lunedì 27 maggio 2013

Minacce IT, l'evoluzione nel Q1 2013: nuovi incidenti e vecchi sospetti


Nell’ultimo report, gli esperti di Kaspersky Lab hanno analizzato lo sviluppo delle minacce IT nel primo trimestre del 2013. I primi tre mesi dell'anno sono stati caratterizzati da vari incidenti, legati principalmente a spionaggio e armi informatiche. All'inizio dell'anno Kaspersky Lab ha pubblicato un report che analizzava una serie di operazioni globali di spionaggio informatico, Ottobre Rosso. Questi attacchi mirati colpivano agenzie governative, organizzazioni diplomatiche e aziende in tutto il mondo. 

Oltre a colpire le workstation, Ottobre Rosso era anche in grado di sottrarre dati dai dispositivi mobile, dalle apparecchiature di rete, dai file archiviati nei drive USB, dagli archivi di posta da Outlook e dai server remoti POP/IMAP ed estrarre i file dal server locale FTP in Internet. A febbraio venne individuato un nuovo programma nocivo, nominato MiniDuke, che è riuscito a penetrare nei sistemi grazie alla vulnerabilità 0-day presente in Adobe Reader (CVE-2013-0640). 

Kaspersky Lab, insieme alla società ungherese CrySys Lab, ha condotto un’indagine sulla tipologia di incidenti che coinvolgevano questo malware. Le vittime colpite da MiniDuke erano agenzie governative presenti in Ucraina, Belgio, Portogallo, Romania, Repubblica Ceca e Irlanda, un’organizzazione di ricerca e un istituto di ricerca in Ungheria, due centri di ricerca scientifica e una struttura medica negli Stati Uniti. In totale, ha rilevato 59 vittime in 23 paesi. A febbraio è stato anche pubblicato da Mediant un report su una serie di attacchi lanciati da un gruppo di hacker cinesi denominati APT1

Mediant ha dichiarato che l’autore con ogni probabilità era una divisione dell’esercito cinese. Questa non è la prima volta che Pechino viene accusata di complicità in attacchi informatici contro agenzie governative e organizzazioni di altri paesi. Alla fine di febbraio, Symantec ha pubblicato uno studio su una “vecchia” versione di Stuxnet identificata recentemente, Stuxnet 0.5, che si è rivelata essere la più antica versione del worm che fu attivo tra il 2007 e il 2009. Gli esperti hanno dichiarato che sono ancora in circolazione le versioni precedenti del worm, ma che questa rappresenta la prima prova concreta.  


“Nel primo trimestre del 2013 si sono verificati un gran numero di incidenti legati allo spionaggio informatico e alle armi informatiche. Gli incidenti che richiedono mesi di indagini sono rari nel settore antivirus. Ancora più rari sono gli eventi che mantengono una certa gravità anche tre anni dopo essersi manifestati, come ad esempio Stuxnet”, ha dichiarato Dennis Maslennikov, Senior Malware Analyst di Kaspersky Lab.

“Anche se questo worm è stato studiato da numerosi produttori di antivirus, sono ancora presenti numerosi moduli che non sono stati studiati nel dettaglio. Lo studio relativo alla versione 0.5 di Stuxnet ha fornito molte informazioni sui programmi nocivi in generale. In futuro, è probabile che verranno raccolte ancora più informazioni. Lo stesso vale per le armi informatiche individuate dopo Stuxnet, così come il malware impiegato per lo spionaggio informatico”.

Nel primo trimestre del 2013  si sono verificati anche attacchi mirati contro tibetani e attivisti uiguri. Gli aggressori hanno utilizzato ogni strumento a loro disposizione per raggiungere i propri obiettivi, tra cui anche gli utenti Mac OS X, Windows e Android. Dal 2011 abbiamo assistito ad attacchi hacking di massa contro le aziende e alcune importanti perdite di dati per gli utenti. Per i criminali informatici le grandi aziende sono sempre un obiettivo di grande interesse, perché hanno a disposizione una grande quantità di dati riservati, comprese le informazioni degli utenti.

Nel primo trimestre del 2013 le vittime più colpite sono stati gli utenti di Apple, Facebook, Twitter, Evernote. Il primo trimestre del 2013 è stato anche caratterizzato da numerose minacce mobile. Gennaio è stato un mese abbastanza tranquillo per gli autori di virus mobile, ma nei mesi successivi Kaspersky Lab ha rilevato più di 20.000 nuove versioni di malware mobile, il che equivale a circa la metà di tutti i campioni di malware rilevati durante il 2012. Ci sono stati anche dei cambiamenti nella geografia delle minacce.


