Il 10 maggio Microsoft ha rilasciato il canonico aggiornamento mensile: May 2022 Patch. 

Anche in questo caso non si è trattato di un aggiornamento di poco conto, non solo per la pletora di software di sistema coinvolti, ma anche, e soprattutto, visto che ha risolto ben 73 problemi di sicurezza, tra cui 2 vulnerabilità 0-day delle quali 1 già “vista in natura”. 

Anche la gravità delle vulnerabilità non è di poco conto: si hanno 6 vulnerabilità critiche e 66 importanti. Anche il tipo di sfruttamento è da tenere in considerazione, in quanto oltre la metà delle vulnerabilità sfrutta Remote Code Execution (RCE) e Elevation of Privileges (EoP) quali metodi di attacco. 

Vediamo in dettaglio alcune delle vulnerabilità risolte. 

Non è propriamente un elemento dell’ecosistema Microsoft, ma in architetture complesse la convivenza con altri sistemi è necessaria, pertanto non è poi così impossibile pensare alla presenza attiva si un servizio Network File System (NFS) in ambiente Microsoft. Ed è proprio questo servizio, nella versione 2 e 3, che con la vulnerabilità critica (ha ottenuto da Microsoft un CVSSv3 di 9.8) CVE-2022-26937 rischiava di venire espugnato da un attaccante remoto e non

Chi di noi possiede un conto corrente bancario sa (o dovrebbe sapere) che oggi può disporre di servizi online per evitare di recarsi fisicamente allo “sportello”. 

Chiamatelo “Online Banking”, “Home Banking”, oppure “Internet Banking”, ma avrete semplicemente a che fare con una differente definizione che l’istituto bancario ha scelto di utilizzare per medesimi servizi. 

Il vantaggio di poter operare comodamente da casa (ma anche fuori, mediante le estensioni mobile degli stessi servizi) è senza dubbio grande: benché gli sportelli bancari non siano proverbialmente noti per conoscere infinite code come altri servizi all’utente, poter evitare di recarsi fisicamente alla banca per un semplice estratto conto (anche solo allo sportello ATM) e per le periodiche attività di pagamento (tasse, forniture servizi, ecc) migliora la vita. 

Ma tutti questi vantaggi si devono in qualche modo pagare: lasciamo stare i costi che gli istituti richiedono per questi servizi (non sempre economici su conti correnti già affatto remunerativi per la clientela, con tassi di interessi sui depositi ormai “sotto zero”), ma concentriamoci sui costi derivati dal rischio che assumiamo nell’usare questi servizi online. Rischio, esatto, in quanto la scelta di operare al di fuori

Abbiamo già sfatato il mito degli 0-day come minaccia fondamentale per la sicurezza del mondo IT. 

Fino a che aziende e organizzazioni trascureranno di tenere il passo delle versioni software prodotte dai vendor, fino a quando continueranno a omettere aggiornamenti di sicurezza importanti, allora nessun agente di minaccia sarà mai costretto a cercare (disperdendo tempo e denaro) nuove soluzioni di attacco. Lo 0-day è per un agente di minaccia solo l’estrema ratio da utilizzare in assenza di alternative; ma di alternative dicevamo ne esistono molte. 

Il caso più comune è che gli agenti di minaccia riusino vettori di attacco già sperimentati con successo nel passato, da loro stessi o da altri, in quanto efficaci ancora su molti obiettivi. 

La prassi è talmente diffusa, tanto che l’agenzia governativa statunitense CISA (Cybersecurity and Infrastructure Security Agency) tiene traccia proprio di questo fenomeno redigendo un

L’anglosassone “#Security #Awareness” esprime un principio cardine di tutta la sicurezza. 

Non esiste azione intrinsecamente sicura se non esiste consapevolezza della sua natura e delle sue conseguenze. 

Questo è vero nel mondo industriale, professionale, ecc: è un principio evidente, intuitivo. Nessuno immaginerebbe di improvvisarsi operaio davanti ad una pressa idraulica, o chirurgo in sala operatoria, ma nemmeno agricoltore diretto alla guida di un trattore per campi accidentati. Sappiamo come andrebbe a finire. 

La consapevolezza delle conseguenze è dunque il principio che arma qualsiasi presidio di sicurezza, e questo è vero anche nella vita quotidiana: pure il banale “passare con il rosso ad un semaforo” è la dimostrazione di assenza di consapevolezza da cui deriva un problema di sicurezza stradale e dunque fisica. 

