Windows, attenzione a questo file

windows

Super minaccia per Windows.

Di recente è stata scoperta e resa nota “l’esistenza di una vulnerabilità zero-day nel gestore contatti in formato vCard”. Questa “può consentire ad un attaccante remoto di eseguire codice arbitrario” sul sistema colpito.

È quanto fa sapere il CERT – Computer Emergency Response Team. Il termine zero-day “indica una minaccia informatica che sfrutta vulnerabilità di applicazioni software non ancora divulgate o per le quali non è ancora presente una patch. Gli attacchi zero-day rappresentano una minaccia molto grave, in quanto sfruttano falle di sicurezza per le quali non è al momento disponibile nessuna soluzione”.

Come segnalato agli esperti dalla società Yoroi, “la criticità è originata da lacune di validazione nei campi di contatto all’interno dei file vCard con estensione ‘.contact’ o ‘.vcf’. Una volta aperti in lettura, questi possono permettere la compromissione della macchina bersaglio tramite l‘esecuzione di codice arbitrario. La vulnerabilità può essere sfruttata in scenari di spear-phishing, nei quali gli attaccanti invitano le potenziali vittime a visionare contatti all’interno di vCard appositamente predisposte”.

LE VERSIONI COLPITE – Risultano colpite da questa vulnerabilità “Windows 10, 8, 7 e Vista. Al momento – aggiungono gli esperti del CERT -, Microsoft non ha rilasciato aggiornamenti specifici che risolvono questa problematica”.

Anche se ad oggi non sembrano esserci stati attacchi concreti che sfruttano questa vulnerabilità, si suggerisce agli utenti di esercitare le dovute cautele nel caso di ricezione di email inattese contenenti allegati ‘.contact’ o ‘.vcf'”.

Gli attacchi Malware possono prendere il controllo del Vostro Router

router malware

In quest’ultimo periodo è emersa una nuova ondata di attacchi alla sicurezza informatica e sta coinvolgendo gli apparati Router. Scoperto dagli analisti di Cisco Talos, gli attacchi Malware possono prendere il controllo del Vostro Router generando non pochi problemi. Il Router è a tutti gli effetti un mini PC e come tale è soggetto a manutenzione e deve essere tenuto aggiornato.

Questo Virus, chiamato VPN Filter ha la capacità di registrare i dati di navigazione su internet eseguiti tramite il vostro PC, Smartphone e altre periferiche collegate sulla vostra rete, modificare i DNS e mettere a rischio i dati sensibili, comprese le password.

Non è sufficiente un riavvio del Router per scongiurare l’attacco ma è necessario verificare che non siano cambiate le configurazioni dell’apparato. Sono molti infatti i Brand di produttori che hanno subito questo attacco e che stanno segnalando la tassativa necessità di andare ad aggiornare il firmware del proprio hardware per evitare questo tipo di attacchi.

Questo tipo di virus è anche in grado di disattivare completamente la funzionalità del Router creando disservizi e criticità bloccanti ai propri sistemi informatici e di telecomunicazioni su IP. In alcuni casi non è più possibile riutilizzare l’hardware.

Una delle situazioni più comuni è il cambio dei DNS. Il cambio dei DNS permette infatti di controllare e reindirizzare il traffico dati a piacimento verso portali web altrettanto infetti o fraudolenti. A rischio password e credenziali di accesso alla posta elettronica, alle piattaforme di Home Banking, Social , ecc. Per applicazioni professionali, di solito, i DNS sono inseriti manualmente utilizzando DNS comuni (es. DNS di Google 8.8.8.8- 8.8.4.4 ) o specifici forniti dal proprio ISP. Questi vengono sostituiti con altri DNS che reindirizzano il traffico su altri siti fraudolenti.

Un altro tipo di attacco è quello CSRF (cross-site request forgery). Questo tipo di attacco viene operato tramite plugin in JavaScript caricati su portali infetti e permette di accedere all’interfaccia web di amministrazione del Router per cambiare le impostazioni e gli accessi, sfruttandoli in un secondo momento. Questi virus non vengono necessariamente installati aprendo allegati infetti ma possono essere eseguiti come “download drive-by” da siti infetti.

