Gen 30, 2025 Marina Londei Approfondimenti, Gestione dati, In evidenza, News, Privacy, Privacy, RSS 0

---

Quando si parla di dati e di privacy, gli utenti si dicono particolarmente preoccupati per le violazioni: secondo l’indagine “Privacy dei dati nel 2025: un sondaggio per conoscere l’opinione degli utenti sulla Cyber Protection” di Acronis, il 64% degli intervistati ha segnalato i data breach come principale fonte di preoccupazione per la riservatezza delle informazioni.

Il timore è tutt’altro che infondato: il report evidenzia infatti che, nonostante il livello di consapevolezza sia aumentato negli ultimi anni, il 25% degli utenti ha subito un furto o una perdita di dati, mentre il 12% non è in grado di affermare se ha subito o meno una violazione.

L’educazione digitale è in aumento: il 44% degli intervistati si avvale di video informativi sulla cybersecurity per apprendere le best practice di sicurezza. Nonostante ciò, c’è un divario significativo tra consapevolezza e azione: se oltre il 60% degli intervistati ritiene la sicurezza dei dati “molto importante”, solo il 40% modifica regolarmente le password e quasi il 70% usa reti Wi-Fi pubbliche anche per attività delicate.

Gli utenti sono invece abbastanza preparati dal punto di vista del backup: il 66% degli intervistati esegue regolarmente il backup, mentre solo il 9% non esegue questa operazione.

Dal punto di vista della sicurezza dell’autenticazione, il 68% degli intervistati afferma di usare password robuste e univoche, ma meno della metà (46%) sfrutta l’autenticazione a due fattori per proteggersi dalle violazioni. Non tutti gli utenti, inoltre, hanno riconosciuto l’importanza dei sistemi di sicurezza per i dispositivi mobili: il 35% degli intervistati non ha familiarità con questi strumenti.

È da notare che quasi il 30% degli utenti trova difficile usare strumenti di sicurezza, mentre il 25% sostiene che il principale ostacolo alla loro adozione sia il costo elevato.

Nonostante i consumatori percepiscano chiaramente i rischi digitali a cui sono esposti e le aree d’azione, manca l’effettiva applicazione delle best practice di base, come i backup regolari, l’uso dell’autenticazione a due fattori e l’uso di app di sicurezza.

“Il sondaggio di Acronis dedicato agli utenti evidenzia un paradosso critico dell’odierna sicurezza informatica: le persone sono sempre più consapevoli dei rischi, ma molte non hanno gli strumenti o le conoscenze necessarie per proteggersi in modo efficace” ha affermato Gerald Beuchelt, CISO di Acronis. “A livello globale, le violazioni dei dati rappresentano una delle maggiori preoccupazioni, rendendo fondamentale la disponibilità di soluzioni di cybersecurity più semplici e accessibili, abbinate al backup dei dati, e di attività educational più efficaci che aiutino le persone a proteggere la propria vita digitale. Tutto ciò può contribuire a colmare il divario tra consapevolezza e azione“.

---

---

---

https://www.securityinfo.it/2025/01/30/privacy-dei-dati-la-maggior-parte-degli-utenti-teme-una-violazione/?utm_source=rss&utm_medium=rss&utm_campaign=privacy-dei-dati-la-maggior-parte-degli-utenti-teme-una-violazione

Gen 29, 2025 Marina Londei Attacchi, In evidenza, Malware, News, RSS 0

---

I ricercatori di ESET hanno scoperto PlushDaemon, un nuovo gruppo APT affiliato al governo cinese che ha colpito la supply chain di un provider VPN della Corea del Sud. 

“Nel maggio 2024, abbiamo notato delle rilevazioni di codice dannoso in un installer NSIS per Windows che gli utenti della Corea del Sud avevano scaricato dal sito web del legittimo software VPN IPany. Analizzando ulteriormente, abbiamo scoperto che l’installer distribuiva sia il software legittimo che la backdoor” ha affermato Facundo Muñoz, il ricercatore che ha scoperto la campagna.

Il gruppo ha sostituito l’installer legittimo della VPN con uno che distribuiva SlowStepper, una backdoor con oltre 30 componenti e funzionalità in grado di raccogliere grandi volumi di dati, anche dal browser, scattare foto, scansionare documenti, spiare gli utenti tramite audio e video e sottrarre le credenziali.

