Notizie
HP risolve 16 bug del firmware UEFI che consentono infezioni malware furtive

HP ha rivelato 16 vulnerabilità del firmware UEFI ad alto impatto che potrebbero consentire agli attori delle minacce di infettare i dispositivi con malware che guadagnano privilegi elevati e rimangono non rilevabili dal software di sicurezza installato.
Queste vulnerabilità interessano più modelli HP, tra cui computer portatili, desktop, sistemi PoS e nodi di edge computing.
Le falle sono state scoperte dai ricercatori di Binarly, lo stesso team che ha pubblicato un’altra serie di falle UEFI che colpiscono 25 fornitori di computer a febbraio.
Pochi giorni dopo, il fondatore di Binarly ha presentato cinque nuove falle UEFI che colpiscono HP all’OffensiveCon, e HP ha rilasciato l’aggiornamento di sicurezza corrispondente per affrontarle.
Oggi, Binarly, HP e il CERT/CC hanno coordinato la divulgazione dell’insieme completo delle nuove vulnerabilità scoperte, comprese 11 nuove vulnerabilità che colpiscono il firmware HPE UEFI.
Queste vulnerabilità sono separate in tre gruppi in base al componente/caratteristica che viene sfruttato:
SMM Callout (Escalation dei privilegi)
CVE-2021-39298: callout che porta all’escalation dei privilegi (CVSS – 7.5)
CVE-2021-23932: callout che porta all’escalation dei privilegi (CVSS – 8.2)
CVE-2021-23933: callout che porta all’escalation dei privilegi (CVSS – 8.2)
SSM (modulo di gestione del sistema)
- CVE-2021-23924: heap buffer overflow che porta all’esecuzione di codice arbitrario (CVSS – 8.2)
- CVE-2021-23925: corruzione della memoria che porta all’esecuzione di codice arbitrario (CVSS – 8.2)
- CVE-2021-23926: corruzione della memoria che porta all’esecuzione di codice arbitrario (CVSS – 8.2)
- CVE-2021-23927: corruzione della memoria che porta all’esecuzione di codice arbitrario (CVSS – 8.2)
- CVE-2021-23928: corruzione della memoria che porta all’esecuzione di codice arbitrario (CVSS – 8.2)
- CVE-2021-23929: corruzione della memoria che porta all’esecuzione di codice arbitrario (CVSS – 8.2)
- CVE-2021-23930: heap buffer overflow che porta all’esecuzione di codice arbitrario (CVSS – 8.2)
- CVE-2021-23931: heap buffer overflow che porta all’esecuzione di codice arbitrario (CVSS – 8.2)
- CVE-2021-23934: corruzione della memoria che porta all’esecuzione di codice arbitrario (CVSS – 8.2)
DXE (Driver eXecution Environment)
- CVE-2021-39297: stack buffer overflow che porta all’esecuzione di codice arbitrario (CVSS – 7.7)
- CVE-2021-39299: stack buffer overflow che porta all’esecuzione di codice arbitrario (CVSS – 8.2)
- CVE-2021-39300: stack overflow che porta all’esecuzione di codice arbitrario (CVSS – 8.2)
- CVE-2021-39301: stack overflow che porta all’esecuzione di codice arbitrario (CVSS – 7.7)
Poiché sia DXE che SSM sono attivati prima dell’avvio del sistema operativo, qualsiasi falla sfruttata in questi componenti supera i privilegi del Kernel OS e bypassa tutte le protezioni.
Inoltre, un attore malintenzionato capace potrebbe potenzialmente sfruttarle per impiantare malware firmware persistente che sopravvive agli aggiornamenti del sistema operativo e bypassa UEFI secure Boot, Intel Boot Guard e le soluzioni di sicurezza della virtualizzazione.
“Lo sfruttamento attivo di tutte le vulnerabilità scoperte non può essere rilevato dai sistemi di monitoraggio dell’integrità del firmware a causa delle limitazioni della misurazione del Trusted Platform Module (TPM). Le soluzioni di attestazione della salute del dispositivo remoto non rileveranno i sistemi interessati a causa delle limitazioni di progettazione nella visibilità del runtime del firmware“, cita il rapporto di Binarly sulle vulnerabilità.
“Purtroppo, la maggior parte dei problemi nelle nostre vulnerabilità segnalate sono fallimenti ripetibili, alcuni dei quali sono dovuti alla complessità del codebase o ai componenti legacy che ottengono meno attenzione alla sicurezza, ma sono ancora ampiamente utilizzati sul campo.“
Il malware del firmware non è teorico, in quanto abbiamo riferito di gruppi di hacker sponsorizzati dallo stato che distribuiscono malware UEFI, come MoonBounce, ESPecter, e un loader FinSpy, in passato.
A questo punto, l’unico modo per affrontare il rischio di sicurezza è quello di applicare gli aggiornamenti del firmware disponibili dal portale di aggiornamento BIOS di HP, o seguendo queste istruzioni.
Una delle falle, CVE-2021-39298, è stata identificata come una vulnerabilità del codice di riferimento di AMD, e come tale, non colpisce solo HP ma numerosi fornitori di computer che utilizzano il particolare driver del firmware (AgesaSmmSaveMemoryConfig).
Questa falla è un caso di uso improprio di EFI_BOOT_SERVICES e EFI_RUNTIME_SERVICES perché permette al runtime DXE non privilegiato di eseguire codice all’interno di SMM, che è contro le pratiche di sicurezza stabilite.
Come tale, il CERT/CC si coordinerà con tutti i fornitori interessati per aiutarli a spingere le correzioni per questo difetto di escalation dei privilegi, almeno per i prodotti supportati.
Notizie
Attacco ransomware ad Acea: tornano online i sistemi
Tempo di lettura: < 1 minuto. Panico durato 24 ore circa, ma sembrerebbe che il peggio è passato

