20052022

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 2° settimana Giugno

ferente sempre al settore chimico. martedì 14 giugno 2022
Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 2° settimana Giugno

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 2° settimana di Giugno
La scorsa settimana il CERT-AGID ha individuato e analizzato 45 campagne dannose mirate contro utenti italiani. Una sola è stata generica ed ha riguardato anche il cyber spazio italiano. Le famiglie malware individuate in diffusione sono state 9: ben 30 le campagne finalizzate alla diffusione di malware.

Emotet la fa da padrone, con ben 16 campagne mirate contro utenti italiani. Queste campagne sono state a tema Resend ed hanno veicolato allegati ZIP protetti da password contenenti, a loro volta, file LNK o XLS. Gli esperti del CERT sottolineano come le campagne Emotet siano raddoppiate rispetto alla settimana scorsa.
Formbook è stato in diffusione con 4 campagne a temi variabili: Documenti, Delivery con abuso del brand DHL, e Resend. Gli allegati vettore sono stati GZ e XLSX.
Urnsif è stato diffuso con tre campagne rispettivamente a tema< Documenti, Delivery (sempre DHL) e Pagamenti. Gli allegati dannosi sono stati in formato XLSM e DOC. Nel caso del documento DOC è stato usato anche SVCReady. SVCReady è la novità in Italia. E' stato diffuso con due campagne, una a tema Resend e l'altra a tema Documenti. In entrambi i casi le email contenevano, come allegato vettore, un file DOC. Avemaria è stato diffuso con la sola campagna generica individuata in Italia. L'email era a tema Ordine e veicolava allegati RAR. sLoad è stato diffusione con una campagna mirata contro utenti italiani. Nuovamente sotto attacco il circuito PEC. Le email contenevano nel testo un link che rimandava al download di un file ZIP contenente a sua volta un WSF. Anche questa campagna è stata contrastata dal CERT in collaborazione con i provider PEC. Snake è stato diffuso con una campagna mirata contro utenti italiani a tema Ordine. Le email recavano un allegato GZ. AgenTesla è stato diffuso con una campagna mirata a tema DHL (Delvery): gli allegati vettore erano in formato GZ. Qakbot è stato diffuso con una campagna a tema Resend. Le email vettore utilizzavano un allegato HTML che, a sua volta, conteneva un file IMG con un LNK + una DLL nascosta e un file DOCX. Quest'ultimo sfrutta un exploit per la vulnerabilità Follina” CVE-2022-30190. Per saperne di più > Individuata una vulnerabilità 0day molto pericolosa sui SO Windows e Windows Server: la CVE-2022-30190 Follina è già usata in attacchi reali

SVCReady in breve:
SVCReady è nuovo in Italia. Per la propagazione predilige i documento Word con macro, grazie alla quale esegue uno shellcode memorizzato nelle proprietà del documento stesso. SVCReady puà caricare ed eseguire file sulla macchina infetta, eseguire screenshot, raccogliere i dati di sistema, elencare i dispositivi collegati alla macchina bersaglio. Si guadagna la persistenza impostandosi come attività pianificata.

Fonte: https://cert-agid.gov.it

Le campagne di phishing della 2° settimana di Giugno
Le campagne di phishing sono state 16 hanno coinvolto 12 diversi brand. Qui abbiamo le solite conferme di sempre: la maggior parte delle campagne sono state finalizzate al furto di credenziali bancarie / carte di credito e al furto di credenziali di account webmail.

Tra i brand più sfruttati troviamo al primo posto Office 365, quindi Sella e MPS.

Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore

Nella classifica per i file vettore utilizzati si piazza al primo posto, per netto distacco, il formato Excel XLS. Il formato ZIP, che aveva invece dominato la classifica delle scorse settimane, si piazza solo al secondo post. Seguono i formati LNK e DOC.