La backdoor non è nuova: secondo l’analisi di Muñoz, esistono diverse versioni di Slowstepper, di cui la prima risale al 31 gennaio 2019. La più nuova è stata compilata il 13 giugno 2024 (versione 0.2.12) ed è ad oggi la versione più completa in termini di funzionalità. Nell’attacco al provider di VPN, PlushDaemon ha utilizzato una versione antecedente, la 0.2.10 Lite; il nome suggerisce che questa backdoor abbia meno funzionalità di quelle in altre versioni.

“Le numerose componenti del toolset di PlushDaemon e la sua ricca storia di versionamento dimostrano che, anche se in precedenza sconosciuto, questo gruppo APT affiliato al governo cinese ha operato assiduamente per sviluppare un’ampia gamma di tool, rendendoli una minaccia significativa dalla quale proteggersi” avvisa ESET.

Dopo la scoperta, la compagnia ha informato il fornitore VPN riguardo la compromissione e l’installer dannoso è stato rimosso dal loro sito.

---

---

---

https://www.securityinfo.it/2025/01/29/plushdaemon-un-nuovo-gruppo-apt-cinese-colpisce-la-corea-del-sud-il-report-di-eset/?utm_source=rss&utm_medium=rss&utm_campaign=plushdaemon-un-nuovo-gruppo-apt-cinese-colpisce-la-corea-del-sud-il-report-di-eset

Gen 24, 2025 Marina Londei In evidenza, Minacce, News, RSS, Vulnerabilità 0

---

Una delle vulnerabilità usate da Salt Typhoon, il gruppo cinese dietro il massiccio breach che ha colpito le compagnie di telecomunicazioni statunitensi, è ancora presente nel 91% dei 30.000 Microsoft Exchange Server esposti sul web. Lo riporta The Register, specificando anche che la patch per il bug è disponibile da ben quattro anni.

La vulnerabilità, chiamata ProxyLogon, consente a un attaccante di bypassare l’autenticazione per assumere il ruolo admin, prendendo il controllo del sistema ed eseguendo comandi arbitrari.

“Microsoft ha reso nota questa vulnerabilità a marzo 2021 avvertendo che veniva usata in concatenazione con diversi altri bug da spie del governo cinese per l’esecuzione remota di codice sugli Exchange Server target“ si legge nell’articolo. Tenable, la compagnia di sicurezza che ha analizzato lo stato dei server Microsoft, ha specificato che, al contrario, su 20.000 dispositivi vulnerabili Ivanti, più del 92% di essi è stato patchato.

Nulla di nuovo, purtroppo: non è la prima volta che le firme di sicurezza avvertono della presenza di device e applicazioni vulnerabili nonostante la disponibilità delle patch.

Mentre il governo degli Stati Uniti fa un passo indietro e riconosce l’importanza della crittografia, decine di migliaia di server Microsoft continuano a rimanere vulnerabili pur essendoci un fix applicabile.

Non si tratta solo di Salt Typhoon: ci sono molti altri gruppi cinesi che minacciano la sicurezza del Paese, tutti al servizio del governo cinese. Tra i principali emergono Volt Typhoon, una gang focalizzata su attacchi alle infrastrutture critiche statunitensi, e Flax Typhoon, un gruppo che si occupa di compromissione di dispositivi IoT per creare botnet da usare per campagne future.

Gli esperti di sicurezza statunitensi temono l’intervento di questi gruppi e hanno sottolineato che, attualmente, la Cina è il più grande avversario cibernetico del Paese, con piani d’attacco ben studiati per destabilizzare le infrastrutture in caso di guerra.

Poiché gli hacker sfruttano principalmente vulnerabilità note e non patchate come punto d’accesso, è fondamentale che le organizzazioni aggiornino regolarmente i dispositivi e implementino controlli di sicurezza più rigidi per prevenire minacce persistenti.

---

---

---

https://www.securityinfo.it/2025/01/24/oltre-il-90-dei-microsoft-exchange-server-e-ancora-vulnerabile-a-proxylogon/?utm_source=rss&utm_medium=rss&utm_campaign=oltre-il-90-dei-microsoft-exchange-server-e-ancora-vulnerabile-a-proxylogon

Gen 23, 2025 Marina Londei Attacchi, In evidenza, Minacce, News, RSS 0

---

Piccoli hacker crescono: un ragazzo di soli 15 anni ha elaborato un exploit che sfrutta una vulnerabilità della CDN di Cloudflare per rivelare la posizione di un utente semplicemente inviandogli un’immagine su piattaforme di messaggistica, incluse Signal, Discord e X.

