mercoledì 21 maggio 2014

Kaspersky Lab lancia nuova soluzione di sicurezza virtuale Light Agent


Kaspersky Lab annuncia una nuova soluzione di sicurezza nel campo della virtualizzazione, che offre una protezione avanzata per le piattaforme virtuali VMware, Citrix e Microsoft. Kaspersky Security For Virtualization - Light Agent si aggiunge alla già esistente soluzione di sicurezza agentless per la virtualizzazione di Kaspersky Lab, leader nel settore, per gli utenti VMware e vSphere, che continuerà ad essere offerta con il nome di Kaspersky Security for Virtualization - Agentless.

La nuova tecnologia light agent è la prima soluzione di sicurezza di Kaspersky Lab ottimizzata per i clienti di Microsoft Hyper-V e Citrix XenServer e fornirà ai clienti VMware la possibilità di scegliere tra la protezione agentless o light agent. La soluzione light agent di Kaspersky Lab offre il "meglio dei due mondi" oltre ai modelli di sicurezza virtuale agentless già esistenti o quelli agent-based. 

I dati in breve
• Kaspersky Security for Virtualization | Light Agent è la prima soluzione di Kaspersky Lab specificamente progettata per le piattaforme di virtualizzazione Citrix e Microsoft
• Sia il nuovo Light Agent che la soluzione già esistente Agentless saranno offerte ai clienti attraverso l’acquisto di una singola licenza del prodotto Kaspersky Security for Virtualization
• La nuova soluzione Light Agent di Kaspersky Lab offre funzioni di sicurezza aggiuntive, tra cui i controlli degli applicativi e l'applicazione delle policy di utilizzo del web per ambienti virtuali
• Il prodotto Kaspersky Security for Virtualization sarà offerto in pacchetti di licenze flessibili, rendendo più facile alle aziende in crescita la possibilità di rendere sicuri i futuri sviluppi

I vantaggi delle performance del Light Agent
Costruire e mantenere una rete virtuale richiede software specializzati e competenze che differiscono notevolmente dagli strumenti e dalla formazione necessaria per gestire una rete fisica di endpoint e di server. Troppo spesso però, le aziende utilizzano il software di sicurezza pensato per le macchine fisiche per la loro rete virtuale con conseguenze negative. Nella migliore delle ipotesi questa protezione "agent-based" porta ad uno spreco di risorse informatiche - problematica a cui cerca di dare una soluzione la virtualizzazione - e può ridurre il rapporto di consolidamento di macchine virtuali e il ROI globale di un progetto di virtualizzazione. 

Mentre gli utenti lamentano un rallentamento delle prestazioni sui loro desktop virtuali, non sanno che nella rete si nasconde una vera e propria minaccia per le macchine virtuali, un "Instant On Gap". Ovvero una finestra di tempo che si crea dopo che una macchina virtuale è stata creata e prima che gli ultimi aggiornamenti di sicurezza vengano scaricati dall'agente di sicurezza su ogni macchina virtuale.

Mentre questi aggiornamenti vengono elaborati, la macchina virtuale è vulnerabile e la durata della vulnerabilità varia a seconda del numero di utenti che stanno scaricando contemporaneamente gli aggiornamenti sulle singole VM e dei giorni necessari all’elaborazione degli stessi. Mentre questo processo di aggiornamento dei database di sicurezza sui desktop virtuali va avanti, le risorse dei server virtuali risulteranno “stanche” con conseguenti scarse prestazioni della rete e un minor rendimento degli investimenti di virtualizzazione della società. Kaspersky Security for Virtualization | Light Agent offre dei benefici che garantiscono diversi vantaggi rispetto all’approccio tradizionale agent-based. 

Nel modello light agent, quasi tutti i processi di sicurezza ad alta intensità di risorse vengono eseguiti da un dispositivo virtuale dedicato ad un livello di hypervisor. Incanalando il traffico di rete virtualizzato e i file attraverso questo dispositivo aggiornato, le VM sono completamente protette da aggiornamenti di sicurezza nello stesso istante in cui questi vengono creati e questo fa si che non sia più necessario produrre, per ogni VM, copie ridondanti di database anti-malware attraverso la rete. La scansione intelligente di Kaspersky Lab garantisce anche che lo stesso file non venga analizzato più volte, liberando le risorse aggiuntive di sistema.


Vantaggi della protezione Light Agent 
L’approccio light agent oltre ad offrire prestazioni migliori rispetto ad un approccio "agent-based", offre anche una maggiore protezione di sicurezza rispetto ad un modello "agentless". I modelli di sicurezza agentless, a livello di prestazioni, offrono il vantaggio di far svolgere il 100% delle attività di sicurezza alla macchina virtuale e ad un dispositivo virtuale dedicato, ma questo, allo stesso tempo, limita la capacità del software di eseguire attività di gestione di sicurezza avanzate e di protezione della rete sugli endpoint virtuali.