Questa volta, la Russia (19%, con -6 punti percentuali) e gli Stati Uniti (25%, con +3 punti percentuali) ancora una volta si sono posizionati ai nei primi posti in termini di servizi di hosting nocivi. Gli Stati Uniti si sono aggiudicati la prima posizione, mentre le percentuali degli altri paesi sono rimaste più o meno invariate rispetto al quarto trimestre del 2012. La valutazione delle vulnerabilità più diffuse non ha subito grandi variazioni.

Le vulnerabilità di Java sono ancora le più diffuse, rilevate sul 45,26% di tutti i computer. In media, gli esperti di Kaspersky hanno contato otto diverse violazioni su ogni macchina vulnerabile. E' stata determinata da Kaspersky Lab la ripartizione per singoli paesi delle quote percentuali di utenti del Kaspersky Security Network sui computer dei quali, nel corso del primo trimestre del 2013, sono stati bloccati tentativi di infezione informatica di natura «locale».

Le cifre ricavate dalle elaborazioni statistiche eseguite dagli esperti di Kaspersky Lab riflettono pertanto i valori medi relativi al rischio di contaminazione «locale» esistente sui computer degli utenti nei vari paesi del globo. La graduatoria stilata si riferisce esclusivamente a quei paesi in cui, al momento attuale, si contano oltre 10.000 utenti delle soluzioni anti-virus di Kaspersky Lab.

In media, nel 31,4% del totale complessivo dei computer facenti parte del Kaspersky Security Network (KSN) - in pratica in un computer su tre - è stato individuato perlomeno una volta un file dannoso, residente nel disco rigido o in supporti rimovibili collegati al computer; tale valore ha fatto registrare una diminuzione dello 0,8% rispetto all’analogo indice riscontrato nel trimestre precedente. Per leggere il report completo sull’evoluzione delle minacce nel primo trimestre 2013 visitare il sito securelist.com

domenica 26 maggio 2013

Security Summit: a Roma si parla di cybercrimine e incidenti informatici


Agenda Digitale, Pubblica Amministrazione, Difesa, PMI e Telecomunicazioni: queste le principali aree tematiche che contraddistinguono l’edizione romana in programma il 5 e 6 giugno. Si svolge il 5 e 6 giugno presso SGM Conference Center l'edizione romana del Security Summit, la manifestazione dedicata alla sicurezza delle informazioni, delle reti e dei sistemi informatici, promossa da Clusit (www.clusit.it), la principale associazione italiana del settore. L'evento assume particolare rilievo dopo il recente attacco di Anonymous al sito del Siulp, il sito del più grande sindacato italiano di polizia.

Due giorni densi di seminari, atelier tecnologici, tavole rotonde per affrontare i temi di più stretta attualità della Information Security con relatori di primo piano: docenti universitari, consulenti e uomini di impresa. La giornata di apertura prevede una Tavola Rotonda dal titolo «La sicurezza ICT e le proposte per l’Agenda Digitale e l’innovazione in Italia». Il tema sarà quello della sicurezza ICT in Italia partendo dal Rapporto Clusit 2013, prodotto da Clusit e Security Summit sulla situazione della sicurezza ICT nel nostro Paese, e passando alle iniziative dell'Agenda Digitale e alle priorità per 2013 e 2014. 



La Tavola Rotonda vedrà la partecipazione, oltre che di alcuni esperti del settore, dei vertici delle Istituzioni italiane di riferimento su Agenda Digitale, Contrasto al Cyber Crime, Protezione dei Dati Personali. Sarà analizzato il tema della protezione delle informazioni e della sicurezza della rete, con particolare rilevanza per le principali minacce e le iniziative atte a proteggere aziende e utenti finali. Come di consueto, l’appuntamento prevede momenti di approfondimento di elevata qualità e occasioni di aggiornamento professionale su tecnologie e soluzioni attraverso sessioni formative e percorsi professionali.