“3 mesi fa ho scoperto un attacco di deanonimizzazione unico nel suo genere che consente a un aggressore di ottenere la posizione di qualsiasi bersaglio entro un raggio di 250 miglia” ha spiegato il giovane Daniel in un post su Github. “Con un’app vulnerabile installata sul telefono dell’obiettivo (o come applicazione in background sul suo laptop), un aggressore può inviare un payload dannoso e deanonimizzarvi in pochi secondi, senza che ve ne accorgiate“.

Questo tipo di attacco è particolarmente preoccupante per chi ha bisogno di preservare la propria privacy, come giornalisti, attivisti, hacker e personalità politiche.

Il bug di Cloudflare

Cloudflare ha una presenza massiccia in tutto il mondo, con data center in oltre 330 città di 120 Paesi. In zone con densità di data center elevata, come negli Stati Uniti orientali e in Cina, il centro di elaborazione più vicino potrebbe essere a meno di 100 miglia dalla propria abitazione (meno di 160 km).

Al nocciolo della questione troviamo la funzionalità di caching: quando un dispositivo effettua una richiesta per una risorsa che può essere memorizzata nella cache, Cloudflare cerca la risorsa nel data center locale, se presente; altrimenti, la cerca nel server di origine, la memorizza in cache localmente e poi la manda all’utente.

“Se Cloudflare mantiene i dati di cache così vicini agli utenti, questo meccanismo potrebbe essere sfruttato per attacchi di deanonimizzazione su siti di cui non abbiamo il controllo?” si è chiesto Daniel; l’esito è stato positivo: la risposta HTTP inviata all’utente contiene informazioni sulla cache utilizzata, compreso il codice dell’aeroporto più vicino alla posizione della vittima.

Facendo caricare all’utente una risorsa, per esempio un’immagine, su un sito che si appoggia a Cloudflare, un attaccante è in grado di enumerare i data center della compagnia e identificare quello che ha memorizzato la risorsa, ottenendo quindi un’indicazione fin troppo precisa della posizione della vittima.

Per fare ciò, un attaccante deve sfruttare una vulnerabilità di Workers, una suite di funzioni serverless per l’esecuzione di JavaScript e WebAssembly sui nodi edge della rete, garantendo tempi di caricamento veloci. Il bug permette di inviare richieste specificando con quali data center comunicare, restringendo quindi l’area di analisi. L’exploit non è immediato: Daniel ha sviluppato Teleport, un proxy che gli ha permesso di direzionare le richieste HTTP a specifici data center, per poi individuare quello più vicino all’utente target.

Un attacco senza interazione

In molti casi non è necessario che l’utente apra il messaggio o scarichi l’immagine per dare il via al processo: alcune applicazioni, come Signal o Discord, scaricano le immagini direttamente dalle notifiche push, senza che interazione della vittima.

Durante i suoi test, Daniel è riuscito a individuare il CTO di Discord semplicemente inviandogli un messaggio con un bot, con una precisione di meno di 300 miglia (meno di 480 km).

“L’intero processo ha richiesto meno di un minuto. Sono sicuro che Stan ha visto la notifica sul suo telefono, non ci ha pensato due volte e l’ha semplicemente eliminata. Si è trattato di un semplice attacco, ma questo attacco, se calibrato, può essere usato per tracciare e monitorare la posizione di Stan. Un attacco del genere può essere lanciato a qualsiasi utente di Discord ed è quasi impercettibile” ha spiegato l’hacker.

Cloudflare aveva ricevuto la segnalazione del bug oltre un anno fa, ma inizialmente non avevano colto il reale impatto della vulnerabilità e non si erano preoccupati di risolverla. Tre mesi fa, dopo che Daniel aveva condiviso l’exploit, la compagnia ha risolto il bug.

Nonostante l’intervento dell’azienda, dopo sole 24 ore dal fix il ragazzo ha riprogrammato Teleport in modo che utilizzasse una VPN ed è riuscito a eseguire nuovamente gli attacchi. “Numerose VPN forniscono più sedi a cui gli utenti possono connettersi e che inviano il loro traffico attraverso server in diverse parti del mondo e questi server sono mappati su diversi datacenter Cloudflare in tutto il mondo” ha spiegato Daniel. “Ho scelto un provider VPN con oltre 3.000 server situati in varie località di 31 paesi diversi in tutto il mondo. Utilizzando questo nuovo metodo, sono in grado di raggiungere nuovamente circa il 54% di tutti i datacenter Cloudflare“.

