Da Microsoft stessa, oltre che dalle segnalazioni di Zero Day Initiative (ZDI) di Trend Micro, arriva la conferma dell’avvistamento in natura di una variante di ProxyShell (rilevata nel 2021), una pericolosa minaccia per Microsoft Exchange Server. 

Già nella precedente variante si trattò di scoprire una vulnerabilità zero-day: anche in questo caso l’identificazione in natura ha riguardato una minaccia di cui si ignorava l’esistenza fino all’evidenza del suo agire dannoso. 

Ancora una volta la minaccia è costituita prevalentemente dall’esecuzione di codice da remoto; come per ProxyShell, anche in questo caso ciò risulta possibile qualora sia disponibile all’attaccante una PowerShell: questo è reso possibile, in sistemi in cui operano istanze di Microsoft Exchange Server 2013, 2016 e 2019, a causa di una catena di vulnerabilità identificate con CVE-2022-41040 e CVE-2022-41082. 

La prima (CVE-2022-41040), valutata con un punteggio CVSS 6.3, è una vulnerabilità di tipo Server-side Request Forgery (SSRF) presente nei server Exchange capace, ad un utente remoto autenticato, di rendere possibile la vulnerabilità successiva. 

L’ingegneria sociale è un insieme di tecniche orientate a condizionare i comportamenti di gruppi umani e singole persone. 

Il campo di azione di una simile ingegneria è vasto e può inseguire differenti finalità, anche legittime; ma nel nostro caso l’applicazione che maggiormente ci interessa è quella intesa per veicolare azioni di minaccia. 

Gli attori di minaccia che impieghino queste tecniche sono naturalmente dotati di caratteristiche non solo tecnologiche, ma piuttosto psicologiche, attoriali: la loro arte è l’arte dell’inganno. 

La chiave è la cattura dell’attenzione della vittima, la comprensione dei punti sensibili e la stimolazione di questi al fine di imporre un comportamento utile per l’agente di minaccia a che la vittima riveli informazioni utili oppure agisca in linea con il progetto di attacco dell’esperto di social engineering. 

No, no parliamo delle innumerevoli crisi che affliggono il nostro continente, ma solo dell’insorgere di una nuova variante del famigerato malware denominato “Kaiji”, una variante modulare battezzata “Chaos” (che però non ha alcun riferimento o connessione con ransomware che ha il medesimo nome), una versione che potremmo a tutti gli effetti considerare un aggiornamento del precedente. 

L’obiettivo di questa nuova variante è per ora l’Europa. 

Come descritto da vari ricercatori, questa variante prende di mira non solo obiettivi nel territorio Europeo, ma estende il suo interesse sia a vittime operanti con sistema Windows che Linux, che siano in ambiente industriale oppure no (utenza casalinga). 

Chaos è capace di comunicare con una C2 (da cui ottiene comandi ma anche nuovi moduli) per l’esecuzione di tutta una serie di attività, ivi compreso il lancio di campagne DDoS (Distribuited Denial of Service) e mining di cryptovalute. 

Chiunque si interessi di ethical hacking sarà venuto a contatto con uno strumento di estremo interesse quale Impacket, progetto open source di SecureAuth (dal 2017 fusa con Core Security e dal 2019 entrambe in HelpSystem, produttrice di Cobalt Strike, discusso software di penetration test, apparentemente molto amato anche dagli agenti di minaccia). 

Ebbene, lo stesso destino di critiche può essere intravisto anche per lo strumento più primitivo quale Impacket, ad oggi sempre più visibile nelle tracce lasciate da agenti di minaccia durante le loro scorribande. 

Ma cosa è Impacket. Come premesso si tratta di un progetto open source, ovvero essenzialmente una raccolta di moduli Python, capace di agire su un considerevole insieme di protocolli di rete. Nulla di particolarmente interessante se non fosse per tutti quei protocolli che invece consentono attività su sistema remoto quali esecuzione codice, scarico delle credenziali, sniffing di pacchetti e la manipolazione di protocolli di autenticazione come Kerberos.

L’affermazione è un po’ forte, certamente, ma è frutto delle osservazioni di un nuovo rapporto di threat intelligence redatto da CrowdStrike, o meglio dal suo team di threat hunting “Falcon OverWatch”, il “Nowhere to Hide: 2022 Falcon OverWatch Threat Hunting Report”. 

Dal punto di vista del gruppo di difesa, per un periodo di un intero anno, si è reso evidente una crescente tendenza da parte degli aggressori all’utilizzo di strategie di attacco frontali e laterali per le reti eventualmente compromesse. Si tratta evidentemente di una opportunità tattica indotta dall’enorme mole di vulnerabilità che sommergono le infrastrutture delle organizzazioni oggetto di minaccia. 

