Attacchi DDoS e Botnet
Disponibile il report di FortiNet Threat Landscape Report Q1 2018
FortiNet ha pubblicato il report Threat Landscape Q1 2018, che analizza dati raccolti tra gennaio e marzo 2018.
Dal report emerge che la maggior parte (55%) delle infezioni dovute a botnet dura meno di un giorno, il 18% meno di due giorni e solo meno del 5% più di una settimana, segno che le botnet sono sempre in costante evoluzione.
L’infezione dovuta alla botnet Mirai è quelle che dura più a lungo: in media 5 giorni e mezzo; ma è Ghost la botnet prevalente.
Nonostante siano state identificate 268 diverse botnet, il loro numero e la loro attività è in declino nel periodo analizzato; l’attività di crypto-jacking, cioè generazione di criptovalute, è quella principale.
Ransomware
Ransomware colpisce le iLO HP
Link notizia -> LINK
È stata individuato un malware- il ricercatore M. Shahpasandi è stato tra i primi - che attacca le iLO, le console di gestione remota dei server HP.
Il malware potrebbe essere un ransomware dal momento che chiede un riscatto, ma tecnicamente dovrebbe trattarsi di un attacco meno sofisticato portato a termine manualmente; in ogni caso, le interfacce iLO direttamente esposte in rete sono da considerarsi vulnerabili. Maggiori dettagli sono presenti in questo articolo di BleepingComputer.
Le iLO dovrebbero anzitutto essere aggiornate all’ultima versione, e in ogni caso non essere esposte in rete: la prassi comune è accedere tramite VPN sicura.
Disponibili nuovi strumenti di decifrazione per diversi ransomware
Se da una parte il mondo dei ransomware ogni mese vede nuove minacce, è anche vero che grazie al lavoro di volontari e ricercatori vengono sviluppati strumenti per decifrare i dati cifrati dai ransomware: se non si hanno dei backup pronti da ripristinare, il consiglio è di conservare i file cifrati in attesa di un tool apposito.
L’instancabile Michael Gillespie ha rilasciato uno strumento per CryptConsole (contattare il ricercatore), SepSis, Everbe (sviluppato con Maxime Meignan); la polacca CERT Polksa ha rilasciato uno strumento per Vortex, Sigrun consente di decifrare i dati attaccati, ma solo per gli utenti russi, seguendo uno schema che si sta diffondendo tra i ransomware russi (ossia di non fare danni in Russia, in modo da evitare sanzioni e persecuzioni penali).
La pagina dedicata del progetto NoMoreRansom rimane il punto di riferimento, e il servizio Ransomware ID di MalwareHunter Team permette di identificare quale ransomware ha cifrato i vostri file tra i 500 in catalogo.
Vulnerabilità
Alcuni prodotti server SuperMicro sono vulnerabili
I ricercatori Eclypsium hanno scoperto che alcuni prodotti SuperMicro contengono delle vulnerabilità nel firmware facilmente sfruttabili che li espongono ad attacchi.
Una prima falla di sicurezza è causata dal “Region Descriptor”, che serve ai processori Intel per funzionare: dei permessi impostati non correttamente consentono al software del descrittore di venir eseguito direttamente dal processore; un malware con permessi amministrativi può agire su questo ed arrivare direttamente al processore.
Un’altra falla risiede nel meccanismo di aggiornamento dello UEFI, che richiede di poter scrivere temporaneamente il firmware; anche in questo caso le impostazioni di sicurezza sono permissive e consentono ad aggiornamenti non autenticati di essere eseguiti. Inoltre non è presente un meccanismo di rollback degli aggiornamenti che consente di “annullare” l’update se questo è più vecchio della versione precedente (un vecchio update può contenere quelle modifiche necessarie per sfruttare le vulnerabilità).
Il framework CHIPSEC consente, con un semplice comando (nella fattispecie, chipsec_main -m common.spi_access) di capire se il firmware del proprio server è protetto o meno.
SuperMicro sta collaborando attivamente con il team Eclypsium, e sono già disponibili degli update per alcuni prodotti.
Vulnerabilità consente di loggarsi su iLO HP
È stato recentemente pubblicato un paper che sfrutta la vulnerabilità CVE-2017-12542 e consente di guadagnare con estrema facilità (basta il comando cURL e 29 ‘A’ per l’autenticazione) l’accesso alla console senza autorizzazione ed ottenere dati sugli utenti presenti; tutte le iLO accessibili dalla Rete sono da considerarsi a rischio.
Solo la versione 4 è affetta dalla vulnerabilità, si consiglia di aggiornare ad una versione con firmware 2.54 o superiore. Le versioni 3 e 5 non sono soggette.
News dai vendor
Chrome 67 è ora disponibile
Chrome si aggiorna e arriva alla versione 67, in attesa della 68 in uscita a breve, che conterrà importanti novità sul trattamento dei siti senza certificato SSL.
Una delle maggiori novità sono le API per sensori generici che, come lascia intendere il nome, consentono ai siti di utilizzare i sensori dei dispositivi, in particolare (mobile devices) giroscopio, accelerometro, sensori di orientamento e movimento. Anche le API WebXR Device sono nuove, e consentono di utilizzare Chrome in ambito VR con headset come Oculus Rift e simili.
Lato sicurezza, oltre a 34 bugfix, continua la diffusione di Strict Site Isolation che consente di mitigare i rischi di Spectre.
Office365 non supporterà più Flash, Shockwave e Silverlight
Microsoft annuncia la cessazione del supporto a Flash, Shockwave e Silverlight.
Il blocco avverrà a gennaio 2019 e riguarderà solo gli abbonamenti Office365, ma non le singole installazioni di Office 2016, Office 2013 e Office 2010.
Le ragioni di ciò sono la data di EOL per Flash (2020) e i rischi posti da queste tecnologie obsolete e fallaci.
Tuesday Patch di Microsoft
Come ogni secondo martedì del mese, Microsoft ha rilasciato il pacchetto cumulativo di aggiornamenti per sistemi Windows noto come Patch Tuesday. Viene installato automaticamente se gli aggiornamenti automatici sono abilitati, altrimenti è disponibile tramite Windows Update.
Tra i 53 problemi sistemati ion 15 diversi prodotti, citiamo quelli relativi a Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office e Microsoft Office Services and Web Apps, ChakraCore, Adobe Flash Player, .NET Framework, ASP.NET, Skype for Business e Visual Studio.
In nessun caso le vulnerabilità sono state in precedenza sfruttate per attacchi.
Questo post del blog GFI riassume bene gli aggiornamenti contenuti nel Patch Tuesday.
È possibile selezionare i singoli pacchetti di aggiornamento e trovare ulteriori informazioni sulle patch tramite la Security Update Guide.