Fonte: https://cert-agid.gov.it

Anche i formati dei file di attacco confermano una certezza della settimana: non si trova traccia di attacchi contro i dispositivi Android che invece, nelle scorse settimane, erano stati sotto attacco per la diffusione di malware come SMSGrab e Brata.

190620222

Ecco il nuovo ransomware BlackBasta: ha già colpito in Italia

venerdì 17 giugno 2022
Ecco il nuovo ransomware BlackBasta: ha già colpito in Italia

Le prime individuazioni di BlackBasta risalgono all'Aprile 2022: anzi, Blackbasta ha fatto proprio irruzione nel mondo delle operazioni ransomware, colpendo ben 12 aziende nel mondo in pochissimi giorni. Un esordio molto rumoroso degno, in effetti, di un'operazione ransomware davvero molto pericolosa. Ovviamente Black Basta è un RaaS, anche se ad ora non è chiaro quanto sia vasta la sua rete di affiliati.

Black Basta: tecniche estorsive
Black Basta è l'ennesima operazione ransomware specializzata in attacchi contro reti aziendali. Secondo "le mode" attuali, la criptazione dei dati è preceduta dall'esfiltrazione di dati, documenti e informazioni utili per la fase estorsiva. Di conseguenza Black Basta ha un site leak su Tor chiamato 'Black Basta Blog' o 'Basta News" dove si trova la lista di tutte le vittime che non hanno pagato il riscatto o che si rifiutano di contrattare.

La routine di infezione si avvia quando il ransomware ha ottenuto i privilegi di amministrazione
Curiosamente infatti il ransomware, qualora non riesca a ottenere i privilegi di amministrazione, non si avvia ma mostra un prompt nel quale li richiede, forse sperando che qualche sbadato o ignaro dipendente glieli conceda davvero

La prima azione che esegue è la rimozione delle copie shadows per impedire il ripristino di Windows col comando

C:\Windows\system32\cmd.exe /c C:\Windows\SysNative\vssadmin.exe delete shadows /all /quiet

Scarica quindi due file: uno che serve a sostituire lo sfondo del desktop, l'altro a modificare l'icona dei file criptati:

%Temp%\fkdjsadasd.ico
%Temp%\dlaksjdoiwq.jpg

A questo punto dirotta un servizio Windows già esistente e lo usa per lanciare l'eseguibile del ransomware. Nell'analisi di Bleeping Computer, il servizio dirottato è quello Fax.

Fonte: Bleeping Computer

Ecco sotto la nuova chiave di registro creata per il nuovo servizio "FAX": questa chiave sostituisce la precedente, relativa al servizio legittimo cancellato.

Fonte: TrendMicro

Quindi avvia il PC in modalità sicura: la criptazione dei file avviene proprio mentre il dispositivo è in modalità sicura.

Ai file criptati viene aggiunta l'estensione .basta.

La nota di riscatto di Black Basta
Nella nota di riscatto gli attaccanti indicano il sito .onion del gruppo e l'ID dell'azienda colpita. I ricercatori hanno notato che l'ID per l'azienda è lo stesso su tutti i dispositivi, anche avviando il ransomware in diverse macchine virtuali.

La nota di riscatto viene copiata in ogni cartella criptata e si chiama readme.txt.

Black Basta colpisce in Italia
Black Basta è già sbarcato in Italia e ha colpito, pochissimi giorni fa la RadiciGroup che si occupa di produzione di fibre sintetiche, polimeri e altri prodotti chimici e ha sede legale a Bergamo nonostante la dislocazione mondiale delle varie sedi.

Sul site leak del ransonmware sono già stati pubblicati la rivendicazione dell'attacco e alcuni file rubati

Fonte: RedHotCyber

Fonte: RedHotCyber

Tra le prime vittime italiane risulta la LECHLER S.p.A, PMI afferente sempre al settore chimico.