Il gruppo Acea è stato colpito da un attacco ransomware della gang Black Basta che non ha risparmiato la società dal pretendere un riscatto. Il gruppo è stato colpito nei suoi sistemi ed il sito Internet risulta essere offline.
Sembrerebbero esserci buone notizie secondo quanto riferito da una fonte interna alla società interpellata da Matrice Digitale:
da ieri sera (3 febbraio ndr) funzionano di nuovo i sistemi. è stato un problema serio lavorare senza sistemi per gestire l’operatività tuttavia, non sono riusciti ad acquisire i dati degli utenti.
Il sito Internet è ancora offline, ma l’attacco ha portato un disservizio tecnico a dipendenti e clienti senza intaccare i dati con una violazione.
Notizie
PlugX, il malware si diffonde via USB. A rischio anche PC air gapped
Tempo di lettura: 3 minuti. Una volta caricato e decrittografato in memoria, il malware infetta l’host e tutti i dispositivi USB rimovibili collegati

L’Unit 42 incident response team di Palo Alto Networks avrebbe scoperto di recente una nuova variante del malware PlugX distribuita tramite dispositivi USB rimovibili e prendendo di mira i PC Windows.
La scoperta sarebbe avvenuta durante l’analisi di un attacco ransomware Black Basta rilevando diversi campioni e strumenti malware sui dispositivi delle vittime: il Tool ted-teaming Brute Ratel C4, il malware GootLoader e un vecchio campione PlugX.
Il malware PlugX
Come precisato dai ricercatori, il malware PlugX esiste da più di un decennio ed è stato utilizzato da molti gruppi di criminalità informatica nation-state. In particolare PlugX è stato osservato in molti attacchi informatici di alto profilo, come quello del 2015 responsabile della violazione dell’Office of Personnel Management (OPM) del governo degli Stati Uniti.
La specialità di PlugX è il DLL side loading ovvero lo sfruttamento di file legittimi per ottenere l’esecuzione di codice arbitrario.
In questo caso, gli attori delle minacce hanno deciso di dirottare un popolare e gratuito strumento di debug open source per Windows chiamato x64dbg utilizzato per analisi e reverse engineering.
In questo caso, gli attori hanno utilizzato il debugger a 32 bit di x64dbg. All’esecuzione di x32dbg.exe, Microsoft Windows cercherà tutti i file necessari per eseguire l’applicazione. In questo attacco DLL side loading è una copia non firmata della DLL X32bridge.dll legittima ad essere caricata per cercare localmente il file payload crittografato x32bridge.dat ovvero il malware PlugX.

