Con il bollettino di sicurezza VMSA-2022-0011 del 2022-04-06, VMWare ha focalizzato l’attenzione su alcune gravi vulnerabilità che affliggono alcuni suoi prodotti. In particolare si tratta di VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, vRealize Suite Lifecycle Manager. 

Ad una settimana di distanza da quel bollettino sono state pubblicate le attese correzioni (KB88099), ponendo sostanzialmente un freno a un fenomeno che stava diventando oggettivamente rischioso, viste le prime conferme sull’avvistamento “in natura” di exploit per una delle vulnerabilità descritte nel bollettino, la CVE-2022-22954, nonché un ampio fiorire su GitHub (https://github.com/search?q=CVE-2022-22954) di PoC per lo sfruttamento della stessa. 

L’insieme di questa vulnerabilità e le successive CVE-2022-22955 e CVE-2022-22956 rappresentano

Benché nel contesto di un aggiornamento pianificato, il “April 2022 Security Updates”, Microsoft ha rilasciato 128 correzioni per vulnerabilità di sicurezza. 

Di queste 10 sono ritenute critiche, 2 sono 0-day, tra l’altro capaci di elevazione di privilegio e già rilevati attivi e 3 consentono exploit (RCE) con capacità di propagazione (Worm) senza interazione utente.  

Sono anni che Microsoft non usciva con un volume così massiccio di correzioni, per numero di bug risolti e soprattutto per superficie d’intervento: i bug infatti sono stati trovati (e corretti) in una gran parte del portafoglio software di Microsoft. 

In particolare gli 0-day sono stati classificati con CVE-2022-24521 (CVSS 7.8) e CVE-2022-26904 (CVSS 7), mentre le vulnerabilità di esecuzione codice remoto (RCE) sono state

Ricercatori anonimi hanno aiutato anche questa volta Apple nel riconoscere e dunque consentire la correzione di una nuova insidiosa vulnerabilità 0-day che potrebbe consentire l’utilizzo di privilegi kernel nell’utilizzo di codice arbitrario da parte di applicazioni malevole. 

Non è chiaro se la minaccia sia stata già sfruttata, ma sembrerebbe molto probabile (visto che Apple dice di avere rapporti su probabili attività di sfruttamento), pertanto l’applicazione degli aggiornamenti forniti da Cupertino è certamente urgente. 

Come ormai siamo abituati a vedere, i difetti che causano le vulnerabilità nell’ecosistema Apple colpiscono esattamente nel medesimo modo macOS e iOS per la ormai forte convergenza dei due prodotti. 

Naturalmente classificazione e aggiornamenti rispetto alle vulnerabilità seguono percorsi differenti, ma la fonte e la natura del problema risulta essere la medesima. 

La vulnerabilità che interessa i sistemi macOS (Monterey) è stata classificata come CVE-2022-22674 e viene corretta con la versione 12.3.1 appena rilasciata da

“Ransom” è un riscatto: subito pensiamo ad un reato estorsivo. Nessun brutto ceffo alla nostra porta, ma qualcosa di simile comunque può avvicinare, non tanto noi, quanto i nostri dati. Questa forma di estorsione infatti non è portata avanti minacciando la nostra incolumità, ma bensì quella delle nostre informazioni, ovvero delle informazioni che noi conserviamo nei nostri dispositivi IT. L’estorsione è realizzata mediante le forme tecnologiche del cyberspazio, ovvero attraverso un “emissario” in forma digitale, un software dalle intenzioni malevole, un “malware” che minaccia le nostre informazioni, la loro disponibilità. “Ransomware” è infatti un portmanteau dei termini “ransom” e “malware”. 

Le forme di minaccia alla disponibilità delle informazioni può variare, ma è invalso l’uso che le minacce ransomware optino per una inibizione dell’accesso alle “nostre” informazioni mediante meccanismi crittografici, ossia metodi che trasformano la nostra informazione in un insieme di dati per noi non più intellegibili ma teoricamente ripristinabili allo stato originario, da cui

Non finiscono, anzi aumentano i guai per gli utenti del sistema di backup della taiwanese QNAP. 

Abbiamo appena finito di parlare del bug derivante dal problema al Kernel Linux (Dirty Pipe), problema ancora non risolto nel mondo QNAP, che abbiamo un ulteriore guaio a completare il fosco quadro già reso tale da un continuo martellamento da parte di gruppi di minaccia ransomware sui dispositivi QNAP esposti (improvvidamente) su Internet dai loro proprietari. 