Numerose le tematiche affrontate: la sicurezza ICT e le proposte per l'Agenda Digitale e l'innovazione in Italia, Agenda Digitale e sicurezza delle informazioni per le Pubbliche Amministrazioni Centrali, Cybercrime, Cyber Intelligence, Cyber Warfare, Access Governance, Fraud Management, Sicurezza dei Datacenter nel Cloud, Sicurezza & Big Data, Data Security Analitycs, Security & Compliance Governance Process Outourcing, Computer Forensics, Infrastrutture Critiche, Social Media, Mobile Security, sicurezza delle applicazioni nel Cloud, Security Operations Center, la gestione dei dati di traffico telefonico e telematico da parte delle Telco, la sicurezza delle informazioni nel settore Difesa, la strategia europea per la cybersecurity, il nuovo Regolamento Europeo sulla Privacy.

Oggi, il 72% degli utenti di Internet[1] sono preoccupati di dar via troppi dati personali. Sentono di non possedere un controllo completo dei propri dati. L'affievolimento della fiducia nei servizi on-line e strumenti frena la crescita dell'economia digitale e il mercato unico digitale europeo. Per risolvere questi problemi, la Commissione europea ha proposto, il 25 gennaio 2012, una riforma globale delle norme sulla protezione dei dati dell'UE 1995 per rafforzare i diritti della privacy on line e stimolare l'economia digitale europea.



Le proposte della Commissione aggiornano e modernizzano i principi sanciti dalla direttiva sulla protezione dei dati del 1995 per portarli nell'era digitale. Essi comprendono una proposta di regolamento che definisce un quadro comunitario generale per la protezione dei dati e di una proposta di direttiva sulla protezione dei dati personali trattati a fini di prevenzione, indagine, accertamento o perseguimento dei reati e delle attività giudiziarie connesse (IP/12/46, MEMO/12/41 e IP/13/57).

Al termine della prima giornata, si terrà l'Hacking Film Festival, rassegna dedicata a lungometraggi e filmati indipendenti sul tema dell'hacking e della (in)sicurezza, commentati e analizzati da esperti del settore. Il Festival nasce all’interno del progetto Security Summit, il convegno di due giorni dedicato alla sicurezza informatica, organizzato da Clusit, la principale associazione italiana che riunisce gli esperti sulla sicurezza informatica. Tutti gli appuntamenti del Security Summit sono a partecipazione gratuita previa registrazione sul sito www.securitysummit.it



lunedì 20 maggio 2013

Blitz della Polizia contro Anonymous e gli hacker passano al contrattacco


Il sito internet del tribunale di Roma è stato hackerato oggi e reso irraggiungibile. L'attacco, rivendicato da Anonymous Italia, ha tutte le caratteristiche di una vendetta, dopo gli arresti domiciliari di venerdì scorso ai danni di quattro presunti hacker. L'operazione che ha portato agli arresti si chiama "Tango Down" ed è stata condotta dagli uomini del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche della Polizia postale.

I quattro arrestati dalla polizia postale farebbero parte del gruppo di Anonymous che avrebbe attaccato anche i siti di Vaticano, governo, Banca d'Italia, Polizia postale e Carabinieri. Dopo aver compiuto gli attacchi, gli hacker offrivano alle vittime consulenza informatica per riparare i danni che loro stessi avevano creato. E' uno degli aspetti emersi nel corso dell’inchiesta avviata nel 2011 a seguito di alcuni attacchi informatici compiuti con la sigla Anonymous.

Gli agenti della Polizia Postale, diretti da Ivan Gabrielli, sono risaliti ai responsabili dopo aver analizzato piccole tracce che avevano lasciato in rete.  Il gruppo infatti si scambiava le comunicazioni attraverso chat private e blog. Per navigare utilizzava sistemi di anonimato riuscendo a ottenere indirizzi noti con l'acronimo di IP del tutto nulli che hanno reso più difficile l'indagine.

A loro carico, nel corso dell'indagine, sono stati acquisiti concreti e inequivocabili elementi probatori che hanno permesso  di ricostruire un complesso scenario criminale  in cui gli indagati erano soliti muoversi per portare a termine ripetuti attacchi informatici ai sistemi di numerose amministrazioni pubbliche ed aziende private, dalle quali venivano illecitamente carpite credenziali di autenticazione (userid e password) ed altre informazioni sensibili, successivamente pubblicate sul web.