Un sistema di sicurezza agentless protegge efficacemente l'attività basata su file ma non può garantire protezione contro i nuovi malware del web, come i worm o le altre minacce avanzate in grado di penetrare i processi del sistema degli endpoint virtuali e diffondersi attraverso una rete. Questo dimostra come un approccio light agent sia in grado di fornire l'equilibrio ideale tra prestazioni e protezione. 

Kaspersky Security for Virtualization - Light Agent include un piccolo software agent su ogni macchina virtuale, molto diverso dai software di risorse monopolizzati che si trovano nel modello tradizionale agent-based. Questo piccolo agente consente grandi funzionalità di sicurezza, consentendo al Kaspersky Security for Virtualization - Light Agent di disporre di tutte le competenze nel campo della sicurezza di cui dispone Kaspersky Lab per il controllo di una rete virtuale, e la possibilità di essere distribuito senza la necessità di riavviare. Le tecnologie di protezione avanzate messe a disposizione da una soluzione light agent comprendono:

• Controlli sugli applicativi
• Controlli del dispositivo
• Policy di utilizzo del web
• Host-based Intrusion Prevention Systems (HIPS) e Firewall 

Kaspersky Security for Virtualization | Light Agent include anche tutte le funzionalità di sicurezza presenti nella soluzione agentless di Kaspersky Lab, compresa l'analisi euristica dei file e la cloud-assisted intelligence tramite il Kaspersky Security Network per le informazioni in tempo reale sulle minacce emergenti e le applicazioni dannose. Kaspersky Lab continuerà ad offrire Kaspersky Security for Virtualization | Agentless - attualmente disponibile solo per gli ambienti VMware - come soluzione efficace per i data center, i server che non accedono a Internet e quelle situazioni in cui la protezione automatica di ogni nuova VM sono di primaria importanza. 

"Spinti dalla ricerca dei nostri esperti di sicurezza la nostra missione è quella di educare le imprese sui possibili rischi della sicurezza virtuale e fornire delle valide opzioni per proteggere la propria rete" ", ha dichiarato Nikolay Grebennikov, Chief Technology Officer di Kaspersky Lab ."Non c'è soluzione che vada bene per tutte le reti, per questo Kaspersky Lab offre una combinazione di opzioni di sicurezza valide per le tre principali piattaforme virtuali del mondo cosi che i nostri clienti siano protetti e allo stesso tempo ottengano il massimo dai loro investimenti di virtualizzazione." 

Maggiori dettagli su Kaspersky Security for Virtualization | Light Agent, sono disponibili su B2B Security Blog

Gestione e Licenze
I prodotti per la sicurezza virtuale di Kaspersky Lab offrono una combinazione di tecnologie e sicurezza oltre che una facilità di gestione della piattaforma che nessun altro fornitore riesce a garantire. Utilizzando la console di amministrazione di Kaspersky Security Center, Kaspersky Security for Virtualization, si può gestire dalla stessa interfaccia delle soluzioni di sicurezza di Kaspersky Lab per le macchine fisiche.

Questo dà ai responsabili IT una visione completa sia della rete fisica che di quella virtuale per la gestione delle sfide alla sicurezza e delle attività quotidiane di amministrazione, senza la necessità di alternare diverse interfacce. Sia tramite Kaspersky Security for Virtualization | Agentless che tramite Kaspersky Security for Virtualization | Light Agent - o la combinazione di entrambe le applicazioni - i responsabili IT possono controllare la soluzione di sicurezza Kaspersky Lab da una console di gestione realmente unificata e gestire facilmente qualsiasi migrazione da fisico a virtuale, o da una piattaforma virtuale ad un’altra. 

Kaspersky Lab offre una licenza unificata per i suoi prodotti di sicurezza dedicati alla virtualizzazione, così le aziende che acquistano una licenza per Kaspersky Security for Virtualization avranno accesso ad entrambi i modelli Kaspersky Security for Virtualization | Agentless e Kaspersky Security for Virtualization | Light Agent. Le opzioni di licenza flessibili consentono alle aziende di acquistare licenze "per virtual machine" - che necessitano di conoscere l'esatta quantità di server virtuali e le licenze desktop necessarie - o "per core", in base al numero di core CPU nell'hardware di virtualizzazione del cliente, che permette alle imprese di espandere la propria rete, qualora fosse necessario.   

Requisiti di sistema
Kaspersky Security for Virtualization | Light Agent opera sul VMware ESXi 5.1 e gli hypervisor 5.5; hypervisor Microsoft Hyper-V Server 2008 R2 / 2012 e hypervisor Citrix XenServer 6.0.2 / 6.1. Un elenco completo dei sistemi operativi supportati per tipo di hypervisor, è disponibile visitando la pagina dedicata al prodotto Kaspersky Security for Virtualization | Light Agent. Fonte: Kaspersky



martedì 20 maggio 2014

Italia è seconda in Europa per numero di attacchi malware finanziari


L'Italia è seconda in Europa per numero di attacchi finanziari. Nel 2013 il numero di malware di questo tipo è aumentato del 20,49% rispetto all'anno precedente. Secondo il "Financial cyber threats 2013", uno studio condotto da Kaspersky Lab, i cybercriminali puntano sempre più ad accedere ai conti online degli utenti. L'anno scorso, infatti, il numero di attacchi informatici preposti al furto di dati finanziari è aumentato del 27,6% rispetto al 2012 raggiungendo i 28 milioni di attacchi.