Ci si mette ora anche (o meglio sarebbe dire “di nuovo”) la libreria OpenSSL. 

Un problema nella libreria è presente in tutti i dispositivi NAS (Network-Attached Storage) di QNAP, e consente di ottenere una negazione di servizio (DoS) per l’innesco di un ciclo infinito all’interno degli algoritmi sviluppati da questa libreria. 

Anche in

Non c’è pace per Google Chrome. 

Abbiamo appena finito di descrivere una vulnerabilità zero-day nei suoi confronti che già un’altra è stata rilevata e sanata. 

Ancora una volta la vulnerabilità è risultata attivamente sfruttata in precedenza alla scoperta, confermando quanto dicevamo sulla pericolosità di certe minacce. 

In questo caso si tratta di una vulnerabilità che colpisce qualcosa di maggiormente sfruttato in tutti i campi di utilizzo del noto browser, ossia la componente open source che è il cuore delle forme moderne del web, ossia il motore JavaScript V8. 

L’essere open source di questa componente fallace porta guai naturalmente anche a tutti gli altri browser della ormai ampia famiglia Chromium (come Edge di Microsoft e l’omonimo browser in Linux). 

La

Quando si parla di zero-day si fraintendono molte cose. Zero-day è il termine con cui viene denotato una nuova vulnerabilità, un nuovo attacco, una nuova minaccia non precedentemente nota, ma questo non significa “non precedentemente attiva”. 

Il termine zero-day nasce da lontano, nel mondo del warez, della cosiddetta “pirateria informatica dei software”, in cui i “giorni” (day) erano il metro di valutazione della “freschezza”, della “qualità” dell’oggetto piratato, in genere un software di qualche produttore ben in vista: zero-day significava “fresco di giornata” e pertanto molto appetibile. Oggi il termine ha il medesimo significato di “freschezza”, ma indica solo la conoscenza, non la disponibilità, perché questa è già nelle mani degli agenti di minaccia che ne abbiano determinato l’essenza, ovvero la possibilità di

Il Male assoluto della Violenza, della Guerra, della Sopraffazione dell’uomo sull’uomo si è riaffacciato nuovamente in Europa, o meglio non si è mai allontanato da questa, come molti ingenuamente ritenevano sotto la confortante coperta della UE: hanno forse tutti dimenticato Budapest (1956), Praga (1968), le guerre nei Balcani (1991-1999, dalla Croazia fino al Kosovo), e la mai sopita “guerra del Donbass” (2014 con la annessione unilaterale della Crimea da parte della Russia, quasi esatta ripetizione di quanto portò alla Guerra di Crimea del 1853-1856), all’origine dei nuovi orrori dei giorni odierni. 

Non possiamo quindi stupirci che ancora esista una spaccatura del mondo (ideologica più che economica) che discende ancora da Jalta (guarda il caso in Crimea, 1945), tra regimi (democratici e no) eredi della struttura governativa, territoriale o anche solo ideologica dei protagonisti dell’epoca. E di “blocchi contrapposti” si è sempre quindi trattato, anche se sotto le ceneri create dalla Globalizzazione che ha fatto “tutti uguali” solo davanti al WTO. 

Non ci si è mai meravigliati tanto quindi che gli APT parlassero russo o mandarino. I russofoni, in particolare, sono sempre stati considerati gli hacker “proverbiali”. Forse li si riteneva monolitici, ma in realtà non lo sono mai stati; e i fatti di questi giorni stanno a dimostrarlo, cambiando, radicalizzando, precipitando le alchimie di questi gruppi di minacce. 

Secondo un rapporto di Cyber Threat Inteligence di Accenture (ACTI, “UPDATED-ACTI-Global-Incident-Report-Ideological-Divide-Blog-14MARCH22.pdf”) le questioni ideologiche stanno prendendo il sopravvento sulla struttura e le motivazioni delle crew delle minacce cyber, creando spaccature e affiliazioni. 

Chi è filo-ucraino si rifiuta di fare affari o semplicemente collaborare con quelli filo-russi, dispiegando le loro forze contro obiettivi russi; chi è filo-russo (es. membri dei collettivi Conti Team, LockBit, CoomingProject), ovviamente, si schiera dalla parte opposta, in più con comportamenti tipici dell’hacktivismo (che non gli erano propri) contro obiettivi anche occidentali (“nemici della Russia”). 