190620221

L'università di Pisa colpita dal ransomware BlackCat. Il gruppo BlackCat inaugura una nuova tecnica estorsiva

mercoledì 15 giugno 2022
L'università di Pisa colpita dal ransomware BlackCat. Il gruppo BlackCat inaugura una nuova tecnica estorsiva

L'università di Pisa sta fronteggiando un attacco ransomware. Anzi, considerando che una parte dei dati rubati sono già stati pubblicati online, è più corretto dire che ha subito un attacco ransomware. La notizia è di qualche giorno fa, quando sul leak site del gruppo ransomware ALPHV/BlackCat è stata pubblicata la rivendicazione dell'attacco.

Da RedHotCyber fanno sapere che, tramite analisi OSINT, sono stati rintracciati dei dati che potrebbero essere stati utili per irrompere nella rete della celebre università italiana.

Fonte: RedHotCyber

Questa la richiesta di riscatto che gli attaccanti hanno fatto avere all'Università. Sono richiesti 4.500.000 di dollari entro il 16 Giugno. Superata quella data il riscatto aumenterà a 5 milioni di dollari.

Fonte: https://www.insicurezzadigitale.com/

Dalla richiesta si nota come gli attaccanti abbiano preparato una live chat Tor per essere contattati e avviare delle trattative. Non è la prima volta: anche il gruppo Hive aveva messo a disposizione di Trenitalia una live chat riservata per contatti. In quell'occasione le credenziali di accesso, però, finirono pubblicate su Twitch. Quando gli attaccanti si trovarono in contatto con persone non afferenti a Trenitalia e si resero conto che le credenziali erano state pubblicate, aprirono una nuova chat riservata, aumentando però il riscatto.

Quali dati sono stati pubblicati sul leak site di ALPHV/BlackCat?
A stretto giro, gli attaccanti hanno anche pubblicato alcuni sample. Una schermata mostra quello che pare essere un database. Come si vede dalla foto sotto, resa pubblica da alcuni ricercatori di sicurezza che hanno visionato i dati pubblicati dal gruppo ransomware, vi sono ID, email e, soprattutto, password in chiaro.

L'altro screen pubblicato mostra una lista di file che, presumibilmente, contengono dati sensibili e personali degli studenti universitari e dei professori.

Aggiornamento del 17 Giugno
Il gruppo ALPHV/BlackCat ha pubblicato una prima parte dei dati sottratti dalla rete dell'Università di Pisa. Vi si trovano i dati personali di alcuni studenti, come nome e cognome, codice fiscale, indirizzo di residenza, data di nascita, numero di telefono ed email. Non solo: gli attaccanti fanno anche intendere di avere a rubato molti altri dati, come quelli relativi all'amministrazione e alla gestione finanziaria di almeno un dipartimento dell'Università. Il segnale è chiaro: evidentemente l'Università di Pisa non sta trattando con gli attaccanti

Fonte: RedHotCyber

Fonte: RedHotCyber

La nuova tecnica estorsiva: i dati pubblicati nel web emerso
L'attacco all'Università di Pisa fa registrare una novità assoluta, ovvero un ulteriore livello di ricatto. Il gruppo ALPHV/BlackCat ha iniziato a pubblicare i dati rubati anche nel web emerso. La tecnica estorsiva, per come ricostruita dal famoso cyber investigatore Brian Krebs, prevede che in caso di mancato pagamento i dati rubati dalla rete bersaglio non finiscano online soltanto nel darkweb, ma anche su un sito internet nel web emerso. In pratica, chiunque, anche senza l'uso di Tor, potrà accedere ai dati rubati che gli attaccanti decideranno di pubblicare. Il dominio, almeno per quanto ricostruito fino ad adesso, viene aperto direttamente dagli attaccanti con indirizzo nome_vittima.xyz.

La prima azienda colpita da questo meccanismo di ricatto è stata la The Allison INN & SPA.