Operazione mondiale contro Blackshades, pc zombie per rubare dati


Una serie di Botnet, ovvero reti di pc zombie che, all'insaputa dei legittimi proprietari, venivano utilizzate per compiere attacchi informatici e rubare informazioni e dati sensibili. E' la scoperta fatta dai cyber-detective del Servizio polizia postale e delle comunicazioni (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche), che a conclusione dell'operazione denominata "blackshades" - dal nome del malware usato per propagare l'infezione - hanno identificato e denunciato a piede libero 13 hacker, "tutte persone altamente preparate dal punto di vista tecnico-informatico".

venerdì 16 maggio 2014

Truffa su Facebook attraverso tag da amici porta a falso plugin Flash


Gli spammer trovano sempre dei nuovi metodi o li aggiornano per diffondere il loro scam su Facebook. Adobe ha appena rilasciato degli importanti aggiornamenti per il suo plugin Flash Player e gli spammer sul social network non hanno perso tempo a raccogliere l'opportunità per sfruttare la situazione. In particolare, una un pericoloso scam, presumibilmente di origine turca, in cui si invita ad aggiornare proprio il Flash Player si sta diffondendo attraverso tag. Potrebbe accadere infatti di essere taggati da un amico in un commento su un post o status condiviso da una pagina. 

Nel post individuato da Protezione Account, si legge in particolare: "The teacher raped ! Without the consent of the girl he raped her without mercy ! Family teacher was put into a coma ! ( Strictly follow ) [link rimosso] My friends and tag everyone, not such things." che tradotto: "L'insegnante violentata! Senza il consenso della ragazza che l'ha violentata senza pietà!  Insegnante di Famiglia è stata messo in coma! (Strictly seguire) [link rimosso] I miei amici e taggate tutti, non queste cose."


Se si clicca sullo short link si viene rimandati ad una pagina esterna a Facebook dove per poter vedere il presunto video si viene invitati a installare un falso plugin Flash Player per Chrome. La particolarità della truffa sta nel fatto che con qualsiasi browser si apra il sito si è obbligati a scaricare l'estensione rogue per il browser di Google. Questo perchè la truffa è veicolata solo attraverso il noto browser.


Ovviamente non esiste alcun presunto video dell'insegnante "violentata". La truffa fa probabilmente riferimento ad una delle tante notizie "vere" che girano nel Web http://goo.gl/vnENES su violenze sessuali accadute in alcune scuole o quella sull'insegnante di matematica di un liceo di Tacoma, nello stato di Washington, che è stata arrestata per sesso e video hot che inviava ai suoi studenti. 


In realtà non viene installato alcun Flash Player ma un plugin malware che effettua delle operazioni automatiche attraverso codici Javascript per nome e per conto dell'utente che lo ha installato. In questo caso dei tag a commento in cui vengono citati un certo numero di amici (oltre la venti amici e l'azione viene ripetuta nel tempo). 


Come nella gran parte delle truffe diffuse su Facebook, gli autori dello scam fanno leva sulla curiosità dell'utente e sul fatto che il tag proviene da un amico presumibilmente "fidato". In 15 ore il post ha raccolto ben oltre 1 milione di commenti ed il sistema di sicurezza antispam di Facebook ha individuato e neutralizzato la truffa, ma la pagina sul social network ed il sito sono ancora online. Inoltre, sul Play Store al momento è ancora attiva, dato che il plugin malware risiede proprio sul negozio online di Google.


Non viene fornito alcun screenshot ma nella descrizione dell'estensione si legge: SmartVideo fornisce un migliore controllo sulle opzioni buffering di YouTube opzioni, qualità e gioco. Caratteristiche: 1 .Funziona con tutti i video di YouTube embedded/HTML5. Che si tratti di un video sul news feed di Facebook o un video direttamente dal sito YouTube . 2. Con preferenze globali, tutti i video di YouTube possono essere impostati per iniziare a vostra scelta non appena viene caricata la pagina (...)".

"(...) Lasciate SmartVideo decidere quando è bene iniziare a giocare. Lo 'smart buffer' di SmartVideo  decide la percentuale di buffer in base alla velocità di download in corso. O semplicemente fare i video di YouTube per avviare il buffering quando la pagina viene caricata . È possibile riprodurre il video ogni volta che si desidera (...)". In realtà esiste un'estensione lecita e si chiama proprio SmartVideo For YouTube™. 