Gli strumenti di #Internet, che oggi sono alla portata di chiunque grazie agli #Smartphone, sono qualcosa di molto analogo ad una “pressa idraulica” o un “trattore”: possiedono dei rischi per coloro che li utilizzino inconsapevolmente. Il #Cyberspazio (Internet) non è qualcosa di completamente distaccato dal mondo reale: quando agiamo in quello spazio, siamo noi e non un #avatar ad agire (come nell’immaginazione del metaverso della fantascienza cyberpunk); siamo noi con la nostra identità, le nostre emozioni, i nostri affetti e (anche) eventualmente il nostro denaro. L’assenza di una nostra presenza materiale in quello spazio illude molti che ci sia sufficiente grado di separazione a creare una protezione dai rischi, ammesso che si pensi in termini di rischio. 

Ed invece anche nel Cyberspazio si corrono analoghi, se non più significativi rischi (perché più facilmente innescabili), proprio in quel dominio dell’identità, emozioni, e misere ricchezze che dicevamo. 

L’inconsapevolezza sui rischi di sicurezza che derivano dall’adozione degli strumenti del Cyberspazio può colpire chiunque; più facilmente le persone con un basso profilo di istruzione, ma certamente anche quelle persone che, pur con un alto profilo di istruzione, abbiano un basso profilo di competenze sulle tecnologie informatiche. Il problema può colpire finanche il professionista nel campo dell’informatica che non sia particolarmente preparato sulle questioni di sicurezza: anche lui può correre analoghi rischi, per sé e per il proprio ambiente (azienda, infrastruttura, ecc). 

La “Cyber Security Awareness” dunque è la declinazione del medesimo principio cardine di cui parlavamo all’inizio quando portato nei temi del Cyberspazio. È una parte della più articolata #Cyber Security, che intende ovviamente trovare le forme di difesa per le informazioni che risiedono o sono in viaggio nel Cyberspazio, di cui il “proprietario” (delle informazioni) è spesso parte del problema. 

Infatti, per quanti metodo e criteri a difesa di queste informazioni possano essere messe in campo, l’azione primaria per cui queste sono presenti nel Cyberspazio è legata esclusivamente alle azioni umane che decidono di introdurle e movimentarle lì. Se queste azioni sono fatte in modo inconsapevole possono essere naturalmente soggette al rischio di una azione malevola che tragga vantaggio da queste stesse informazioni (es. furto di identità, truffe, ecc).

Si parla dunque di “fattore umano”, un fattore di rischio derivante dalle azioni umane, che diviene variabile indipendente nel sistema. Le azioni che portano a conseguenze rischiose possono essere prese nella piena autonomia dell’utente del Cyberspazio, ma possono essere anche indotte dall’esterno per la debolezza del “fattore umano” ad essere convinto, ingannato, forzato a fare qualcosa. Questo avviene quando da attori di minaccia (che adoperano tecniche di ingegneria sociale) siano in grado di determinare comportamenti differenti da quanto immaginerebbe di fare un soggetto, proprio perché ingannata e sopraffatta da queste tecniche. Questa è la questione che più estende il rischio da “fattore umano”, in quanto l’inganno (se ben architettato), potrebbe riuscire a colpire chiunque, anche chi è consapevole dei rischi ma non ha strumenti per difendersi. 

La consapevolezza è dunque una qualità che deve essere costantemente coltivata per tenere alto il livello della propria e altrui sicurezza. 

Fata Informatica, con il suo brand CybersecurityUp, da anni è sensibile a questo tema e ha creato appositi corsi di “Cyber Security Awareness” per aiutare singoli e aziende a ridurre il “fattore umano” quale sorgente di rischio. 

Troverete i corsi o notizie sugli stessi all’indirizzo https://www.cybersecurityup.it/securityawareness/csaw-aziende

In molti nostri articoli ci siamo concentrati sulla cronaca di allarmi per minacce 0-day, già visti in natura o “scampati per un pelo”. 

Non passa infatti molto tempo che una nuova minaccia, una nuova campagna, una nuova vulnerabilità da sanare vengano individuate da vendor e ricercatori: diciamo è “fisiologico”. 

L’elenco dei vendor alle prese con queste vulnerabilità durante una campagna in atto è nota (Microsoft, Google, Apple, Amazon, ecc), così come nota è la lista dei vendor di apparati di rete e sicurezza che vengono interessati da difetti che ne minano la funzione di base (F5, Citrix, Palo Alto e SonicWall). 

