Category Archives: Exploit

L’FBI bonifica i sistemi Exchange Server compromessi da Hafnium usando la loro backdoor

Posted on by

backdoor

L'FBI bonifica i sistemi Exchange Server compromessi da Hafnium usando la loro backdoor

L’agenzia federale statunitense sfrutta gli strumenti lasciati dagli hacker per effettuare da remoto la bonifica dei sistemi compromessi ed eliminare le webshelldi Andrea Bai pubblicata il 15 Aprile 2021, alle 16:41 nel canale SICUREZZA
Microsoft

Con un’azione ritenuta senza precedenti, l’FBI sta cercando di mettere al riparo centinaia di sistemi compromessi da Hafnium. Come e perché senza precedenti? Le autorità federali stanno infatti usando gli strumenti originariamente usati dai criminali per “hackerare” a fin di bene i sistemi infetti che si trovano sul territorio americano.

Ricordiamo brevemente cos’è successo: all’inizio del mese di marzo un gruppo di hacker noto con il nome di Hafnium ha sfruttato quattro vulnerabilità 0-day di Microsoft Exchange Server per compromettere decine di migliaia di sistemi sparsi in tutto il mondo. Le azioni degli hacker hanno portato all’installazione di backdoor sui sistemi compromessi, con relative webshell, che permettono cosi l’accesso da remoto anche in un secondo momento.

L’FBI usa le strategie degli hacker per bonificare i sistemi Exchange Server compromessi

Sono proprio queste backdoor e webshell che vengono ora usate dall’FBI per operare da remoto la bonifica dei sistemi infetti, in un’operazione che la stessa agenzia federale ritiene essere di successo. “L’FBI ha condotto la rimozione inviando un comando tramite la webshell al server, progettato per far si che esso eliminasse autonomamente la webshell stessa” spiega il Dipartimento di Giustizia degli Stati Uniti.

Un aspetto dell’operazione che potrebbe suscitare qualche polemica è che una buona parte dei proprietari dei server “bonificati” probabilmente non sono ancora a conoscenza dell’azione dell’FBI – e verosimilmente esiste il rischio che qualcuno sia anche completamente ignaro della compromissione. Le autorità federali stanno comunque agendo con l’approvazione di un tribunale del Texas e quindi con l’autorizzazione del Dipartimento di Giustizia. L’FBI sta cercando ora di avvertire i proprietari di server su cui ha effettuato la bonifica.

L’FBI sostiene che migliaia di sistemi sono stati oggetto di applicazione delle patch di sicurezza adeguate direttamente dai loro proprietari prima che prendessero il via le operazioni di bonifica da remoto. L’agenzia federale precisa di aver “rimosso le webshell rimanenti di uno dei primi gruppi di hacker che avrebbero potuto essere sfruttate per mantenere e rafforzare l’accesso persistente e non autorizzato a reti statunitensi”.

Si tratta chiaramente di un precedente importante, che potrebbe anche costituire in futuro un modus operandi convenzionale nel caso di attacchi di grave portata com’è stato quello di Hafnium. E’ comunque un argomento controverso, perché se da un lato l’azione dell’FBI rappresenta un servizio utile, dall’altro è opportuno mettere in conto che un’operazione di questo tipo potrebbe suscitare più di qualche malumore tra coloro i quali non sono stati avvisati e scopriranno quanto accaduto solo a cose fatte.

Intanto negli aggiornamenti del Patch Tuesday dei giorni scorsi sono state rilasciate le patch per correggere e risolvere due nuove vulnerabilità che interessano ancora Exchange Server. Microsoft ha raccomandato l’applicazione tempestiva, sottolineando comunque di non aver ancora riscontrato attacchi che abbiano sfruttato le nuove vulnerabilità.

Fonte Originale: : https://www.hwupgrade.it/news/sicurezza-software/l-fbi-bonifica-i-sistemi-exchange-server-compromessi-da-hafnium-usando-la-loro-backdoor_96991.html

Woodcock sta già pensando di brevettare il trojan tedesco

Posted on by

La Germania è alle prese con un Grande Fratello cibernetico. Il suo nome è “Bundestrojaner”, una sorta di virus informatico sguinzagliato dalle autorità bavaresi in grado di tirare fuori (del tutto arbitrariamente se non illegalmente) gli scheletri dagli armadi dei cittadini tedeschi.