La Polizia Postale ha riassunto le modalità messe in atto dai membri dell'associazione per compiere i diversi attacchi in danno dei sistemi informatici. Il primo passo consisteva nella scelta del target, più o meno in linea con le eventuali motivazioni del movimento. Spesso però in una sorta di vera e propria "inversione metodologica" venivano prima selezionati gli obiettivi in virtù delle rilevate vulnerabilità, individuati con vere e proprie attività di ricerca a tappeto e sui quali autonomamente erano avviate attività di information gathering.

Solo successivamente veniva scelta una motivazione ad hoc in linea con le istanze del movimento, che in un certo qual modo giustificassero la rivendicazione dell’attacco. Successivamente, attraverso chat private  IRC, il cui accesso è riservato soltanto ai consociati, veniva organizzato l’attacco nelle sue modalità tecniche e predisposta la relativa rivendicazione da pubblicare successivamente in rete.

Il tipo di vulnerabilità che hanno tentato di sfruttare sin da subito al fine di accedere abusivamente ai sistemi informatici è la cosiddetta SQL Injection, per la cui ricerca venivano utilizzati  tool automatici quali Havij, Kerinci, Acunetix, Nikto, ecc.. Questo tipo di vulnerabilità, se presente all'interno della pagina web obiettivo, consente all'attaccante di sottrarre informazioni sensibili memorizzate sul database preposto alla gestione dei contenuti del sito.

In gergo, l'attaccante effettua un dump dei nomi delle tabelle del database e subito dopo il dump del contenuto di ogni singola tabella. Generalmente, tra le tabelle del database è presente anche una tabella contenente gli username e le password, che consente di regolamentare l’accesso degli utenti ai contenuti del sito. Una volta entrati in possesso delle credenziali, si procede quindi a decifrare la password degli utenti che hanno più diritti, ovvero degli utenti amministratori che hanno il controllo completo della gestione del database e del sito web.

In questo modo si riesce ad avere accesso ad aree riservate del server web e ad inviare, modificare o cancellare file. Qualora tale possibilità fosse preclusa, ovvero se non si riuscisse a decifrare le password di accesso degli utenti con i diritti di amministrazione, si tenta con altre tecniche di attacco, di inviare file di comando verso il server web. Tali file consistono in software chiamate in gergo tecnico shell, programmati in linguaggio PHP che contattate attraverso un comune browser web, consentono di avere il controllo completo della macchina attaccata.


Il passo successivo consiste, ove possibile, nel sostituire la homepage del sito, effettuando quello che in gergo è chiamato defacement, cancellando, in alcuni casi, le tracce delle attività illecite portate a compimento. Segue poi la documentazione di ogni singolo passo dell'attacco, utile per la successiva pubblicazione in internet della rivendicazione, corredata dai dati sottratti compreso, l'elenco degli utenti del sito stesso, il tutto accompagnato da un vero e proprio comunicato con l’indicazione delle prove dell’attacco ovvero dei link a cui è possibile accedere per visionare o scaricare i dati sottratti.

Tali informazioni, generalmente, vengono scritte in dei PAD (Portable Application Description), alcuni dei quali rimangono privati e conosciuti solo ai membri del gruppo, altri vengono resi pubblici e resi generalmente accessibili. Le informazioni, quindi, sono condivise successivamente attraverso il web sia mediante account costruiti ad hoc sui principali social network, (tra i più utilizzati Twitter e Facebook), nonchè sul blog http://anon-news.blogspot.com.

Dall'esame dei file di log dei sistemi informatici attaccati e dal modus operandi del gruppo, se ne desume l’alto livello tecnico dei membri del sodalizio criminale. Un’altra tipologia di attacco informatico a cui gli indagati facevano ricorso è rappresentata dal cosiddetto DDos. Il DDos consiste nell'inviare molti pacchetti di richieste ad un sistema che fornisce un determinato servizio internet, ad esempio un sito web, saturandone le risorse fino a renderlo non più in grado di erogare il servizio stesso.

Il DDos presuppone l'utilizzo di numerose macchine attaccanti, per tale motivo spesso vengono utilizzate delle botnet, ovvero reti di dispositivi informatici collegati ad internet e infettati da malware, controllate da un’unica entità il "botmaster". Alcuni degli indagati detenevano il comando di alcune botnet, con migliaia di computer c.d. Zombie, che consentivano loro una smisurata "potenza di fuoco".

