice: le informazioni sulle ricerche in corso per sanare l’emergenza – come le cure, i test o i vaccini – sono al momento i dati più preziosi in assoluto, senza contare che l’autorevolezza del nome potrebbe trare in inganno le persone, portandole ad aprire allegati e fornire dati con più facilità, utilizzando proprio il COVID19 come esca.

La stessa Organizzazione Mondiale della Sanità ha dichiarato che, non solo sono aumentati gli attacchi verso di loro, ma che il loro nome è apertamente utilizzato in campagne di Phishing, obbligandoli quindi a pubblicare avvisi di allerta alla popolazione.

Anche se non ci sono evidenze su chi sia il colpevole di questi tentativi di hackeraggio, pare stia girando il nome di DarkHotel, un gruppo di hakcer criminali molto organizzato, attivo in attività di spionaggio in Corea del Nord, USA e Cina, diventato famoso per aver preso di mira un gruppo di dirigenti sfruttando le reti wifi di un hotel di lusso.

Nonostante quindi il periodo sia sicuramente sfavorevole, non bisogna abbassare la guardia. Fare affidamento solo sulle fonti ufficiali, controllare i siti certificati e non fornire mai i propri dati via mail sono regole come sempre fondamentali.