https://unit42.paloaltonetworks.com/plugx-variants-in-usbs/
Una volta caricato e decrittografato in memoria, il malware infetta l’host e tutti i dispositivi USB rimovibili collegati.
La tecnica utilizzata per nascondere file nelle USB
Una volta che un dispositivo USB viene infettato, tutti i nuovi file scritti nella cartella principale del dispositivo USB dopo l’infezione vengono spostati in una cartella nascosta all’interno del dispositivo stesso.
La tecnica utilizzata dal malware PlugX per nascondere tali file prevede l’utilizzo di un determinato carattere Unicode. Ciò impedisce a Windows Explorer e ai comandi shell di visualizzare la struttura della directory USB e qualsiasi file, nascondendoli alla vittima.
Il carattere Unicode utilizzato per le directory sarebbe “00A0″(un carattere chiamato no-break space). Tale carattere impedisce al sistema operativo Windows di eseguire il rendering del nome della directory, nascondendolo.
“Per ottenere l’esecuzione del codice del malware dalla directory nascosta, viene creato un file di collegamento di Windows .lnk nella cartella principale del dispositivo USB“, si legge nel rapporto.
In pratica il malware crea un file “desktop.ini” nella directory nascosta per specificare l’icona del file .lnk nella cartella principale, facendolo apparire come un’unità USB per ingannare la vittima. Nel frattempo, una sottodirectory chiamata “RECYCLER.BIN” ospita copie del malware sul dispositivo USB.

Conclusioni
“Grazie a questa capacità di eludere il rilevamento, il malware PlugX può continuare a diffondersi e potenzialmente passare a reti con air gapped.“, commentano i ricercatori Unità 42 Mike Harbison e Jen Miller-Osborn e concludono, “La scoperta di questi campioni indica che lo sviluppo di PlugX è ancora vivo e vegeto tra almeno alcuni aggressori tecnicamente esperti e rimane una minaccia attiva.”
Notizie
Cybertech Global, il Vice Direttore di ACN è speaker a Tel Aviv

Il Vice Direttore Generale, dott.ssa Nunzia Ciardi, partecipa come speaker al Cybertech Global di Tel Aviv, evento di portata mondiale che raggruppa le industrie del settore e al contempo i decision-maker pubblici e privati. L’intervento della dott.ssa Ciardi ha avuto come tema “Leadership e coordinamento: due ingredienti per una buona cooperazione internazionale in materia di cybersicurezza”.
“Gli attacchi informatici si stanno evolvendo, diventando sempre più pervasivi e insidiosi in tutti i settori della società. In termini di cooperazione internazionale dobbiamo agire sulla base della consapevolezza condivisa che queste minacce informatiche necessitano di una risposta coordinata perché mettono in pericolo istituzioni, organizzazioni e individui in ogni paese – ha detto nel corso del suo intervento – In questa prospettiva, cerchiamo di affrontare le minacce e gli attacchi informatici adottando un approccio globale alla sicurezza informatica che preveda il coinvolgimento, e il contributo attivo, di tutte le parti interessate. Ciò implica una maggiore cooperazione a livello internazionale perché il Cyber è una dimensione senza confini e altamente interconnessa che richiede di superare una visione miope, concentrata sulle sole realtà nazionali”.
Il Cybertech Global è un momento di confronto sulle ultime novità tecnologiche, le sfide e le soluzioni per combattere le minacce cyber.
Il Piano di Implementazione della Strategia Nazionale di Cybersicurezza contiene delle misure (dalla 75 all’81) dedicate alla cooperazione internazionale. L’Agenzia mira a creare un solido ecosistema cyber con i partner mondiali e a rafforzare il partenariato pubblico-privato nell’ottica della prevenzione e gestione degli incidenti cyber.
-
Inchieste3 settimane fa
NoName057(16) a Matrice Digitale: stiamo analizzando il perimetro cibernetico italiano
-
L'Altra Bolla3 settimane fa
Ferragni contro Lucarelli: chi ha ragione e chi ha torto
-
L'Altra Bolla3 settimane fa
Shakira e Pique: quando il divorzio fa fare soldi. Altro che Blasi e Totti …
-
L'Altra Bolla3 settimane fa
Greta Thunberg: arrestata dalla polizia tedesca con foto in posa. Che spettacolo !
-
Inchieste2 settimane fa
Microsoft licenzia 11.000 dipendenti, 100.000 assunti in Italia grazie all’ACN
-
L'Altra Bolla2 settimane fa
Azov riabilitato da Meta: Facebook e Instagram danno l’ok alla propaganda militare ucraina
-
OSINT2 settimane fa
World Economic Forum: piovono critiche e preoccupazioni nel mondo social. Le donne ne salvano l’immagine
-
Editoriali2 settimane fa
Le elezioni di MidTerm sono state decise dalla magistratura e dall’FBI?