Uno degli hacker destinatario delle ordinanze di arresto era stato intervistato nel corso di un servizio della trasmissione Le Iene andato in onda il primo marzo del 2012. Nel l'intervista, dedicata proprio ad Anonymous e agli attacchi compiuti ad istituzioni italiane, il giovane con il volto coperto dalla maschera del personaggio del film "V per vendetta" asseriva di aver compiuto una intrusione informatica ai danni della società Vitrociset, azienda italiana che gestisce siti delle forze dell’ordine.

mercoledì 15 maggio 2013

Microsoft Patch day maggio, 10 aggiornamenti risolvono 33 vulnerabilità


Microsoft ha rilasciato 10 patch di sicurezza, che consentono di fissare un totale di 33 vulnerabilità. In tutto, due dei bollettini risolvono problemi di sicurezza "critici" mentre i rimanenti  sono "importanti". Il primo dei due bollettini critici riguarda una falla di sicurezza in Internet Explorer (versioni dalla 6 alla 10). Il secondo bollettino di grado critico è riferito ad una vulnerabilità in IE 8 scoperta questo mese. Incluse nelle patch vi sono otto importanti aggiornamenti per Windows, Office, Lync,. NET Framework, e Windows Essentials. Di seguito i bollettini sulla sicurezza di aprile in ordine di gravità.

MS13-037 - Aggiornamento cumulativo per la protezione di Internet Explorer (2829530). Questo aggiornamento per la protezione risolve undici vulnerabilità segnalate privatamente in Internet Explorer. Le più gravi vulnerabilità possono consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Un utente malintenzionato che riesca a sfruttare la più grave di queste vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

Questo aggiornamento per la protezione è considerato di livello critico per Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9 e Internet Explorer 10 su client Windows e di livello moderato per Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, e Internet Explorer 10 su server Windows. L'aggiornamento per la protezione risolve le vulnerabilità modificando il modo in cui Internet Explorer autorizza l'accesso ai dati di script e gestisce gli oggetti nella memoria. Vulnerabilità: CVE-2013-0811CVE-2013-1297CVE-2013-1306CVE-2013-1307CVE-2013-1308CVE-2013-1309CVE-2013-1310CVE-2013-1311CVE-2013-1312CVE-2013-1313CVE-2013-2551.

MS13-038 - Aggiornamento della protezione per Internet Explorer (2847204). Questo aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente relativa a Internet Explorer. La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Un utente malintenzionato che sfrutti questa vulnerabilità (CVE-2013-1347) può ottenere gli stessi diritti utente dell'utente corrente. 

Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. Questo aggiornamento per la protezione è considerato di livello critico per Internet Explorer 8 su client Windows e di livello moderato per Internet Explorer 8 sui server Windows. Questo aggiornamento della protezione non ha alcun livello di gravità di Internet Explorer 9.

Priorità degli aggiornamenti

MS13-039 - Una vulnerabilità in HTTP.sys può consentire attacchi di tipo Denial of Service (2829254). Questo aggiornamento importante per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Windows. La vulnerabilità (CVE-2013-1305) può consentire un attacco Denial of Service se un utente malintenzionato invia un pacchetto HTTP appositamente predisposta a un server Windows interessato o il client. 

MS13-040 - Alcune vulnerabilità in. NET Framework possono consentire attacchi di spoofing (2836440). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente (CVE-2013-1336) e una vulnerabilità divulgata pubblicamente (CVE-2013-1337) in .NET Framework. La più grave delle vulnerabilità può consentire lo spoofing se un applicazione. NET riceve un file XML appositamente predisposto. 

Un utente malintenzionato che riesca a sfruttare la vulnerabilità potrebbe modificare il contenuto di un file XML senza invalidare la firma del file e potrebbe ottenere l'accesso alle funzioni di endpoint, come se si trattasse di un utente autenticato. Questo aggiornamento per la protezione è considerato di livello importante per Microsoft. NET Framework 2.0 Service Pack 2, Microsoft. NET Framework 3.5, Microsoft. NET Framework 3.5.1, Microsoft. NET Framework 4, e Microsoft. NET Framework 4.5 su edizioni interessate di Microsoft Windows.

MS13-041 - Una vulnerabilità in Lync può consentire l'esecuzione di codice remoto (2834695). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente a Microsoft Lync. La vulnerabilità (CVE-2013-1302) può consentire l'esecuzione di codice in modalità remota se un utente malintenzionato azioni appositamente predisposto contenuto, ad esempio un file o un programma, come una presentazione in Lync o Communicator e poi convince un utente ad accettare un invito a visualizzare o condividere il contenuto presentabile. 