La compagnia, di fronte alle nuove evidenze, ha spiegato che l’attacco di deanonimizzazione non dipende direttamente da una vulnerabilità nei suoi sistemi e che è responsabilità degli utenti disabilitare il caching delle risorse. 

---

---

---

https://www.securityinfo.it/2025/01/23/cloudflare-risolve-un-bug-che-espone-la-posizione-di-un-utente-ma-lexploit-e-ancora-possibile/?utm_source=rss&utm_medium=rss&utm_campaign=cloudflare-risolve-un-bug-che-espone-la-posizione-di-un-utente-ma-lexploit-e-ancora-possibile

Gen 21, 2025 Marina Londei Gestione dati, In evidenza, News, RSS 0

---

La Commissione Europea ha dato il via libera a SECURE, un progetto che mira a migliorare la resilienza cibernetica e l’innovazione di cybersecurity delle PMI europee, per aiutarle a essere conformi al Cyber Resilience Act (CRA).

Il progetto è coordinato dall’Agenzia per la Cybersicurezza Nazionale (ACN) e include 14 partner di sette paesi europei. Partner tecnico di riferimento è Cyber 4.0, il Centro di competenza nazionale ad alta specializzazione sulla cybersecurity promosso dal Ministero delle Imprese e del Made in Italy (MIMIT).

SECURE può contare su un budget totale di 22 milioni di euro; di questi, 16.5 verranno destinati direttamente alle PMI europee attraverso cascade funding e il sistema delle “open call”.

Il progetto comprende anche attività di sensibilizzazione, formazione e istruzione in ambito di cybersecurity, lo sviluppo di strumenti per facilitare l’implementazione del Cyber Resilience Act, lo svolgimento di test delle vulnerabilità per verificare la conformità al CRA ed eventi per promuovere sinergie tra le PMI europee.

ACN  ha promosso e raccolto le adesioni in un consorzio di partner provenienti da sette paesi europei, in sinergia con gli NCC degli Stati Membri interessati, finalizzando una proposta progettuale che sarà finanziata con fondi DEP dall’ECCC. Cyber 4.0si occuperà invece di sviluppare una piattaforma integrata per la gestione delle call, della distribuzione dei finanziamenti e della pubblicazione di materiali e strumenti per il supporto alla compliance al CRA.

“L’avvio del progetto Secure rappresenta un altro importante esempio della capacità di intercettare risorse europee a beneficio dello sviluppo tecnologico del Paese e della sicurezza informatica allo scopo di garantire, al massimo delle nostre potenzialità, l’ecosistema digitale nazionale” ha affermato Bruno Frattasi, Direttore Generale di ACN. “Il progetto rappresenta inoltre un virtuoso modello di coordinamento tra attori diversi, pubblici e privati, finalizzato a dare un concreto e tangibile supporto al tessuto imprenditoriale italiano nel momento in cui sarà chiamato a raggiungere i livelli di compliance richiesti dal Cyber Resilience Act. La piattaforma, che verrà erogata a beneficio delle nostre pmi e di omologhe realtà europee che vorranno avvalersene, si inscrive in quello stesso filone di supporto e sostegno al mondo imprenditoriale italiano che ha trovato in ACN un sicuro punto di riferimento. Le PMI per altro, usufruendo di strumenti e risorse per investire e crescere in sicurezza informatica, potranno divenire più competitive nell’area degli scambi globali“.

SECURE coinvolge anche Austria (Platform industrie 4.0 e 5 European Digital Innovation Hubs), Belgio (Centre Pour La Cybersécurité), Lussemburgo (Luxembourg House Of Cybersecurity), Polonia (Naukowa i Akademicka Siec Komputerowa -Panstwowy Instytut Badawczy), Romania (National Coordination Centre-RO) e Spagna (Instituto Nacional De Ciberseguridad De Espana). Oltre a queste entità, altri 12 Coordination Centers (NCC) europei hanno espresso il loro supporto ufficiale alla sua implementazione.

