Sommario
CISA e Microsoft collaborano per migliorare la visibilità delle operazioni cloud con nuovi strumenti di logging, mentre la scoperta di sei vulnerabilità critiche in Rsync sottolinea la necessità di aggiornamenti tempestivi e misure di mitigazione.
Microsoft e CISA: espansione delle capacità di logging cloud
CISA ha rilasciato il Microsoft Expanded Cloud Logs Implementation Playbook, progettato per aiutare le organizzazioni a sfruttare al meglio le nuove funzionalità di logging incluse in Microsoft Purview Audit (Standard). Questo strumento consente di monitorare eventi critici come l’accesso alle email in Exchange Online e SharePoint, migliorando la capacità di rilevare minacce avanzate come compromissioni di email aziendali e attività di insider threat.
I nuovi log supportano anche sistemi di gestione delle informazioni di sicurezza come Microsoft Sentinel e Splunk, offrendo un quadro completo delle operazioni cloud. L’iniziativa segue pressioni esercitate su Microsoft dopo attacchi significativi, come quello condotto da Storm-0558 nel 2023, che evidenziò la necessità di migliorare la trasparenza e il monitoraggio dei dati.
Vulnerabilità in Rsync: un rischio per server e client
Un gruppo di ricercatori ha identificato sei vulnerabilità in Rsync, una popolare utility per la sincronizzazione dei file. Tra queste, una falla critica di tipo heap-based buffer overflow (CVE-2024-12084) consente a un attaccante di eseguire codice arbitrario su un server Rsync con accesso anonimo. Altre vulnerabilità includono:
- CVE-2024-12085: Una fuga di informazioni che espone dati sensibili dalla memoria del sistema.
- CVE-2024-12086: La possibilità per un server compromesso di accedere a file del client tramite checksum manipolati.
- CVE-2024-12087 e CVE-2024-12088: Difetti nel controllo dei symlink, che potrebbero consentire la scrittura di file in percorsi non autorizzati.
- CVE-2024-12747: Una race condition nei symlink che può causare la fuga di informazioni o l’escalation dei privilegi.
Mitigazioni consigliate
Per ridurre i rischi, gli amministratori sono invitati a:
- Applicare patch: Rsync 3.4.0, che include le correzioni, sarà presto disponibile.
- Limitare accessi anonimi: Configurare i server per accettare connessioni solo da fonti attendibili.
- Utilizzare opzioni sicure: Disabilitare SHA-256/512 o compilare Rsync con flag che inizializzano la memoria per prevenire exploit.
Importanza della visibilità e dell’aggiornamento
Questi sviluppi evidenziano la necessità di una gestione proattiva della sicurezza. Da un lato, i miglioramenti nei log Microsoft rappresentano un passo avanti nella protezione delle infrastrutture cloud; dall’altro, la scoperta di vulnerabilità in Rsync sottolinea il bisogno di aggiornamenti tempestivi e strategie di mitigazione.
