venerdì 17 marzo 2023
lunedì 21 novembre 2022
Pubblicato l'expoit per sfruttare ProxyNotShell di Microsoft Server Exchange
E' stato pubblicato l'exploit per sfruttare in attacchi reali Proxy Not Shell, il bug di Microsoft Server Exchange.
ProxyNotShell: breve sintesi
Anzitutto presentiamo in breve le vulnerabilità in questione. Le vulnerabilità alla base di ProxyNotShell sono:
- CVE-2022-41040: vulnerabilità di falsificazione delle richieste lato server;
- CVE-2022-41082: vulnerabilità di esecuzione codice da remoto quando PowerShell è accessibile all'attaccante.
Per approfondire > Microsoft Exchange: due vulnerabilità 0-day usate in attacchi reali contro le aziende
La società ha aggiunto che la vulnerabilità CVE-2022-41040 può essere sfruttata solo da attaccanti autenticati: se però l'exploit di questa ha successo, l'attaccante può attivare la vulnerabilità CVE-2022-41082. Sottolineiamo comunque che queste 0-day impattano solo sulle istanze Microsoft Exchange on-premise.
Ulteriori informazioni tecniche, indicatori di compromissione e info sono disponibili nella "Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server" di Microsoft.
Microsoft ha patchato già queste vulnerabilità
venerdì 18 novembre 2022
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT 05 - 11 Novembre
Quali malware girano nel panorama italiano? Quali campagne di attacco? Nei report settimanali del CERT-AgID tutte le informazioni utili: perché la prevenzione passa dalla consapevolezza.
I malware della settimana 05 - 11 Novembre
La scorsa settimana il CERT ha intercettato e analizzato 36 campagne dannose: di queste 32 sono state mirate contro utenti italiani mentre 4 sono state generiche ma veicolate anche nel cyber spazio italiano. Le famiglie individuate in diffusione sono state 7, con una sovraesposizione del malware Emotet. Ecco il dettaglio:
- Emotet è stato diffuso con 11 diverse campagne a tema Documenti, Pagamenti e Resend. Le email hanno veicolato allegati ZIP e XLS. Per la diffusione sono state usate le parti Epoch5 e Epoch4 dell'infrastruttura di Emotet. Per approfondire > La botnet Emotet aumenta la propria attività e riduce drasticamente il tasso di rilevamento;
- AgentTesla è stato diffuso con 6 diverse campagne a tema Pagamenti e Delivery: 2 di queste sono state campagne generiche, ma 4 invece sono state mirate contro utenti italiani. Gli allegati vettore sono stati nei formati 7Z, ACE, IMG e DOC. Per approfondire > Anatomia di AgentTesla, lo spyware più diffuso in Italia;
- IceID è stato in diffusione con 2 campagne mirate molto insidiose: uno a tema Energia, che ha simulato comunicazioni relative a bollette Enel e una che ha simulato comunicazioni dell'Agenzia delle Entrate. Le email hanno veicolato allegati XLS. Maggior info sul canale Telegram del CERT;
mercoledì 16 novembre 2022
Data breach: in vendita i dati dei clienti di Luxottica
Data breach: in vendita su Breach Forum i dati di 300 milioni di clienti di Luxottica. L'azienda, nel 2021, era già stata colpita da un ransomware. Siamo di fronte ad un nuovo attacco?
Luxottica: i dati in vendita su Breach Forum
Di nuovo, come ormai succede da tempo, i dati di un'azienda italiana finiscono in vendita su Breach Forum, community di black hacker specializzata in rivendita di dati rubati. Stando a quanto riportato dalla redazione di Red Hot Cyber, l'utente che ha pubblicato il post su Breach Forum ha affermato che i dati sono stati sottratti nel 2021.
Fonte: Red Hot Cyber |
Vi si trovano informazioni come:
lunedì 14 novembre 2022
Kelvin Security: il gruppo di cyber criminali specializzati in data breach colpisce di nuovo in Italia
Kelvin Security, il gruppo di cyber criminali specializzati in data breach ha colpito di nuovo in Italia, pubblicando i dati rubati da un'azienda italiana. Chi sono e come agiscono.
Kelvin Security: gli attacchi più recenti
Per approcciarsi alla storia di questo gruppo di attaccanti è utile prendere spunto da un episodio reale, accaduto pochi giorni fa, e da prendere come contesto. Qualche giorno fa in BreachForums (forum dell'underground hacking specializzato nella rivendita di dati rubati) è comparso un nuovo post dell'utente KevinSecurity: nel post gli attaccanti mettono in vendita i dati di Norigine Italia, un'azienda farmaceutica con sede a Milano.