“Questa collaborazione tra Cyber 4.0 e ACN permette di estendere il ruolo di supporto al tessuto imprenditoriale del nostro Competence Center a livello europeo, con particolare riferimento al contesto delle PMI, particolarmente impattato dall’adeguamento al CRA” ha dichiarato Leonardo Querzoni, Presidente del Cyber 4.0 “Al tempo stesso, SECURE si configura come un modello pilota che potrà essere applicato anche ad altri settori e ad altre normative, offrendo alla Commissione Europea una piattaforma per la gestione del meccanismo FSTP. Non a caso, il budget di SECURE è uno dei più alti mai assegnati per progetti di cybersecurity e al tempo stesso porta l’Italia al primo posto nella gestione dei finanziamenti ricevuti dai paesi UE su questo tema“.

---

---

---

https://www.securityinfo.it/2025/01/21/via-a-secure-il-progetto-per-supportare-conformita-delle-pmi-al-cyber-resilience-act/?utm_source=rss&utm_medium=rss&utm_campaign=via-a-secure-il-progetto-per-supportare-conformita-delle-pmi-al-cyber-resilience-act

Gen 20, 2025 Marina Londei In evidenza, News, Prodotto, RSS 0

---

SentinelOne ha annunciato che Purple AI, la soluzione di sicurezza della compagnia basata su intelligenza artificiale, supporta ora le piattaforme di security Zero Trust Exchange di Zscaler, i firewall di Palo Alto Networks, la soluzione di Okta, TAP di Proofpoint, FortiGate di Fortinet e Microsoft Office 365.

Purple AI potenzia le analisi dei professioni di sicurezza consentendogli di individuare più facilmente i rischi nascosti e le minacce. Combinando strumenti di IA, la piattaforma offre riepiloghi delle minacce con informazioni di intelligence sintetizzate e approfondimenti contestuali.

“Purple AI è diventato velocemente il prodotto di SentinelOne con la crescita più rapida e il riscontro dei clienti è stato incredibile. E’ molto più di un semplice strumento di query in linguaggio naturale e Purple AI sta automatizzando le indagini, dando priorità alle minacce e riducendo i tempi di risposta da ore a pochi minuti“ ha dichiarato Ely Kahn, Vice President, Product Management, Cloud Security, AI/ML e Core Platform di SentinelOne. “Ampliando le capacità di Purple AI ai dati nativi e di terze parti in Singularity, i clienti possono bloccare rapidamente anche gli attacchi più sofisticati, ottenendo più valore dall’intero stack di sicurezza e dai dati di sicurezza raccolti“.

La piattaforma semplifica il processo di raccolta dei dati per i team di sicurezza e abilita un’individuazione delle minacce più semplice e completa, accelerando di conseguenza le indagini e la risposta agli attacchi. Purple AI sfrutta l’Open Cybersecurity Schema Framework (OCSF) per interrogare i dati che sono stati normalizzati al momento di acquisizione. I clienti possono beneficiare quindi di interrogazioni immediate su dati nativi e delle terze parti, di correlazioni e contesto in tutto lo stack di sicurezza e scalabilità su fonti di dati in continua espansione.

SentinelOne ha anche introdotto il supporto multilingua per Purple AI, ampliando le query in linguaggio naturale e le sintesi in spagnolo, francese, tedesco, italiano, olandese, arabo, giapponese, coreano, tailandese, malese, indonesiano e altre lingue.

L’espansione di Purple AI di SentinelOne a fornitori terzi è disponibile immediatamente per tutti i clienti della piattaforma, così come il supporto multilingua.

---

---

---

https://www.securityinfo.it/2025/01/20/sentinelone-estende-purple-ai-alle-soluzioni-di-sicurezza-di-terze-parti/?utm_source=rss&utm_medium=rss&utm_campaign=sentinelone-estende-purple-ai-alle-soluzioni-di-sicurezza-di-terze-parti

Gen 17, 2025 Marina Londei In evidenza, News, Prodotto, RSS 0

---

Microsoft esteso i test per la feature Administrator Protection ai membri dell’Insider Program. In un post sul blog, la compagnia ha annunciato il rilascio della Windows 11 Insider Preview Build 27774 sul Canary Channel che comprende anche la nuova funzionalità di sicurezza.

La feature era stata introdotta lo scorso ottobre in una build di preview precedente ed è ora disponibile per gli utenti Insider. La funzionalità abilita dei privilegi di amministratore temporanei che decadono dopo aver effettuato l’operazione scelta. Nel dettaglio, il sistema genera un token che, una volta eseguita l’operazione sul sistema, verrà eliminato, bloccando potenziali accessi successivi.