Il plugin è stato caricato sullo store il 10 maggio scorso ed ha un peso di 198 kilobyte. Sebbene in lingua inglese è evidente l'origine turca dell'applicazione come in altre pericolose truffe già viste in passato. Il rischio, oltre all'assumere il controllo dell'account Facebook, è quello di essere bloccati dal social network per presunta attività di spamming. Se avete installato per errore il plugin seguite queste istruzioni per rimuoverlo dal vostro browser.

Il consiglio è sempre quello di prestare attenzione alle installazioni o quando ricevete un messaggio da parte di un amico. Prima di effettuare qualsiasi operazione contattate l'amico per verificare se sia stato lui ad inviarvelo volontariamente. Spesso le operazioni automatiche delle applicazioni rogue vengono effettuate quando l'utente risulta offline. A tal proposito è bene ricordare di non utilizzare codici Javascript su Facebook per ottenere delle funzionalità aggiuntive. Installate il Flash Player esclusivamente dal sito ufficiale di Adobe.

giovedì 15 maggio 2014

Adobe rilascia aggiornamenti di sicurezza per Flash, Reader e Acrobat


Gli amministratori e gli utenti finali sono invitati ad aggiornare i loro sistemi a seguito di una serie di patch rilasciate da Microsoft e Adobe, che riguardano in totale più di 30 falle di sicurezza. Adobe ha dichiarato che il suo aggiornamento mensile include le patch per il suo Flash, Reader e Acrobat piattaforme, nonché un aggiornamento per Illustrator. In totale, l'aggiornamento pone rimedio a 18 vulnerabilità e falle di sicurezza. Pochi utenti hanno Acrobat o Illustrator, ma molti o la maggior parte probabilmente hanno uno o entrambi Flash e Reader. 

La società ha detto che l'aggiornamento include correzioni per i difetti critici che potrebbero consentire l'esecuzione di codice da remoto, e l'aggiornamento di Flash Player dovrebbe essere una priorità assoluta per gli utenti e gli amministratori. Adobe ha rilasciato gli aggiornamenti di sicurezza per Adobe Flash Player 13.0.0.206 e versioni precedenti per le versioni precedenti per Windows e Macintosh Linux e Adobe Flash Player 11.2.202.356. Questi aggiornamenti riguardano vulnerabilità che potrebbero consentire a un utente malintenzionato di assumere il controllo del sistema interessato.

Adobe consiglia agli utenti di aggiornare le installazioni dei prodotti alle ultime versioni:  gli utenti di Adobe Flash Player 13.0.0.206 e versioni precedenti per Windows e Macintosh devono aggiornare Adobe Flash Player 13.0.0.214. Gli utenti di Adobe Flash Player 11.2.202.356 e precedenti versioni per Linux devono aggiornare a Adobe Flash Player 11.2.202.359. Adobe Flash Player 13.0.0.206 installato con Google Chrome verrà aggiornato automaticamente alla versione più recente di Google Chrome, che comprenderà Adobe Flash Player 13.0.0.214 per Windows, Macintosh e Linux.

Adobe Flash Player 13.0.0.206 installato con Internet Explorer 10 sarà automaticamente aggiornato alla versione più recente di Internet Explorer 10, che comprenderà Adobe Flash Player 13.0.0.214 per Windows 8.0. Adobe Flash Player 13.0.0.206 installato con Internet Explorer 11 sarà automaticamente aggiornato alla versione più recente di Internet Explorer 11, che comprenderà Adobe Flash Player 13.0.0.214 per Windows 8.1.Gli utenti di Adobe AIR SDK 13.0.0.83 e versioni precedenti devono aggiornare a Adobe AIR SDK 13.0.0.111.

Gli utenti di Adobe AIR SDK 13.0.0.83 & Compiler e versioni precedenti devono aggiornare a Adobe AIR SDK 13.0.0.111 & Compiler. Per verificare la versione di Adobe Flash Player installato sul proprio sistema, accedere alla pagina Informazioni su Flash Player http://adobe.ly/QNfjv1, oppure fare clic destro sul contenuto eseguito in Flash Player e selezionare "Informazioni su Adobe (o Macromedia) Flash Player" dal menu. Se si utilizzano più browser, eseguire la verifica per ogni browser installato sul proprio sistema. 


Questi aggiornamenti risolvono una vulnerabilità use-after free che potrebbe provocare l'esecuzione di codice arbitrario (CVE-2014-0510). Questi aggiornamenti risolvono una vulnerabilità che potrebbe essere utilizzato per aggirare la same origin policy (CVE-2014-0516). Questi aggiornamenti risolvono vulnerabilità di bypass di sicurezza (CVE-2014-0517CVE-2014-0518CVE-2014-0519CVE-2014-0520). Per verificare la versione di Adobe AIR installata sul proprio sistema, seguire le istruzioni della nota tecnica di Adobe AIR.

Adobe ha rilasciato gli aggiornamenti di sicurezza per Adobe Reader e Acrobat XI (11.0.06) e versioni precedenti per Windows e Macintosh. Questi aggiornamenti riguardano vulnerabilità che potrebbero causare un crash e potenzialmente consentire a un utente malintenzionato di assumere il controllo del sistema interessato. Adobe consiglia agli utenti di aggiornare le installazioni dei prodotti alle ultime versioni: gli utenti di Adobe Reader XI (11.0.06) per Windows e Macintosh devono aggiornare a Adobe Reader XI (11.0.07). 