Il malware non cade certo in disuso per inefficienza o per altri motivi strategici: è più un motivo tattico, indotto dalla semplicità di approfittare delle condizioni di inferiorità dell’obiettivo attraverso altre strategie di attacco più immediate: è questo che contribuisce alla decrescita nell’uso del malware. Basta considerare il prolifico mondo della compravendita su forum criminali di credenziali di accesso perfettamente funzionanti. 

Con la Patch Tuesday di settembre, Microsoft ha posto rimedio a ben 62 vulnerabilità molto gravi, 57 importanti e 5 critiche, senza considerare il più generico problema derivante dalla CVE-2022-23960 relativa ai processori ARM (Cortex e Neoverse), un problema derivante dal mancato limite imposto alla speculazione della cache in queste CPU (Spectre-BHB), cosa che consente ad un utente malintenzionato di sfruttare la cronologia nel ramo condiviso nel Branch History Buffer, ottenendone così informazioni riservate, Si tratta comunque di una vulnerabilità dalla gravità media (CVSS 5.6) che può affliggere indirettamente sistemi Windows non aggiornati quando eseguiti su tali CPU. 

Tornando ai problemi strettamente di casa Microsoft, questi colpiscono, come è solito, un gran numero di software e prodotti della casa di Redmond. 

I laboratori Alien Labs di AT&T hanno recentemente scoperto un nuovo malware che prende di mira dispositivi IoT basati su sistema operativo Linux (e la maggioranza dei sistemi IoT lo sono). 

Il malware è stato denominato “Shikitega”: opera attraverso una catena di infezioni, ognuna attuata da moduli che occupano solo poche centinaia di bytes, e dunque tali da passare inosservati. 

Il primo stage del malware appare come un payload di soli 370 byte, frutto della codifica “shikata ga nai”, l’encoder polimorfico basato su XOR molto popolare in quanto presente nella suite di attacco di Rapid 7 Metasploit. 

Il codice di questo primo stage non dipende da alcuna libreria, ed utilizza semplicemente le primitive di sistema (Linux) invocandole mediante istruzione assembly INT (invocazione di un interrupt) con argomento 80h (esadecimale, ossia 128, che è l’interrupt di chiamata a sistema Unix).

Una videocamera di sorveglianza si intende strumento per la sicurezza perimetrale e fisica, pertanto i suoi flussi (di immagini) devono essere disponibili sono per i proprietari del perimetro o al limite a quei delegati per i compiti di sorveglianza. 

Cosa succede se questi flussi e le videocamere stesse (per esempio attraverso il controllo di quelle motorizzate e quindi la capacità di orientarle altrimenti) cadono nella disponibilità di non aventi diritto? Inutile parlarne. 

I problemi di sicurezza nei sistemi IoT sono endemici, e quelli delle videocamere sono i più frequenti: basta vedere quanto raccoglie uno strumento di ricerca online come Shodan. 

Se dovessero servire conferme, l’argomento di questo articolo potrebbe certamente bastare, ma è comunque da molto tempo che siamo di fronte ad una progressiva trasformazione nella percezione del mondo delle videocamere IoT, una percezione in cui è aumentata una certa forma di diffidenza, in special modo per quelle di fabbricazione cinese.

Da sempre nel mondo IT la soluzione primaria per identificare e autorizzare un utente all’accesso ad un sistema informatico è stata una parola segreta, la password. La segretezza è però un patto fiduciario tra il sistema e l’utente, in quanto la segretezza non può essere una caratteristica intrinseca della parola, ma può solo derivare dalla sua unicità e dalla non divulgazione di questa a terzi. 

È per questo motivo che la password (segreta) quale strumento esclusivo di identificazione e dunque di sicurezza è da molto tempo posta in discussione (in favore di autenticazioni a più fattori). 

Il primo nemico della sicurezza agli accessi concessi mediante password infatti possiamo essere proprio noi stessi: una password può divenire non più segreta per diversi motivi, di cui tutti (purtroppo) imputabili a noi. 

Una vecchia conoscenza degli analisti riappare in natura: si tratta del framework di scansione Scanbox, realizzato in JavaScript. 

I ricercatori hanno visto distribuire tale framework da attore di minaccia cinese (molto probabilmente APT TA423, noto anche come Red Ladon, operante dall’isola tropicale cinese di Hainan) mediante tecnica watering hole su target includenti organizzazioni nazionali australiane e società energetiche offshore. 

L’esca sono stati messaggi che rimandavano a siti di notizie web australiani. 

La finalità: lo spionaggio. 

Infatti il particolare APT è stato accusato nel 2021 (DoJ: Dipartimento di Giustizia degli Stati Uniti) di collaborazione con il MSS (Ministero della Sicurezza di Stato, l'agenzia civile di intelligence, sicurezza e polizia informatica per la Repubblica popolare cinese). L’MSS è ritenuto responsabile del controspionaggio, dell'intelligence, della sicurezza politica e spionaggio industriale e informatico da parte della Cina.