Il meccanismo sfrutta l’autenticazione di Windows Hello per confermare l’identità dell’utente e lasciarlo procedere con l’azione richiesta. La funzionalità è disattivata di default e può essere ora abilitata dalle impostazioni di Windows Security, nella tab “Account Protection”. Qualsiasi utente può abilitarla, senza l’intervento degli amministratori di sistema.

L’aggiornamento comprende anche alcuni fix che migliorano la user experience e risolvono problemi applicativi, come l’errore che capitava a volte all’avvio dell’app Xbox.

Non ci sono ancora fix invece per un problema di rendering delle finestre del File Explorer quando da minimizzate vengono riaperte, né per un errore all’apertura di Remote Desktop.

Oltre all’Administrator Protection, Microsoft è al lavoro su altre feature di prossima uscita: come riporta Bleeping Computer, negli scorsi mesi la compagnia aveva annunciato l’arrivo di una nuova funzionalità di “Quick Machine Recovery” per consentire agli amministratori di sistemare i dispositivi bloccati in un loop di riavvio da remoto; inoltre, è previsto il supporto per “Config Refresh”, una funzionalità per permettere agli admin di ripristinare le impostazioni del PC a quelle di default.

La nuova feature e le successive saranno rese disponibili sul Canary Channel in maniera progressiva, in base al feedback ricevuto dai primi gruppi di utenti che le useranno.

---

---

---

https://www.securityinfo.it/2025/01/17/microsoft-estende-administrator-protection-agli-utenti-insider/?utm_source=rss&utm_medium=rss&utm_campaign=microsoft-estende-administrator-protection-agli-utenti-insider

Gen 16, 2025 Marina Londei In evidenza, Minacce, News, RSS, Vulnerabilità 0

---

I ricercatori di ESET hanno scoperto una nuova vulnerabilità di Secure Boot dei sistemi UEFI che consente ai cybercriminali di eseguire codice arbitrario durante l’avvio del sistema. 

Il bug, tracciato come CVE.2024-7344, è stato trovato in un’applicazione UEFI firmata da “Microsoft Corporation UEFI CA 2011”, un’autorità di certificazione dell’azienda di Redmond.

La vulnerabilità è causato da un loader PE custom che consente l’esecuzione di qualsiasi binario UEFI, anche quelli non firmati, durante l’avvio del sistema. Un attaccante può sfruttare questo bug per eseguire bootkit malevoli e alterare il corretto funzionamento del sistema operativo.

Normalmente il meccanismo di Secure Boot previene l’esecuzione di malware al caricamento del sistema garantendo che vengano caricati solo software riconosciuti. Questa funzionalità usa i certificati digitali per validare l’autenticità e l’integrità del codice che viene caricato, bloccando quello non legittimo. L’applicazione in questione però, a causa del bug, consente l’esecuzione di codice senza controlli di integrità. 

“Il codice eseguito in questa fase iniziale di avvio può persistere sul sistema, potenzialmente caricando estensioni kernel malevole che sopravvivono ai riavvii” avverte il CERT Coordination Center in un avviso.

La compagnia riporta che l’applicazione viene usata in diverse suite di ripristino del sistema di diversi provider. Nel dettaglio, i software colpiti sono: Howyar SysReturn, (versioni precedenti alla 10.2.023_20240919); Greenware GreenGuard (versioni precedenti alla 10.2.023-20240927); Radix SmartRecovery (versioni precedenti alla 11.2.023-20240927); Sanfong EZ-back System (versioni precedenti alla 10.3.024-20241127); WASAY eRecoveryRX (versioni precedenti alla 8.4.022-20241127); CES NeoImpact (versioni precedenti alla 10.1.024-20241127); SignalComputer HDD King (versioni precedenti alla 10.3.021-20241127).

ESET ha individuato la vulnerabilità lo scorso luglio e ha immediatamente notificato la scoperta al CERT Coordination Center. Insieme all’associazione, ESET ha aiutato i provider a elaborare e validare le patch risolutive. Dopo la revoca di Microsoft delle applicazioni UEFI vulnerabili, oggi la compagnia ha reso nota la vulnerabilità.

