Sicurezza Informatica
CISA: difetto in Adobe Acrobat Reader
Tempo di lettura: < 1 minuto. L’agenzia statunitense per la sicurezza delle infrastrutture e della cybersecurity ha rilasciato un avviso riguardo a una grave vulnerabilità in Adobe Acrobat Reader, esortando le agenzie a proteggere le loro reti.
L’agenzia statunitense per la sicurezza delle infrastrutture e della cybersecurity (CISA) ha aggiunto martedì un grave difetto in Adobe Acrobat Reader al suo catalogo di vulnerabilità note ed attivamente sfruttate (KEV), citando prove di sfruttamento attivo.
Identificata come CVE-2023-21608 e con un punteggio CVSS di 7.8, la vulnerabilità è stata descritta come un bug di tipo “use-after-free” che può essere sfruttato per ottenere l’esecuzione di codice remoto (RCE) con i privilegi dell’utente corrente. Adobe ha rilasciato una patch per questo difetto a gennaio 2023. I ricercatori di sicurezza di HackSys, Ashfaq Ansari e Krishnakant Patil, sono stati accreditati per aver scoperto e segnalato il difetto.
Le seguenti versioni del software sono interessate:
- Acrobat DC – 22.003.20282 (Win), 22.003.20281 (Mac) e versioni precedenti (corretto nella versione 22.003.20310)
- Acrobat Reader DC – 22.003.20282 (Win), 22.003.20281 (Mac) e versioni precedenti (corretto nella versione 22.003.20310)
- Acrobat 2020 – 20.005.30418 e versioni precedenti (corretto nella versione 20.005.30436)
- Acrobat Reader 2020 – 20.005.30418 e versioni precedenti (corretto nella versione 20.005.30436)
I dettagli riguardanti la natura dello sfruttamento e gli attori delle minacce che potrebbero abusare di CVE-2023-21608 sono attualmente sconosciuti. Un exploit proof-of-concept (PoC) per il difetto è stato reso disponibile alla fine di gennaio 2023.
CVE-2023-21608 è anche la seconda vulnerabilità di Adobe Acrobat e Reader che ha visto uno sfruttamento nel mondo reale dopo CVE-2023-26369, un problema di scrittura fuori dai limiti che potrebbe risultare nell’esecuzione di codice aprendo un documento PDF appositamente creato.
Le agenzie del ramo esecutivo civile federale (FCEB) sono tenute ad applicare le patch fornite dal fornitore entro il 31 ottobre 2023 per proteggere le loro reti da potenziali minacce.
Sicurezza Informatica
Apple e Google lanciano piattaforma comune per rilevare dispositivi di tracciamento Bluetooth indesiderati
Tempo di lettura: 2 minuti. Apple e Google lanciano una funzionalità cross-platform per rilevare dispositivi di tracciamento Bluetooth indesiderati
Apple e Google hanno collaborato per lanciare una nuova funzionalità che notifica agli utenti, sia su iOS che su Android, se un dispositivo di tracciamento Bluetooth viene utilizzato per monitorarli segretamente. Questa innovazione mira a mitigare l’abuso di dispositivi progettati per tenere traccia degli oggetti personali, garantendo allo stesso tempo la privacy e la sicurezza degli utenti.
Dettagli della funzionalità
La funzione, denominata “Detecting Unwanted Location Trackers” (DULT), è ora disponibile sui dispositivi Android dalla versione 6.0 in poi e sui dispositivi iOS con iOS 17.5, che è stato rilasciato ufficialmente ieri. Questa soluzione cross-platform offre agli utenti la possibilità di ricevere un avviso “Tracker traveling with you” su Android o “Item Found Moving With You” su iOS se viene rilevato un dispositivo di tracciamento Bluetooth non identificato che si muove insieme a loro nel tempo.
Reazioni e impatto
Questa collaborazione tra Apple e Google rappresenta un primo esempio nell’industria di un’iniziativa che coinvolge input dalla comunità e dall’industria per affrontare il problema del tracciamento indesiderato. Gli utenti possono ora visualizzare l’identificativo del tracker, riprodurre un suono per localizzarlo e accedere a istruzioni per disabilitarlo.
Contesto e sviluppi futuri
Questa mossa arriva in risposta a segnalazioni che dispositivi come gli AirTags di Apple sono stati utilizzati per scopi maliziosi, spesso abusati come strumenti di stalking. Un gruppo di ricercatori ha persino sviluppato uno schema crittografico che offre un migliore compromesso tra privacy dell’utente e rilevamento dello stalker attraverso un meccanismo chiamato multi-dealer secret sharing (MDSS).
L’annuncio di questa funzionalità congiunta tra Apple e Google contro i dispositivi bluetooth indesiderata segna un significativo passo avanti nella lotta contro l’uso improprio dei dispositivi di tracciamento e rafforza la sicurezza e la privacy degli utenti in un ecosistema digitale sempre più connesso. Questa iniziativa dimostra l’impegno congiunto di giganti tecnologici per affrontare problemi di privacy e sicurezza in maniera collaborativa, stabilendo un nuovo standard per la protezione degli utenti nel panorama tecnologico moderno.
Sicurezza Informatica
DNS Tunneling: per tracciare vittime di Phishing
Tempo di lettura: 2 minuti. Gli hacker utilizzano il tunneling DNS per scandagliare le reti e tracciare le vittime, sfruttando questa tecnica per bypassare le misure di sicurezza.
Recentemente, è stato scoperto che gli attori di minacce stanno utilizzando il tunneling DNS per tracciare l’apertura di email di phishing e clic sui link malevoli, nonché per scandagliare le reti alla ricerca di potenziali vulnerabilità. Questa tecnica sofisticata utilizza il DNS, un componente essenziale della comunicazione di rete, come canale di comunicazione nascosto.