 

Consigli utili:

  • Verificare i DNS configurati nel router, che non siano variati rispetto a quelli configurati in fase di prima installazione. Uno dei DNS segnalati che viene sostituito è il seguente 38.134.121.95 classificato come Hacking, SQL Injection.
  • Aggiornare il FW del Router all’ultima release rilasciata dal produttore che colmerà le lacune di sicurezza riscontrate.
  • Disabilitare l’accesso remoto se non strettamente necessario, attaccabile tramite bot.
  • Password di accesso complessa: Cambiare la password di accesso al Router con una psw complessa che contenga caratteri speciali, numeri e lettere maiuscole e minuscole.

Note:

Attacchi al Router possono compromettere oltre che la sicurezza anche la corretta funzionalità dei sistemi informatici e di telecomunicazioni connessi nella rete LAN. Per esempio si potrebbero verificare dei malfunzionamenti del proprio IPPBX per effettuare aggiornamenti automatici, accedere alla console di gestione, allineare i certificati e chiavi di licenza, perdita di registrazione dei telefoni software, perdita della registrazione dei trunk SIP, furto delle credenziali e altro.

Mantenere monitorati e aggiornati i vari apparti hardware (Router, Server, Appliance, AP, Telefoni IP) e software (S.O. Antivirus, Centralino Telefonico 3CX) alle ultime release di FW e di versione permette di avere una minor vulnerabilità agli attacchi esterni e il generarsi di criticità a volte irrimediabili.

E’ evidente come fra gli apparati più esposti vi siano i router commerciali non destinati ad impiego in ambito professionale. Per questa ragione, anche in ottemperanza a quanto richiesto dalla recente normativa GDPR sulla privacy e sicurezza dei dati aziendali, si raccomanda agli utenti professionali l’impiego di apparecchiature in grado di assicurare una idonea protezione, per le quali siano previsti aggiornamenti e supporto software/firmware di lungo periodo.

Come ti rubo le credenziali della rete Microsoft con un PDF

Basta aprire il documento perché l’hash delle credenziali sia inviato a un server esterno. E il trucco funziona con qualsiasi reader…

L’ennesima vulnerabilità che gira intorno alla possibilità di rubare le credenziali NTLM (il sistema di autenticazione utilizzato nelle reti locali Microsoft) si basa questa volta sull’invio di documenti in formato PDF.

Come spiegano i ricercatori di Check Point in un report pubblicato sul sito della società di sicurezza, per “sniffare” le credenziali di un PC Windows è sufficiente inviare un file PDF costruito ad arte che consente al pirata informatico di ottenere l’hash delle credenziali stesse.

Secondo i ricercatori, una volta ottenuto l’hash ci vuole poco (pochissimo) per risalire alle credenziali originali e ottenere così libertà d’azione nella rete locale.

Il trucchetto utilizzato è quello che abbiamo già visto in altre vulnerabilità simili (per esempio quella che riguardava Outlook) e sfrutta sempre lo stesso sistema: il documento contiene un elemento attivo che avvia un collegamento a un server SMB esterno.

Visto che Windows è progettato per inviare l’hash delle credenziali al momento del collegamento, chi controlla il server ottiene i dati che gli servono.

A differenza di quanto accade con altre vulnerabilità simili, però, la vulnerabilità non impatta su un singolo software, ma su tutti i reader in grado di leggere il formato PDF.

Peggio ancora, lo sviluppatore del PDF reader più popolare del pianeta (cioè Adobe) non considera la vulnerabilità come un problema.

Nel report pubblicato da Check Point si legge infatti che la risposta di Adobe alla loro segnalazione è stata la seguente: “L’anno scorso Microsoft ha introdotto un’impostazione opzionale di sicurezza che consente di disabilitare il sistema di autenticazione NTLM SSO per risorse esterne. Considerata l’esistenza di questo strumento di mitigazione, non prevediamo di modificare Acrobat”.

per maggiori informazioni, contattaci

info@assitech.net