“Il numero di vulnerabilità UEFI scoperte negli ultimi anni e l’incapacità di correggerle o di revocare i binari vulnerabili entro un lasso di tempo ragionevole dimostrano che anche una funzione essenziale come UEFI Secure Boot non dovrebbe essere considerata una barriera impenetrabile” hanno commentato i ricercatori.

---

---

---

https://www.securityinfo.it/2025/01/16/una-vulnerabilita-di-uefi-secure-boot-permette-lesecuzione-di-codice-durante-il-boot-di-sistema/?utm_source=rss&utm_medium=rss&utm_campaign=una-vulnerabilita-di-uefi-secure-boot-permette-lesecuzione-di-codice-durante-il-boot-di-sistema

Gen 15, 2025 Marina Londei In evidenza, Minacce, News, RSS, Vulnerabilità 0

---

Un bug presente nel flusso di autenticazione degli account Google sta mettendo a rischio i dati di milioni di vecchi account. A dirlo è un ricercatori di Truffle Security: in un post sul blog della firma di sicurezza, il ricercatore ha specificato che un attaccante può acquistare vecchi domini aziendali inutilizzati per accedere ai servizi usati nell’organizzazione.

Di fatto un cybercriminale può reclamare gli account Google di ex dipendenti di una compagnia e, anche se non può accedere alle vecchie email, può comunque sfruttarli per accedere ai servizi dell’azienda e quindi ai dati condivisi su di essi, anche quelli sensibili.

Dylan Ayrey, il ricercatore che ha individuato il bug, ha acquistato uno di questi account ed è riuscito a effettuare il login su servizi quali ChatGPT, Slack, Notion, Zoom e il sistema gestionale delle risorse umane. Ayrey è riuscito così a entrare in possesso dei Social Security Number dei dipendenti, a documenti finanziari, a informazioni assicurative, alle buste paga e a molti altri dati sensibili.

La vulnerabilità sta nel fatto che nel sistema di autenticazione OAuth di Google vengono usati dei “claim”, informazioni sull’utente che vengono inviate ai servizi in uso. I servizi usano queste informazioni per determinare se un utente può accedere; tra i dati condivisi ci sono anche “hd claim”, usato per indicare il dominio dell’azienda, e “email claim”, legato invece all’indirizzo email specifico dell’utente.

I provider di servizi solitamente usano questi due “claim” per determinare se un dato utente può accedere in un determinato workspace aziendale. Sfruttando queste due informazioni, i servizi non riescono a distinguere tra vecchi e nuovi proprietari, permettendo a questi ultimi di accedere agli account di vecchi dipendenti.

“Quando qualcuno acquista il dominio di un’azienda defunta, eredita le stesse rivendicazioni, garantendo l’accesso ai vecchi account dei dipendenti“ sottolinea Ayrey. Il ricercatore ha individuato tale “sub claim”, un identificatore univoco dell’utente che, almeno teoricamente, potrebbe prevenire il problema degli accessi ai vecchi account; nella pratica, però, non è una strada percorribile: questo “claim” non è consistente in quanto ha un tasso di errore dello 0,04%, casi in cui non rimane lo stesso per l’utente. I provider sono quindi costretti a basarsi su altri metodi di identificazione, solitamente i già citati hd ed email.

L’impatto del bug di Google

L’impatto della vulnerabilità è significativo: solo prendendo in esame le startup tech americane, considerate le realtà più a rischio di chiusura, Ayrey riporta che ci sono 6 milioni di dipendenti che lavorano per queste realtà; considerando, afferma il ricercatore, che in media il 90% di queste startup fallisce e che il 50% di esse usa Google per gli account email, i cybercriminali hanno grande spazio di manovra.

Nel dettaglio, Ayrey ha usato il dataset di Crunchbase sulle startup e ha trovato più di 100.000 domini disponibili per l’acquisto dopo il fallimento delle compagnie. “Se ogni startup che ha fallite ha avuto in media 10 dipendenti nel corso del tempo e usato 10 diversi servizi SaaS, parliamo dell’accesso ai dati sensibili di oltre 10 milioni di account” ha spiegato il ricercatore.

Ayrey ha aperto un ticket a Google segnalando il problema e condividendo un Proof-of-Concept, includendo nella descrizione anche due diversi modi per risolvere il bug. Inizialmente la compagnia ha chiuso il ticket specificando che il comportamento di OAuth era quello previsto e che quindi non avrebbe risolto il problema; tre mesi dopo la segnalazione, Google è tornata sui suoi passi e, dopo aver pagato una ricompensa al ricercatore, ha dichiarato di aver iniziato a lavorare un fix. A distanza di quasi un mese dall’ultima risposta, non ci sono aggiornamenti sulla risoluzione del bug.