A puntare il dito contro l’applicazione, che sulla carta avrebbe il compito di salvaguardare la Repubblica federale da terrorismo e criminalità on-line ma che in realtà all’opinione pubblica tedesca ricorda una rivisitazione della Stasi nell’era 2.0, è stato il rinomato gruppo di hacker del Chaos Computer Club (Ccc).

Questi militanti del web hanno scovato in rete il virus nuovo di zecca, lo hanno catturato, riprodotto e decrittato. E, sorpresa, hanno scoperto che si trattava di un sistema sviluppato per intrufolarsi nei computer dei privati e fare scorpacciata di dati, immagini e contatti online e telefonici. Insomma, un ritorno allo spionaggio ma di nuova generazione.

Adesso i politici di Berlino, che hanno dovuto chinare il capo e ammettere per primi l’utilizzo del malware, sono in forte imbarazzo anche perché a produrre il ‘trojan’ è stata un’azienda elettronica dell’Assia, su commessa pubblica. Ma quello che genera fortissimi imbarazzi è che il fatto stride terribilmente con una certa pronuncia della Corte Suprema tedesca, risalente al 2008, che aveva dichiarato illegale l’uso di internet come strumento di spionaggio da parte delle autorità federali e statali, eccezion fatta in casi limite. Tanto per intenderci, qualora fosse in gioco la vita di un cittadino. E invece la curiosità di guardare dal buco della serratura, in questo caso del tedesco medio, ha vinto ancora.

Chissà se Henry John Woodcock si è già precipitato a capire come brevettare “Bundestrojaner” per affinare il suo sistema di investigazione made in Italy. Così, finalmente, potrà ‘schedare’ “Le vite degli altri” alla stregua di quanto si faceva nella Berlino est…

Fonte :http://www.loccidentale.it/node/110435

Uno Tsunami si abbatte sul Mac

Posted on by

E’ stato identificato un nuovo Trojan Horse in grado di infettare i sistemi Mac OS X, questa minaccia prende il nome di Tsunami e consiste in pratica in una backdoor prodotta riconvertendo un eseguibile originariamente concepito per attaccare le distribuzioni basate sui Kernel Linux.

Il nome della backdoor sorgente è Kaiten, un malware in grado di effettuare chiamate verso remoto attraverso i canali IRC, l’idea è che Tsunami (come il suo predecessore) sia stato realizzato per creare una botnet da utilizzare per attacchi di tipo DDoS (Distributed Denial of Service).

Nel giro di poche settimane, Tsunami è il secondo malware ad aver suscitato un alto livello d’attenzione tra quelli che colpiscono i sistemi Mac, il primo è stato Flashback.C; segno di un interesse sempre maggiore dei virus writers per le piattaforme della Apple.

Recentemente la Sophos, società specializzata nella creazioni di soluzioni per la sicurezza informatica, ha voluto ricordare agli utenti Mac che il fatto che al momento esistano poche minacce per Mac Os X non significa che questo sia completamente immune da infezioni.

fonte: http://www.mrwebmaster.it/news/tsunami-si-abbatte-mac_6322.html

Falla zero-day in win32k.sys di Windows: si attende il patch day

Posted on by

Nei giorni scorsi abbiamo riportato la notizia relativa a una falla zero-day in Microsoft Windows; la falla è stata individuata da PrevX e purtroppo online è stato anche pubblicato l’exploit. PrevX ha scelto di diffondere solo alcuni dettagli del problema di sicurezza rilevato e si è messa in contatto con Microsoft per fornire approfondimenti utili.

Microsoft sta sviluppando una patch ma fin dalle prime ore non è stato chiaro se tale update verrà rilasciato in occasione del patch day o con modalità straordinarie. Stando a quanto riportato da Pcworld.com, Microsoft pur ritenendo questo problema importante non ritiene di dover rilasciare un aggiornamento straordinario. Meglio effettuare un’analisi più completa e approfondita per distribuire poi la patch il prossimo 14 dicembre.