Fonte: Brian Krebs

Trattandosi di una struttura ricettiva, gli attaccanti hanno suddiviso i dati pubblicati in due categorie:

i dati dei dipendenti (employee data)
i dati degli ospiti (guest data).
Sotto si legge un appello al management aziendale. I dati sono davvero presenti sul sito. Sotto i dati di alcuni clienti

Fonte: Brian Krebs

Sotto i dati di alcuni dipendenti

Fonte: Brian Krebs

E' presente anche il tasto "Full Data" che consente di scaricare l'intero archivio dei dati, in formato ZIP.

Il ransomware ALPHV/BlackCat in breve
ALPHV/BlackCat è un RaaS che ha debuttato sulle scene del cyber crime fin dai primi mesi del 2021. Dopo aver reclutato membri importanti ed esperti di altre operazioni ransomware meno fortunate (ex appartenenti a REvil dopo lo smantellamento e l'arresto di gran parte del gruppo, ma abnche membri delle operazioni ransomware BlackMatter e DarkSide) ha incrementato la propria attività (Novembre 2021) e si è specializzato in reti aziendali. Pratica fin dall'inizio il meccanismo della tripla estorsione:

un riscatto per non pubblicare i dati rubati;
uno per il decryptor;
uno per evitare attacchi DDoS, che vengono lanciati dal momento in cui la vittima rifiuta di collaborare.
La tripla estorsione già rende chiaro che ALPHV/BlackCat non si limita a criptare i dati, ma procede anticipatamente ad esfiltrarli dalla rete. Le modalità con le quali ALPHV/BlackCat accede alle reti sono varie: un recente studio ha mostrato come spesso sfrutti la vulnerabilità CVE-2021-31207 di Microsoft Exchange Server.

Questo ransomware può criptare sistemi Windows, Linux e perfino ambienti di VMware ESXi. Gestito da riga di comando, offre ai suoi affiliati non solo un alto livello di personalizzazione e configurazione, ma anche quattro diverse routine crittografiche.

a3

Comune di Palermo violato dal Ransomware ViceSociety. Tre giorni alla pubblicazione dei dati

giovedì 9 giugno 2022
Comune di Palermo violato dal Ransomware ViceSociety. Tre giorni alla pubblicazione dei dati

Qualche giorno fa abbiamo dato notizia di un attacco subito dal Comune di Palermo: si parlava di attacco ransomware, ma non c'era alcuna conferma ufficiale di questi sospetti, pur ampiamente diffusi nella comunità dei ricercatori ed esperti di sicurezza informatica.

L'attacco è grave, sicuramente, come testimonia il fatto che i sistemi del comune di Palermo sono in down da giorni (anche al momento della scrittura di questo articolo). Le preoccupazioni sono aumentate dal fatto che il Comune è alle porte delle elezioni per il rinnovo delle cariche comunali anche se la società responsabile della gestione dei servizi informatici comunali ha dichiarato che le liste elettorali sono state stampate e le tessere elettorali correttamente aggiornate. Anche i servizi anagrafici sembrano tornato online.

I sistemi sono stati messi offline in via cautelativa, come ha spiegato Paolo Petralia Camassa, assessore all'innovazione del Comune di Palermo, tramite il proprio profilo social:

“al momento il sistema è stato cautelativamente spento e isolato dalla rete. La situazione è seria e i disservizi potrebbero perdurare per giorni"

Per saperne di più > Comune di Palermo sotto attacco: sistemi offline. Le credenziali di accesso alla rete erano in vendita nel dark web

Arriva la rivendicazione: è stato il gruppo ransomware ViceSociety
Nonostante un post sul canale Telegram del Gruppo KillNet, uno sfottò alla Polizia Italiana in relazione all'attacco al comune di Palermo, l'attacco DDoS è una possibilità remota. Meno remota, anzi ormai quasi certa, sembra la possibilità di attacco ransomware.