Per gli utenti di Adobe Reader X (10.1.9) e versioni precedenti per Windows e Macintosh, che non possono aggiornare a Adobe Reader XI (11.0.07), Adobe ha reso disponibile l'aggiornamento di Adobe Reader X (10.1.10). Gli utenti di Adobe Acrobat XI (11.0.06) per Windows e Macintosh devono aggiornare a Adobe Acrobat XI (11.0.07). Per gli utenti di Adobe Acrobat X (10.1.9) e versioni precedenti per Windows e Macintosh, che non possono aggiornare a Adobe Acrobat XI (11.0.07), Adobe ha reso disponibile l'aggiornamento di Adobe Acrobat X (10.1.10). 

Questi aggiornamenti risolvono una vulnerabilità di heap overflow che potrebbe provocare l'esecuzione di codice (CVE-2014-0511). Questi aggiornamenti risolvono un errore di convalida dell'input che potrebbe portare ad un bypass di sicurezza (CVE-2014-0512). Questi aggiornamenti risolvono una vulnerabilità nell'implementazione di API JavaScript che potrebbe causare la divulgazione di informazioni (CVE-2014-0521). Questi aggiornamenti risolvono vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2014-0522CVE-2014-0523CVE-2014-0524CVE-2014-0526).

Questi aggiornamenti risolvono una vulnerabilità nel modo in cui Reader gestisce alcune chiamate API alla memoria mappata che potrebbero provocare l'esecuzione di codice (CVE-2014-0525). Questi aggiornamenti risolvono una vulnerabilità-use-after libero che potrebbe provocare l'esecuzione di codice (CVE-2014-0527). Questi aggiornamenti risolvono una vulnerabilità-double free che potrebbe provocare l'esecuzione di codice (CVE-2014-0528).Questi aggiornamenti risolvono una vulnerabilità di buffer overflow che potrebbe portare all'esecuzione di codice (CVE-2014-0529).

La terza patch, considerata di priorità inferiore, affronta una vulnerabilità di codice in modalità remota in Illustrator CS6. Adobe ha rilasciato un hotfix di sicurezza per Adobe Illustrator (CS6) per Windows e Macintosh. Questa correzione risolve una vulnerabilità che potrebbe essere sfruttata per ottenere l'esecuzione di codice in modalità remota sul sistema interessato. Questi aggiornamenti risolvono una vulnerabilità di overflow dello stack che potrebbe provocare l'esecuzione di codice arbitrario (CVE-2014-0513). Adobe consiglia agli utenti di aggiornare le installazioni del software seguendo queste istruzioni.

Microsoft Patch day maggio: 8 aggiornamenti chiudono 13 vulnerabilità


Dopo l'aggiornamento out-of-band che ha risolto la vulnerabilità 0-day di IE anche su Windows XP, Microsoft ha reso disponibile in occasione del Patch Day di maggio 8 bollettini, sei critici e due importanti, che risolvono 13 vulnerabilità di sicurezza (incluso il security bullettin MS14-021) relativi a Windows, Internet Explorer, Office ed al pacchetto .NET Framework. Inoltre, il Security Advisory 2871997 riguarda un aggiornamento per Windows 8 e Windows Server 2012 che migliora la protezione delle credenziali e domain authentication controls per ridurre i furti di credenziali. Mentre Adobe ha rilasciato degli aggiornamenti di sicurezza che risolvono alcuni bug in Flash, Illustrator, Reader e Acrobat. Di seguito i bollettini sulla sicurezza di maggio in ordine di gravità.

MS14-029 - Aggiornamento per la protezione di Internet Explorer (2962482). Questo aggiornamento "critico" per la protezione risolve due vulnerabilità in Internet Explorer segnalate privatamente. Queste vulnerabilità possono consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Sfruttando queste vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente corrente. Pertanto, i clienti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. Vulnerabilità: CVE-2014-0310CVE-2014-1815

• MS14-022 - Alcune vulnerabilità in Microsoft SharePoint Server possono consentire l'esecuzione di codice in modalità remota (2952166). Questo aggiornamento "critico" per la protezione risolve diverse vulnerabilità segnalate privatamente nel software di produttività e in Microsoft Office Server. La più grave di queste vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente malintenzionato autenticato invia contenuti di pagina appositamente predisposti a un server SharePoint di destinazione. L'aggiornamento per la protezione risolve le vulnerabilità correggendo il modo in cui SharePoint Server e Web Applications eseguono la purificazione dei contenuti di pagina appositamente predisposti. Vulnerabilità: CVE-2014-0255CVE-2014-0256