Che i forum di minaccia cyber più importanti al mondo parlassero russo non è mai stato un mistero: il linguaggio comune, l’allineamento culturale e anche politico hanno

L’uso del kernel Linux nell’implementazione di differenti soluzioni hardware non è una novità, anzi è ormai una consuetudine che avvantaggia i produttori nell’abbattere i costi di sviluppo del software di base delle loro soluzioni. 

Ovviamente questo allarga la platea degli utilizzatori di Linux “a loro insaputa” (più o meno): i dispositivi Android, ad esempio, sono una di queste soluzioni, ma anche i prodotti per lo storage di massa come il blasonato marchio QNAP, così come tanti altri prodotti IoT. Non c’è da stare tranquilli quindi quando si disponga di queste soluzioni, in quanto il ciclo di aggiornamenti differisce (a volte anche fortemente) con i rilasci correttivi che avvengono a livello di sviluppo del Kernel (in mano a Torvalds): i motivi sono di semplice packaging e distribuzione, o nei casi più estremi, di obsolescenza del prodotto che non prevede quindi ulteriori aggiornamenti dalla casa madre. 

D’altronde c’è da considerare, nella valutazione del rischio, anche l’ampia platea di implementazioni software che si basano su tecnologia Linux, come moltissimi servizi Web su Internet e soprattutto molti servizi cloud. 

Quindi, quando Linux ha un problema, molti hanno un problema. 

L’ultimo che è saltato fuori nel panorama Linux è la vulnerabilità a livello kernel denominata “Dirty Pipe” (per il coinvolgimento del sistema di comunicazione inter processo dei sistemi Unix in questa vulnerabilità) e censita con CVE-2022-0847 (con un base score 7.8, quindi considerata molto seria). Questo difetto può consentire ad un utente non privilegiato di ottenere privilegi superiori nel seguente modo: creando una pipe su cui ha permessi di scrittura, l’attaccante, confondendo il kernel, fa credere a questo che la pipe in questione sia invece un file su cui in effetti non avrebbe permessi di scrittura, ed in questo modo ottenendoli. Questo può naturalmente aumentare i privilegi dell’attaccante sul sistema. 

Le versioni kernel interessate sono le successive alla 5.8, quindi sono esenti le precedenti. In particolare il difetto è stato già corretto nelle versioni 5.16.11, 5.15.25 e 5.10.102 che

Mentre il mondo dell’hacking underground si riposiziona nel campo delle minacce persistenti per via di spinte nazionaliste che soffiano su di loro a seguito degli accadimenti ucraini e ne infiammano strategie e motivazioni, altre minacce non mutano la loro presenza e aggressività. 

È il caso della botnet Qakbot, il trojan bancario visto per la prima volta nel 2007 e divenuto ben presto uno dei più diffusi. Oggi, se possibile, ha aumentato la sua pericolosità, prendendo questa volta di mira thread di posta elettronica per distribuire DLL dannose con lo scopo di potenziare la botnet principale con i nuovi zombie aggiunti. 

Questa volta l’attacco, analizzato dai ricercatori di Sophos, parte dal dirottamento dei messaggi di una discussione di posta elettronica grazie ad errate risposte alla stessa, messaggi dannosi che includono una breve frase e un collegamento (nella ultima campagna l’URL presentava frasi latine, considerato così un IoC della minaccia) per scaricare un file zip contenente un foglio di calcolo Excel dannoso. Il messaggio è lì per stimolare la vittima ad “abilitare il contenuto”, in quanto, è situazione comune, altrimenti le macro nel foglio di calcolo non verrebbero attivate. Ma come sappiamo, quello che non dovrebbe essere fatto verrà fatto. 

Così inizia la catena delle infezioni, ed il primo payload inizia a raccogliere da subito una ampia gamma di informazioni sul profilo delle macchine infette, compreso account utente e autorizzazioni, software istallati, servizi in esecuzione e altro. 

Finito il gathering, sempre il payload scarica dalle C2, per accrescere la potenza di fuoco, altri moduli malevoli (almeno tre). Questi vengono iniettati nel browser come DLL per differenti finalità: uno per il furto delle password nelle pagine del web, uno per la scansione della rete (e raccogliere informazioni sulle macchine nel perimetro), e l’ultimo per identificare i server di posta elettronica SMTP e provarne la connessione, con il conseguente invio di spam. 

La struttura Qakbot è stata sempre modulare, e, sul cuore principale dedito al furto di credenziali e altre informazioni, da sempre ha acquisito tante altre funzionalità: spiare operazioni finanziarie, diffondere e