In tutti i casi, l'utente malintenzionato dovrebbe obbligare in qualche modo gli utenti a visualizzare o condividere il file o programma controllato dall'utente malintenzionato. Piuttosto, l'utente malintenzionato dovrebbe convincere gli utenti ad agire, in genere inducendole ad accettare un invito in Lync o Communicator per vedere o condividere il contenuto presentabile. Questo aggiornamento per la protezione è considerato di livello importante per le edizioni supportate di Microsoft Communicator 2007 R2, Microsoft Lync 2010, Microsoft Lync 2010 Attendee, e Microsoft Lync Server 2013. 

MS13-042 - Alcune vulnerabilità in Microsoft Publisher possono consentire l'esecuzione codice in modalità remota (2830397). Questo aggiornamento per la protezione risolve undici vulnerabilità segnalate privatamente in Microsoft Office. Le vulnerabilità possono consentire l'esecuzione di codice in modalità remota se un utente apre un file Publisher appositamente predisposto con una versione interessata di Microsoft Publisher. Un utente malintenzionato che sfrutti questa vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. 

Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. Questo aggiornamento per la protezione è considerato di livello importante per le edizioni supportate di Microsoft Publisher 2003, Microsoft Publisher 2007 e Microsoft Publisher 2010. Vulnerabilità: CVE-2013-1316CVE-2013-1317CVE-2013-1318CVE-2013-1319CVE-2013-1320CVE-2013-1321CVE-2013-1322CVE-2013-1323CVE-2013-1327CVE-2013-1328CVE-2013-1329.

MS13-043 - Una vulnerabilità in Microsoft Word può consentire l'esecuzione di codice in modalità remota (2830399). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Office. La vulnerabilità (CVE-2013-1335) può consentire l'esecuzione di codice se un utente apre un file appositamente predisposto o anteprime di un messaggio di posta elettronica appositamente predisposto in una versione interessata di Microsoft Office. 

Un utente malintenzionato che sfrutti questa vulnerabilità può ottenere gli stessi diritti utente dell'utente corrente. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. Questo aggiornamento per la protezione è considerato di livello importante per le edizioni supportate di Microsoft Word 2003 e Microsoft Word Viewer.

Aggregato di rischio e indice sfruttabilità

MS13-044 - Una vulnerabilità in Microsoft Visio può consentire l'intercettazione di informazioni personali (2834692). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Microsoft Office. La vulnerabilità (CVE-2013-1301) può consentire l'intercettazione di informazioni personali se un utente apre un file Visio appositamente predisposto. 

Si noti che questa vulnerabilità non consente a un utente malintenzionato di eseguire codice o di elevare direttamente diritti utente, ma può essere usato per produrre le informazioni che potrebbero essere utilizzati al fine di compromettere ulteriormente un sistema interessato. Questo aggiornamento per la protezione è considerato di livello importante per tutte le edizioni supportate di Microsoft Visio 2003, Microsoft Visio 2007 e Microsoft Visio 2010. L'aggiornamento per la protezione risolve la vulnerabilità correggendo il modo in cui il parser XML utilizzato da Visio risolve entità esterne all'interno di un file appositamente predisposto.

MS13-045 - Una vulnerabilità in Windows Essentials può consentire l'intercettazione di informazioni personali (2813707). Questo aggiornamento per la protezione risolve una vulnerabilità segnalata privatamente in Essentials di Windows. La vulnerabilità (CVE-2013-0096) può consentire l'intercettazione di informazioni personali se un utente apre Windows Writer utilizzando un URL appositamente predisposto. Un utente malintenzionato che riesca a sfruttare la vulnerabilità potrebbe ignorare le impostazioni proxy Writer Windows e sovrascrivere i file accessibili per l'utente sul sistema di destinazione. 

In uno scenario di attacco basato sul Web, un sito Web potrebbe contenere un collegamento appositamente predisposto per sfruttare questa vulnerabilità. Un utente malintenzionato dovrebbe convincere gli utenti a visitare il sito e aprire il collegamento appositamente predisposto. Questo aggiornamento per la protezione è considerato di livello importante per Windows Writer installato in tutte le edizioni supportate di Microsoft Windows. L'aggiornamento per la protezione risolve la vulnerabilità correggendo il modo in cui Windows gestisce i parametri URL di Writer. 