La vulnerabilità riguarda Windows 7, Windows Vista e Windows XP, nelle versioni a 32 e 64 bit. e non può essere sfruttata da remoto. Questa di per sè è una buona notizia, anche se la realizzazione di un malware vettore utilizzabile da remoto non è possibilità da escludere con facilità. La falla preoccupa anche per un altro aspetto: permette di superare gli account limitati e anche lo UAC in Windows Vista e 7, quindi chiunque abbia accesso al sistema può elevare i propri privilegi. PrevX ha scelto di non distribuire ulteriori dettagli e il comunicato ufficiale è disponibile qui, inoltre Microsoft sarebbe già al lavoro sul problema.

Fonte:http://www.hwfiles.it/news/falla-zero-day-in-win32ksys-di-windows-si-attende-il-patch-day_34589.html

Falla 0-day su tutte le versioni di windows

Posted on by

Stando al bollettino di sicurezza, che si può leggere qui, del 19 luglio rilasciato da Microsoft, pare che il problema di sicurezza sia molto grave e colpisce tutti i possessori di windows Xp, Vista e Seven.
Infatti, a causa di un bug, è possibile eseguire un codice, anche malevolo, senza un diretto intervento dell’utente; il problema risiede nell’errata gestione dei file .lnk, infatti creando un collegamento appositamente modificato è possibile caricare nella memoria un qualsiasi programma semplicemente aprendo la cartella nel quale è stato inserito il collegamento modificato. Attenzione dunque, perchè questi collegamenti possono essere inseriti in archivi .zip o .rar che una volta estratti possono eseguire all’isaputa dell’utente software malevolo. La falla può anche essere sfruttata con l’ausilio di penne usb infette, magari anche all’insaputa di chi ve le fornisce.
Al momento non esiste ancora una patch per risolvere il problema e Microsoft suggerisce di disabilitare la visualizzazione delle icone dei file.lnk, come illustrato nel bollettino di sicurezza alla sezione Workarounds

Fonte: http://techforum.it/news/556-falla-0-day-su-tutte-le-versioni-di-windows/

Anche Su Hardware Upgrade ( hwfiles.it, Fonte: Grave vulnerabilità 0-Day in tutte le versioni di Windows )

Nuovo potenziale problema all’orizzonte per tutti gli utenti di Windows: recentemente è stata infatti individuata una nuova falla di sicurezza all’interno del componente di sistema Windows Shell che mette a rischio la sicurezza di ogni computer su cui sia installata una qualsiasi versione di Windows.

Nel dettaglio si tratta di una vulnerabilità 0-Day e ciò significa che è già stata sfruttata con successo per sferrare diversi attacchi. Stando al bollettino di sicurezza rilasciato da Microsoft, pare che il problema sia piuttosto grave, in quanto rende possibile l’esecuzione automatica di codice malevolo senza un intervento diretto da parte dell’utente.

Il problema risiede nella errata gestione dei file di collegamento .lnk di Windows: creando un file .lnk appositamente malformato è infatti possibile caricare in memoria un qualsiasi programma, inclusi quelli nocivi. Per dare il via all’attacco non è necessario che l’utente vittima faccia partire l’applicazione nociva di sua iniziativa, ma è sufficiente che l’utente entri nella cartella in cui e presente il file .lnk di collegamento.

La vulnerabilità si presta dunque ad essere utilizzata nei modi più svariati: un esempio potrebbe essere quello di mettere il file di collegamento creato ad hoc all’interno di file compressi e poi pubblicarli su Internet invitando le vittime a scaricarlo, oppure di veicolarli tramite chiavette USB.

Secondo quanto riportato da Marco Giuliani, Malware Technology Specialist di Prevx, sembra che la vulnerabilità sia stata sfruttata per portare a termine degli attacchi mirati ad alcuni sistemi Siemens WinCC SCADA, ma non è da escludere che qualche malintenzionato decida di sfruttarla per colpire gli utenti comuni.

Al momento non esiste ancora una patch in grado di risolvere il problema. Per rendere sicuro il proprio sistema, Microsoft suggerisce di disabilitare la visualizzazione delle icone dei file.lnk; la procedura da seguire è illustrata nel bollettino di sicurezza di Microsoft alla sezione Workarounds.