MS14-023 - Alcune vulnerabilità in Microsoft Office possono consentire l'esecuzione di codice in modalità remota (2961037) - Questo aggiornamento "importante" per la protezione risolve due vulnerabilità segnalate privatamente in Microsoft Office. La vulnerabilità più grave può consentire l'esecuzione di codice in modalità remota se un utente apre un file di Office situato nella stessa directory di rete di un file della libreria appositamente predisposto. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente corrente. Pertanto, i clienti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. Vulnerabilità: CVE-2014-1756CVE-2014-1808

MS14-025 - Una vulnerabilità nelle preferenze Criteri di gruppo può consentire l'acquisizione di privilegi più elevati (2962486). Questo aggiornamento per la protezione risolve una vulnerabilità "importante" divulgata pubblicamente in Microsoft Windows. La vulnerabilità CVE-2014-1812 può consentire l'acquisizione di privilegi più elevati se si utilizzano le preferenze Criteri di gruppo Active Directory per distribuire le password all'interno del dominio; questa procedura può consentire a un utente malintenzionato di recuperare e decrittografare la password memorizzata con le preferenze Criteri di gruppo. L'aggiornamento per la protezione risolve la vulnerabilità eliminando la possibilità di configurare e distribuire password che utilizzano determinate estensioni di preferenze Criteri di gruppo.


MS14-026 - Una vulnerabilità in .NET Framework può consentire l'acquisizione di privilegi più elevati (2958732) - Questo aggiornamento "importante" per la protezione risolve una vulnerabilità di Microsoft .NET Framework che è stata segnalata privatamente. La vulnerabilità CVE-2014-1806 può consentire l'acquisizione di privilegi più elevati se un utente malintenzionato non autenticato invia dati appositamente predisposti a una workstation o a un server interessato che utilizza .NET Remoting. Solo le applicazioni personalizzate specificatamente designate per l'uso di .NET Remoting potrebbero esporre un sistema alla vulnerabilità. L'aggiornamento per la protezione risolve la vulnerabilità assicurando che .NET Framework applichi correttamente i controlli di protezione per la memoria dell'applicazione.

MS14-027 - Una vulnerabilità legata al gestore della shell di Windows può consentire l'acquisizione di privilegi più elevati (2962488). Questo aggiornamento "importante" per la protezione risolve una vulnerabilità di Microsoft Windows che è stata segnalata privatamente. La vulnerabilità CVE-2014-1807 può consentire l'acquisizione di privilegi più elevati se un utente malintenzionato esegue un'applicazione appositamente predisposta che utilizza ShellExecute. Per sfruttare la vulnerabilità, è necessario disporre di credenziali di accesso valide ed essere in grado di accedere al sistema in locale. L'aggiornamento per la protezione risolve la vulnerabilità correggendo il modo in cui l'API ShellExecute gestisce le associazioni di file in determinate circostanze. 

•  MS14-028 - Una vulnerabilità in iSCSI può consentire un attacco di tipo Denial of Service (2962485). Questo aggiornamento "importante" per la protezione risolve due vulnerabilità segnalate privatamente in Microsoft Windows. Le vulnerabilità possono consentire un attacco di tipo Denial of Service se un utente malintenzionato invia grandi quantità di pacchetti iSCSI appositamente predisposti sulla rete di destinazione. Questa vulnerabilità interessa solo i server per i quali è stato attivato il ruolo di destinazione iSCSI. L'aggiornamento per la protezione risolve le vulnerabilità modificando il modo in cui i sistemi operativi interessati gestiscono le connessioni iSCSI. Vulnerabilità: CVE-2014-0255CVE-2014-0256

•  MS14-024 - Una vulnerabilità in un controllo comune Microsoft può consentire l'elusione della funzione di protezione (2961033). Questo aggiornamento "importante" per la protezione risolve una vulnerabilità segnalata privatamente in un'implementazione della libreria dei controlli comuni MSCOMCTL. La vulnerabilità CVE-2014-1809 può consentire l'elusione della funzione di protezione ASLR se un utente visualizza una pagina Web appositamente predisposta in un browser Web in grado di creare istanze di componenti COM. L'elusione della funzione di protezione non consente da sola l'esecuzione di codice arbitrario. Tuttavia, un utente malintenzionato potrebbe utilizzare questa vulnerabilità in combinazione con un'altra per trarre vantaggio ed eseguire codice arbitrario. 

Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente e installarle da Windows Update. A corollario, Microsoft ha rilasciato come di consueto una versione aggiornata dello strumento di rimozione malware giunto alla versione 5.12, per consentire l'eliminazione di software dannosi dai computer che eseguono Windows 8.1, Windows 8, Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 o Windows XP. Per tutte le ultime informazioni, è possibile anche seguire il team MSRC su Twitter all'indirizzo @MSFTSecResponse. Si ricorda che questo strumento non sostituisce un prodotto antivirus. Il prossimo appuntamento con il patch day è fissato per martedì 10 giugno 2014.

mercoledì 14 maggio 2014

Privacy, Corte di Giustizia Ue: Google responsabile dei dati su altri siti


Una sentenza della Corte europea di Giustizia stabilisce che Google debba rispettare il Diritto all'oblio, il diritto di essere dimenticati. Così, nel caso in cui, a seguito di una ricerca effettuata a partire dal nome di una persona, l'elenco di risultati mostra un link verso una pagina Web che contiene informazioni sulla persona in questione, questa può rivolgersi direttamente al gestore oppure, qualora questi non dia seguito alla sua domanda, adire le autorità competenti per ottenere, in presenza di determinate condizioni, la soppressione di tale link dall'elenco di risultati.

lunedì 12 maggio 2014

Privacy Day Forum 2014, le minacce reali vengono dal mondo virtuale


Al CNR di Pisa, gli esperti di privacy puntano il dito verso i social network e chiedono nuove regole per la protezione dei dati.  Nonostante l'approvazione definitiva del regolamento europeo sulla protezione dei dati si faccia attendere da due anni, il 4° Privacy Day Forum organizzato da Federprivacy registra una presenza di 500 addetti ai lavori accorsi da tutta Italia nella città della torre pendente per fare il punto della situazione ed orientarsi in vista dei prossimi sviluppi normativi, che promettono una svolta epocale con l'entrata in vigore di nuove regole che saranno identiche e direttamente applicabili in tutti e 28 stati membri UE.

giovedì 8 maggio 2014

Symantec presenta nuovo sistema avanzato di protezione da minacce‏


Si tratta del nuovo servizio gestito Symantec Managed Security Services-Advanced Threat Protection. Symantec (Nasdaq: SYMC) ha annunciato un nuovo approccio avanzato alla protezione delle minacce (Advanced Threat Protection), svelando una roadmap di soluzioni integrate che dimostra l’alto livello di innovazione nell’ambito sicurezza che solo essa può offrire. Questo approccio è supportato da due nuove soluzioni: Symantec Managed Security Services-Advanced Threat Protection e Symantec Advanced Threat Protection Solution (MSS-ATP), che combinano avvisi e intelligence all’interno di diverse tecnologie di sicurezza per offrire una prevenzione completa agli attacchi.

venerdì 2 maggio 2014

Microsoft chiude vulnerabilità 0-day in Internet Explorer anche su XP


Microsoft rilascerà a breve un aggiornamento di sicurezza out-of-band per affrontare il difetto che interessa Internet Explorer (IE) che è stato primo discussa nel Security Advisory 2963983. Questo aggiornamento è completamente testato e pronto per il rilascio di tutte le versioni interessate di il browser. Lo comunica la società in una nota sul blog del Microsoft Security Response Center (MSRC). La vulnerabilità consente ai cyber criminali di eseguire da remoto il codice arbitrario sul computer target dal momento in cui l'utente visita un sito Web malevolo.

giovedì 1 maggio 2014

IBM lancia nuova soluzione per prevenire danni da frodi e cybercrime


IBM ha annunciato una nuova soluzione integrata che, grazie alle nuove capacità in ambito Big Data e Analytics, consente di affrontare il tema delle frodi e dei crimini finanziari, responsabili ogni anno di perdite stimabili intorno ai 3,5 trilioni di dollari. IBM, con oltre 500 consulenti nel campo, 290 brevetti correlati a ricerche sulle frodi e 24 miliardi di dollari investiti dal 2005 in acquisizioni software e sviluppo di servizi, schiera con questa offerta tutte le proprie competenze, nazionali e internazionali, per aiutare le aziende pubbliche e private a prevenire, identificare e indagare le attività fraudolente.

Kaspersky Lab individua e blocca exploit 0-day in Adobe Flash Player


Il sottosistema di protezione e di rilevazione euristico di Kaspersky Lab ha bloccato gli attacchi mirati ad una vulnerabilità di tipo zero-day nel software di Adobe Flash Player. I ricercatori di Kaspersky Lab hanno scoperto questa falla presa di mira da exploit distribuiti tramite un sito web del governo creato per raccogliere le denunce pubbliche riguardanti le violazioni della legge in Medio Oriente. A metà aprile gli esperti di Kaspersky Lab hanno analizzato i dati provenienti dal http://www.kaspersky.com/images/KESB_Whitepaper_KSN_ENG_final.pdf e hanno scoperto un exploit mai visto in precedenza. Attraverso un esame più approfondito si è scoperto che l'exploit stava usando una vulnerabilità, anche questa sconosciuta, all’interno del popolare software multimediale Adobe Flash Player. 

La vulnerabilità era presente in Pixel Bender - un vecchio componente progettato per il video e l'elaborazione fotografica. Ulteriori indagini hanno accertato che gli exploit sono stati distribuiti da un sito web creato nel 2011 dal Ministero della Giustizia siriano per consentire alle persone di presentare i reclami inerenti alle violazioni della legge. I ricercatori di Kaspersky Lab credono che l'attacco sia stato progettato per individuare i dissidenti siriani che si lamentavano del governo. Gli esperti di Kaspersky Lab hanno scoperto, in totale, due tipi di exploit con qualche differenza per quanto riguarda lo shellcode.