MS13-046 - Vulnerabilità nei driver in modalità kernel possono consentire l'acquisizione di privilegi più elevati (2840221). Questo aggiornamento per la protezione risolve tre vulnerabilità segnalate privatamente in Microsoft Windows. Le vulnerabilità (CVE-2013-1332, CVE-2013-1333, CVE-2013-1334) possono consentire l'elevazione dei privilegi se un utente malintenzionato accede al sistema ed esegue un'applicazione appositamente predisposta.

Un utente malintenzionato deve disporre di credenziali di accesso valide ed essere in grado di accedere in locale a sfruttare queste vulnerabilità. Questo aggiornamento per la protezione è considerato di livello importante per tutte le edizioni supportate di Windows XP, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, e Windows RT. 

Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente e installarle da Windows Update. A corollario, Microsoft ha rilasciato come di consueto una versione aggiornata dello strumento di rimozione malware giunto alla versione 4.20, per consentire l'eliminazione di software dannosi dai computer che eseguono Windows 8, Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 o Windows XP. Il prossimo appuntamento con il patch day è per martedì 11 giugno 2013.

Crediti Immagini: Blog Technet

sabato 11 maggio 2013

Cresce lo spam ad aprile: Cina e Usa sul podio secondo Kaspersky Lab


Secondo lo spam report di Kaspersky Lab, nel primo trimestre 2013 la quantità di posta indesiderata nel traffico email è cresciuta leggermente (+0,53%) con una media del 66,55%. L’aumento della percentuale di email con allegati nocivi è stata invece inferiore, raggiungendo il 3,3%, mentre la percentuale di email di phishing è scesa di 4,25 volte ovvero allo 0,0004%. Nel primo trimestre del 2013 gli spammer hanno ripreso ad utilizzare tecniche impiegate nel passato, ma che erano cadute in disuso. Questi hanno ripreso ad utilizzare un metodo molto diffuso nel passato: “white text”. 

Questo metodo comporta l'aggiunta di frammenti casuali di un testo (in questo trimestre si trattava di sezioni di notizie) nella posta elettronica. Queste parti di testo inserite sono scritte con un carattere di color grigio chiaro su uno sfondo grigio scuro e sono separate dal testo principale della pubblicità con numerose interruzioni di riga. I truffatori fanno affidamento sul fatto che i filtri antispam basati sui contenuti considerino queste email come newsletter, mentre l'utilizzo di frammenti casuali di notizie rendono ogni email unica e quindi difficile da rilevare. 

Gli spammer hanno anche esplorato le possibilità offerte dai servizi legali e ora stanno sfruttando questa opportunità per aggirare i filtri anti spam. Attualmente vengono utilizzati due metodi particolari. In primo luogo, gli spammer utilizzano un servizio di abbreviazione degli URL di Yahoo, elaborato successivamente in un altro link attraverso Google Translate. La combinazione di queste tecniche rende unico ogni link della mailing di massa e l'utilizzo dei due domini noti aggiunge "credibilità" ai link. 


Cliccando sul suddetto link, l’ignaro utente sarebbe incautamente giunto su un sito legittimo compromesso, da dove sarebbe stato poi rediretto verso un sito web nocivo, contenente del codice JavaScript offuscato. A questo punto, se il sistema operativo in uso presso la potenziale “vittima” avesse presentato determinati parametri, mediante l’utilizzo di un apposito exploit (rilevato proattivamente dalla protezione antivirus di Kaspersky Lab come HEUR:Exploit.Java.CVE-2012-0507.gen) sul computer dell’utente preso di mira sarebbe stato installato un insidioso programma malware.

Nel primo trimestre del 2013, sono avvenuti fatti di una certa rilevanza: la morte del presidente venezuelano Hugo Chavez, il Papa Bendetto XVI si dimette e viene eletto ufficialmente Papa Francesco. Come di consueto, notizie come queste non passano inosservate agli occhi degli spammer. Ci sono state molte mailing di massa che hanno ripreso notizie della BBC e della CNN e curiosità degli utenti che promettevano foto sensazionali e riprese video. Cina (24,3%) e Stati Uniti (17,7%) rimangono i distributori di spam più attivi. 