Al momento né i fornitori di servizi SaaS né le compagnie a rischio possono fare qualcosa per risolvere definitivamente il problema. I provider possono solo implementare misure di protezione aggiuntive controllando la data di registrazione dei nuovi (vecchi) domini e introdurre l’approvazione degli amministratori per gli accessi , ma queste misure introducono costi e difficoltà che non tutti i fornitori riescono ad affrontare.  “L’eventuale ripresa del problema da parte di Google è promettente, ma fino a quando non verrà implementata una soluzione, i dati e gli account di milioni di americani rimarranno vulnerabili“.

---

---

---

https://www.securityinfo.it/2025/01/15/milioni-di-account-google-defunti-sono-vulnerabili-a-un-bug-di-oauth/?utm_source=rss&utm_medium=rss&utm_campaign=milioni-di-account-google-defunti-sono-vulnerabili-a-un-bug-di-oauth

Gen 13, 2025 Marina Londei In evidenza, Malware, Minacce, News, RSS 0

---

I ricercatori di Check Point Research hanno studiato una nuova versione dello stealer Banshee macOS che include nuove feature per eludere i controlli di sicurezza standard.

Il malware, scoperto a metà 2024, è in grado di sottrarre credenziali salvate nel browser, portafogli di criptovalute e altri dati sensibili. La nuova versione, rimasta inosservata per più di due mesi, usa la funzionalità di cifratura delle stringhe di XProtect di Apple per superare i controlli degli antivirus. 

“Questo malware furtivo non si limita a infiltrarsi, ma opera senza essere rilevato, mescolandosi perfettamente con i normali processi di sistema e rubando le credenziali del browser, i portafogli di criptovalute, le password degli utenti e i dati sensibili dei file. Ciò che rende Banshee davvero allarmante è la sua capacità di eludere il rilevamento“ hanno sottolineato i ricercatori.

Gli attaccanti dietro Banshee macOS sono riusciti a sottrarre l’algoritmo per la cifratura delle stringhe dal motore antivirus di Apple, XProtect, permettendo così allo stealer di operare indisturbato per più di due mesi.

Il malware, nato come stealer-as-a-service, è stato distribuito tramite siti di phishing e repository GitHub che si fingevano software popolari come Chrome, Telegram e TradingView.

Una volta scaricato e installato, il malware è in grado di ottenere credenziali e altri dati sensibili da browser quali Chrome, Brave, Edge e Vivaldi, oltre che sfruttare le estensioni installate per sottrarre i fondi dei portafogli di criptovalute; inoltre, lo stealer mostra dei pop-up agli utenti che appaiono come prompt legittimi di sistema per indurli a inserire la propria password macOS. 

Lo scorso novembre il codice sorgente dello stealer è stato pubblicato sui forum del dark web, permettendo così ai ricercatori di comprendere il suo meccanismo e rafforzare le difese. Nonostante il progetto originale sia stato chiuso dopo il leak, il team di Check Point Research ha scoperto numerose campagne che continuano a distribuire il malware. Non è chiaro se dietro queste operazioni ci sia il vecchio team di attaccanti o i clienti del gruppo.

I ricercatori di Check Point evidenziano anche che l’ultima versione del malware aveva rimosso il controllo sulla lingua russa: inizialmente lo stealer si fermava se individuava l’uso del russo sul dispositivo target, mentre nelle ultime campagne questo check è stato eliminato del tutto, ampliando di conseguenza il raggio di possibili vittime.

“Il successo di Banshee evidenzia la natura in evoluzione delle cyberminacce e la necessità di adottare difese robuste“ spiegano i ricercatori. Anche se il progetto principale non è più attivo, la minaccia di Banshee non si arresta e potrebbe ripresentarsi in futuro in altre forme, sotto altri nomi.

---

---

---

https://www.securityinfo.it/2025/01/13/banshee-macos-sfrutta-xprotect-di-apple-per-eludere-i-controlli-di-sicurezza/?utm_source=rss&utm_medium=rss&utm_campaign=banshee-macos-sfrutta-xprotect-di-apple-per-eludere-i-controlli-di-sicurezza