Lo shellcode è un piccolo pezzo di codice utilizzato come payload quando si sfrutta la vulnerabilità di un software. "Il primo exploit ha mostrato un comportamento piuttosto primitivo di download e esecuzione di payload mentre il secondo ha provato ad interagire con Cisco MeetingPlace Express Add-In, uno speciale plugin di Flash per il co-working che consente una visione congiunta di documenti e immagini sul desktop del PC dell'utente. Questo plugin è del tutto regolare, ma in circostanze particolari come queste potrebbe essere usato come strumento di spionaggio", ha detto Vyacheslav Zakorzhevsky, Vulnerability Research Group Manager di Kaspersky Lab.


"Inoltre abbiamo scoperto che questo 'secondo' exploit funziona solo se sul PC è stata installata una determinata versione di Flash Player e di CMP Add-In. Questo vuol dire che i criminali avevano pensato ad un attacco rivolto ad una lista molto limitata di vittime", ha aggiunto Vyacheslav Zakorzhevsky. Subito dopo aver scoperto il primo exploit, gli specialisti di Kaspersky Lab hanno contattato i rappresentanti di Adobe per informarli della nuova vulnerabilità. Dopo aver esaminato le informazioni fornite da Kaspersky Lab Adobe ha riconosciuto che la vulnerabilità ha uno status zero-day e ha di conseguenza, sviluppato una patch resa disponibile sul sito di Adobe. 

Il numero di questa vulnerabilità è CVE-2014-0515. I browser Chrome e Internet Explorer aggiornano Flash Player automaticamente. "Nonostante siano stati individuati solo un numero limitato di tentativi volti a sfruttare questa vulnerabilità, raccomandiamo vivamente agli utenti di aggiornare la versione del software Adobe Flash Player. E' possibile che una volta che le informazioni su questa vulnerabilità vengano rese note, i criminali possano cercare o di riprodurre questi nuovi exploit o in qualche modo tentare di ottenere le varianti esistenti e utilizzarle in altri attacchi", ha detto Vyacheslav Zakorzhevsky. 

"Anche con una patch disponibile, i criminali informatici si aspettano di trarre profitto da questa vulnerabilità considerato che un aggiornamento a livello mondiale di un software cosi utilizzato come Flash Player richiederà sicuramente un periodo di tempo non breve. Purtroppo questa vulnerabilità sarà pericolosa ancora per un po'", ha concluso Zakorzhevsky. E' possibile trovare ulteriori dettagli su questa vulnerabilità in Adobe Flash qui. E' la seconda volta quest'anno che gli specialisti di Kaspersky Lab scoprono una vulnerabilità di tipo zero-day. Nel mese di febbraio, gli specialisti dell'azienda hanno scoperto CVE-2014-0497 - un'altra vulnerabilità zero-day sempre in Adobe Flash Player, che consentiva ai criminali di infettare il computer della vittima.


Il sottosistema di rilevamento euristico
Il sottosistema di rilevazione euristica è una parte del motore antivirus utilizzato in molteplici prodotti Kaspersky Lab sia per utenti privati che per utenti business, come Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Endpoint Security for Business e altri. Proprio come un antivirus tradizionale, questo sistema utilizza un database di firme per rilevare i software dannosi. Mentre però la tecnologia antivirus di solito richiede una firma per ogni singolo pezzo di malware, non importa quanto strettamente connessi, la rilevazione euristica è in grado di coprire tutto il range di programmi nocivi. 

Per farlo utilizza speciali firme euristiche che rilevano non solo i singoli pezzi di malware ma anche le intere collezioni di programmi dannosi raggruppati in base a un elenco di caratteristiche speciali. La firma euristica che copriva il comportamento del nuovo zero-day exploit in Adobe Flash è stata aggiunta al database di Kaspersky Lab già a gennaio. Inoltre, durante una prova speciale condotta dagli specialisti di Kaspersky Lab si è scoperto che gli exploit che utilizzano CVE-2014-0515 vengono rilevati con precisione per sfruttare la tecnologia Automatic Exploit Prevention di Kaspersky Lab - un altro potente strumento per rilevare tutte quelle minacce non ancora note. 

A novembre del 2013, la stessa tecnologia ha bloccato con successo gli attacchi individuando una vulnerabilità di tipo zero-day nel software di Microsoft Office. All fine del 2012, in modo proattivo, ha bloccato diversi componenti dannose che - come si è scoperto in seguito - appartenevano a Ottobre Rosso, una campagna di cyber- spionaggio su vasta scala rilevato dai ricercatori di Kaspersky Lab nel mese di gennaio 2013.  Gli aggressori di Ottobre Rosso hanno progettato il malware, chiamato anche "Rocra", con un'unica architettura modulare, composta da un codice nocivo, moduli per il furto delle informazioni e backdoor Trojan. Per ulteriori informazioni: www.kaspersky.com/it Fonte: Immediapress