La Corea del Sud si posiziona terza con il 9,6% di tutto lo spam diffuso nel primo trimestre 2013. È interessante notare che lo spam proveniente da questi paesi si rivolge a diverse regioni: lo spam cinese viene inviato in Asia, mentre la posta indesiderata proveniente dagli Stati Uniti viene distribuita principalmente in Nord America. Nel frattempo i messaggi provenienti dalla Corea del Sud sono destinati all’Europa. 

Quota di spam nel traffico di posta elettronica nel Q1 2013
Lungo tutto l’arco del primo trimestre del 2013 si sono registrate significative oscillazioni riguardo alla quota di spam riscontrata settimanalmente all’interno dei flussi di posta elettronica; ad ogni caso, tale importante indice, attestatosi su un valore medio pari al 66,55% del volume totale dei messaggi e-mail circolanti in Rete, ha fatto complessivamente registrare un incremento dello 0,53% rispetto all'analoga quota percentuale rilevata nel trimestre precedente.

“Nel primo trimestre 2013, la percentuale di posta indesiderata nel traffico mail è cresciuta di mese in mese, anche se il dato medio è rimasto praticamente invariato rispetto al trimestre precedente. Ci aspettiamo che la quota di spam rimanga al livello attuale anche in futuro o che cresca leggermente a causa del recente aumento del numero di mailing di massa con miliardi di contatti", ha commentato Tatyana Shcherbakova, Senior Analyst Spam di Kaspersky Lab. 

“Gli spammer continuano ad attirare l'attenzione degli utenti sui loro messaggi: utilizzando nomi famosi, eventi o false notizie prese dai siti online più popolari. Molte email contengono link che rimandano a programmi nocivi, anche se provengono dai propri contatti. Vorremmo ancora una volta ricordare agli utenti di non cliccare sui link contenuti nelle email, anche se il mittente è una persona che si conosce. E' molto più sicuro inserire manualmente l'indirizzo nel browser". 

Fonti di spam per nazione nel 1 ° trimestre 2013

Nel primo trimestre del 2013, nelle posizioni di vertice della speciale graduatoria delle fonti dello spam mondiale, relativa ai paesi dal cui territorio sono state distribuite in Rete - verso tutti e cinque i continenti - le maggiori quantità di e-mail “spazzatura”, si sono nuovamente insediati Cina (24,3%) e Stati Uniti (17,7%). Il terzo gradino del podio “virtuale” è andato ad appannaggio della Corea del Sud; il paese dell’Estremo Oriente ha fatto peraltro complessivamente registrare una quota piuttosto elevata, pari a 9,6 punti percentuali.

E’ di particolare interesse rilevare come i messaggi di posta elettronica “spazzatura” diffusi dal territorio dei tre paesi sopra menzionati siano stati inoltrati verso le e-mail box degli utenti di regioni geografiche ben distinte tra loro: la maggior parte dello spam cinese è stato in effetti distribuito in Asia, mentre i messaggi e-mail indesiderati provenienti dagli USA sono risultati indirizzati prevalentemente verso gli stati del Nordamerica (al punto che la maggior parte di essi possono essere di fatto considerati alla stregua di spam “interno”).

Le e-mail “spazzatura” diffuse in Rete dal territorio della Corea del Sud, invece, hanno avuto quale principale bersaglio gli utenti ubicati sul continente europeo.  La versione completa dello spam report relativo al primo trimestre 2013 è disponibile su securelist.com http://www.securelist.com/en/analysis/204792291/Spam_in_Q1_2013

lunedì 6 maggio 2013

Kaspersky Lab protegge le macchine virtuali con nuovi sistemi di difesa


Kaspersky Lab ha presentato Kaspersky Security for Virtualization 2.0, l’ultima versione della soluzione di sicurezza per le macchine virtuali che utilizzano la piattaforma VMware. Grazie all’integrazione con le nuove funzioni in VMware vCloud Networking and Security, la nuova soluzione consente di offrire ulteriori funzionalità per rilevare e proteggere la rete dalle intrusioni. La protezione anti-malware del prodotto è stata significativamente migliorata grazie alle informazioni sulle minacce, fornite in tempo reale dal Kaspersky Security Network. L'architettura, look and feel e funzionalità tipiche di Kaspersky, e la suite di prodotti si comportano esattamente come ci si aspetterebbe.