Dettagli tecnici del DNS Tunneling
Il tunneling DNS implica la codifica dei dati o dei comandi che vengono inviati e recuperati tramite query DNS. Gli attori della minaccia codificano i dati in vari modi, come Base16, Base64, o algoritmi di codifica testuale personalizzati, che possono essere restituiti durante l’interrogazione di record DNS, come TXT, MX, CNAME e record di indirizzi. Questa tecnica è comunemente utilizzata per eludere i firewall di rete e i filtri, adottando il metodo per operazioni di command and control (C2) e di Virtual Private Network (VPN).
Campagne malevole eseguite con il DNS Tunneling
Unit 42, il team di ricerca sulla sicurezza di Palo Alto Networks, ha scoperto un uso aggiuntivo del tunneling DNS in campagne malevole che coinvolgono il tracciamento delle vittime e la scansione della rete. Un esempio è la campagna “TrkCdn”, che si concentra sul tracciamento delle interazioni delle vittime con i contenuti delle email di phishing. Gli attaccanti incorporano contenuti in un’email che, quando aperta, esegue una query DNS a sottodomini controllati dall’attaccante, i cui FQDN contengono contenuti codificati.
Consigli per la Difesa
A causa delle sue capacità nascoste, il tunneling DNS può bypassare strumenti di sicurezza, evitare il rilevamento e mantenere la versatilità operativa. Di conseguenza, Unit 42 suggerisce che le organizzazioni implementino strumenti di monitoraggio e analisi DNS per monitorare e analizzare i log alla ricerca di modelli di traffico insoliti e anomalie, come richieste atipiche o ad alto volume. È anche consigliabile limitare i resolver DNS nella rete per gestire solo le query necessarie, riducendo il potenziale abuso del tunneling DNS.
L’uso del tunneling DNS come tecnica per la conduzione di attacchi informatici rappresenta una sfida significativa per la sicurezza informatica. La capacità di mascherare le comunicazioni malevoli come traffico DNS legittimo richiede un livello elevato di vigilanza e misure di sicurezza avanzate per rilevare e mitigare tali minacce. Queste rivelazioni sottolineano l’importanza di strategie di difesa sofisticate e proattive per proteggere le reti aziendali e personali dagli attacchi sempre più ingegnosi e difficili da rilevare.
Sicurezza Informatica
Attacco ransomware LockBit Black: Botnet invia milioni di Email
Tempo di lettura: 2 minuti. La campagna di phishing usando LockBit Black, veicolata da un botnet, ha inviato milioni di email malevoli, criptando dati di innumerevoli vittime.
Una campagna massiva di ransomware LockBit Black ha imperversato attraverso il web, con milioni di email di phishing inviate da aprile 2024, sfruttando il botnet Phorpiex. Questo attacco si concentra su allegati ZIP malevoli che, una volta aperti, criptano i sistemi delle vittime.
Dettagli dell’attacco
Il New Jersey’s Cybersecurity and Communications Integration Cell (NJCCIC) ha emesso un avviso riguardo questa vasta campagna di phishing che utilizza il ransomware LockBit Black, un malware che cripta i sistemi delle vittime. Gli attacchi sfruttano allegati ZIP che contengono un eseguibile, il quale, una volta lanciato, installa il payload di LockBit Black. Gli attaccanti, non affiliati con l’operazione originale di LockBit, hanno utilizzato nomi come “Jenny Brown” o “Jenny Green” e hanno operato da oltre 1.500 indirizzi IP in paesi come Kazakhstan, Uzbekistan, Iran, Russia e Cina.
Le funzionalità di LockBit Black
Il payload ransomware impiegato in questi attacchi è probabilmente costruito utilizzando un builder di LockBit 3.0, che è stato divulgato online da uno sviluppatore insoddisfatto nel settembre 2022. Questo ransomware è particolarmente pericoloso perché oltre a criptare i dati, tenta di rubare informazioni sensibili, termina servizi essenziali e impedisce l’accesso ai file crittografati.
Conseguenze e difesa
Gli attacchi di phishing e ransomware come questi hanno implicazioni gravi per la sicurezza delle informazioni aziendali e personali. Il NJCCIC consiglia l’implementazione di strategie di mitigazione del rischio ransomware e l’uso di soluzioni di sicurezza per i terminali e filtri di posta elettronica per bloccare i messaggi potenzialmente dannosi.
L’uso del botnet Phorpiex per facilitare questi attacchi di LockBit Black segnala un’escalation nell’uso di infrastrutture botnet esistenti per condurre campagne di ransomware di vasta portata. La consapevolezza e la preparazione sono essenziali per difendersi da queste minacce sempre più sofisticate. Questa ondata di attacchi sottolinea l’importanza di robuste misure di sicurezza e della vigilanza costante nel monitorare e difendere le reti aziendali e personali dai sofisticati schemi di attacco cyber.
- Editoriali2 settimane fa
Chip e smartphone cinesi ci avvisano del declino Occidentale
- Inchieste1 settimana fa
Ransomware in Italia: come cambia la percezione del fenomeno nell’IT
- Economia2 settimane fa
Internet via satellite: progetto europeo IRIS² in grande difficoltà
- Editoriali1 settimana fa
Anche su Giovanna Pedretti avevamo ragione
- L'Altra Bolla1 settimana fa
Jack Dorsey getta la spugna e lascia Bluesky
- Inchieste7 giorni fa
Perchè il motore di ricerca OpenAI fa paura ai giornalisti?
- Smartphone1 settimana fa
Richiesta di Class Action contro Samsung per il Galaxy S24 Ultra
- Economia1 settimana fa
Culture di lavoro a confronto: Meta vs Google