Tutto vero, ma gli 0-day sono solo una parte del problema: potremmo semplicemente definirli come quella componente del sistema che periodicamente aumenta il

Ricorderete Log4Shell, la vulnerabilità più grave del decennio che ha spaventato molti vendor? 

Censita con CVE-2021-44228 è stata oggetto di rapide correzioni; a volte correzioni “troppo rapide”; non è un caso che il rischio si sia ripresentato in varie forme attraverso le vulnerabilità CVE-2021-45046 e CVE-2021-45105 che affrontavano differentemente le debolezze del codice Log4j. La natura del problema evidentemente era complessa e capillare nella struttura del software da creare non pochi problemi nell’individuazione delle cause e soprattutto nella costruzione di una soluzione definitiva. 

La costruzione di un correttivo “definitivo” è stato un problema per molti vendor, soprattutto per uno come Amazon che nel suo ecosistema AWS (Amazon Web Services) ha un uso

È noto come le vulnerabilità affliggano applicazioni, servizi e sistemi operativi. È noto come questi siano sottoposti a revisione continua e correzioni (patch) per diminuire o risolvere l’impatto di queste vulnerabilità. È altresì noto come, in casi di estrema necessità, solo degli attenti ed efficaci sistemi di sicurezza automatici possano divenire baluardo, mitigazione e soluzione per vulnerabilità all’interno del perimetro. 

Ma cosa accade quando la vulnerabilità affligge persino gli strumenti di difesa? Ebbene, questo non è certamente un caso irrealistico (i sistemi di difesa sono pur sempre software), e nemmeno, ahimè, un caso d’accademia: è infatti cronaca recente l’individuazione di una grave vulnerabilità (CVSS 7.5) che affligge Snort, il famoso software open source per l’implementazione di un sistema IDS/IPS salito sugli altari del

Dopo Microsoft, anche un altro dei Big del mondo IT come Oracle corre pesantemente ai ripari per i guai al suo esteso parco software; faremmo prima ad elencare i prodotti non coinvolti che quelli coinvolti in questo mega aggiornamento. 

Si tratta infatti di una quantità considerevole di correzioni, per relativi problemi di funzionalità e di sicurezza, questi ultimi censiti attraverso CVE che riguardano prevalentemente il 2021 e 2022, ma anche qualcosa ancora del 2019 e 2020. 

Il secondo aggiornamento trimestrale rilasciato da Oracle, il Critical Patch Update (CPU) aprile 2022, porta con sé 520 patch, corregge difetti per 221 CVE, di cui “solo” 27 di natura critica (per la cui risoluzione sono state coinvolte ben 77 patch), il 14,8% dell’intera patch. 

L’elenco completo e i dettagli possono essere letti nell’avviso pubblicato da

Con il bollettino di sicurezza VMSA-2022-0011 del 2022-04-06, VMWare ha focalizzato l’attenzione su alcune gravi vulnerabilità che affliggono alcuni suoi prodotti. In particolare si tratta di VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, vRealize Suite Lifecycle Manager. 

Ad una settimana di distanza da quel bollettino sono state pubblicate le attese correzioni (KB88099), ponendo sostanzialmente un freno a un fenomeno che stava diventando oggettivamente rischioso, viste le prime conferme sull’avvistamento “in natura” di exploit per una delle vulnerabilità descritte nel bollettino, la CVE-2022-22954, nonché un ampio fiorire su GitHub (https://github.com/search?q=CVE-2022-22954) di PoC per lo sfruttamento della stessa. 

L’insieme di questa vulnerabilità e le successive CVE-2022-22955 e CVE-2022-22956 rappresentano

Benché nel contesto di un aggiornamento pianificato, il “April 2022 Security Updates”, Microsoft ha rilasciato 128 correzioni per vulnerabilità di sicurezza. 

Di queste 10 sono ritenute critiche, 2 sono 0-day, tra l’altro capaci di elevazione di privilegio e già rilevati attivi e 3 consentono exploit (RCE) con capacità di propagazione (Worm) senza interazione utente.  

Sono anni che Microsoft non usciva con un volume così massiccio di correzioni, per numero di bug risolti e soprattutto per superficie d’intervento: i bug infatti sono stati trovati (e corretti) in una gran parte del portafoglio software di Microsoft. 

In particolare gli 0-day sono stati classificati con CVE-2022-24521 (CVSS 7.8) e CVE-2022-26904 (CVSS 7), mentre le vulnerabilità di esecuzione codice remoto (RCE) sono state