Il Comune né altre istituzioni italiane hanno rilasciato dichiarazioni ufficiali sul punto, ma una certezza c'è: il gruppo ransomware ViceSociety ha rivendicato l'attacco. Sul sito di leak del ransomware infatti, è comparso il classico countdown.

Si presume che, allo scadere del countdown, verrà pubblicata una parte dei dati rubati. Se la rivendicazione fosse vera, siamo quindi di fronte all'ennesimo episodio di doppia estorsione: l'attacco ransomware è preceduto dall'esfiltrazione dei dati dai sistemi bersaglio. Gli attaccanti chiedono quindi un riscatto per non pubblicare i dati e uno per consegnare il decryptor per riportarli in chiaro.

La domanda sorge spontanea: che cosa è successo ai dati personali contenuti nei sistemi del Comune di Palermo?

AGGIORNAMENTO DEL 10/06
L'account Twitter del Comune di Palermo ha reso pubblicamente disponibile la relazione che Sispi, responsabile della gestione della rete informatica del comune, ha prodotto sull'accaduto.

ViceSociety: breve biografia
E' questo, l'ennesimo attacco da parte di ViceSociety contro vittime italiane. Nel Settembre 2021 ha fatto ben due vittime in un solo giorno: prima Euronics, poi l'azienda chimica Tovo Gomma. Quest'anno ha colpito l'ABI, associazione bancaria italiana.

ViceSociety è un ransomware in circolazione dalla metà del 2021. Specializzato in attacchi contro piccole e medie imprese, ha scelto la tecnica della doppia estorsione. Il gruppo che lo gestisce dimostra una forte predilezione per le istituzioni scolastiche e, in generale, enti educativi.

Nel corso delle osservazioni da parte dei ricercatori di sicurezza ViceSociety ha dimostrato una grande abilità nell'individuare e sfruttare velocemente nuove vulnerabilità soprattutto per eseguire movimenti laterali lungo la rete vittima e per garantirsi la persistenza. Si dimostrano anche molto attenti nel cercare di bypassare le individuazioni della propria attività sugli endpoint: da questo punto di vista sono grandi innovatori.

ViceSociety è dotato, come ogni gruppo ransomware dedito alla doppia estorsione, di un site leak: una pagina nella quale vengono pubblicati i countdown e i dati che mano a mano gli attaccanti decidono di pubblicare. I ricercatori di Cisco Talos, che studiano da lungo tempo questo ransomware, spiegano che è capace di varie tecniche di attacco:

tenta di bypassare le protezioni di Windows per tentare il furto di credenziali e l'escalation di privilegi;
usa una DLL capace di sfruttare la vulnerabilità PrintNightmare (CVE-2021-34527 già risolta da Windows);
degrada i server ESXi usati per la virtualizzazione nell'ambiente bersaglio;
usa tool come Proxychains e Impacket durante la fase post compromissione;
colpisce i backup per impedire il ripristino dei sistemi dopo il lancio del ransomware.
Vice Society aggiunge ai file criptati l'estensione di criptazione v.society.amente al destino della mole di dati personali ospitata nell'infrastruttura del Comune.

a2

Comune di Palermo sotto attacco: sistemi offline. Le credenziali di accesso alla rete erano in vendita nel dark web

lunedì 6 giugno 2022
Comune di Palermo sotto attacco: sistemi offline. Le credenziali di accesso alla rete erano in vendita nel dark web

Sono offline diversi servizi, comprese le telecamere collegate alla Sala Operativa dei Vigili Urbani. Poche ore dopo il Comune di Palermo pubblica una nota dove si parla apertamente di "attacco hacker":

“Nelle prime ore del mattino è stato rilevato un attacco hacker sul nostro sistema informatico. Al momento il sistema è stato cautelativamente spento e isolato dalla rete. Sono in corso attività per valutare natura e conseguenze dell’incidente. I servizi sono attualmente indisponibili e potrebbero verificarsi disagi nei prossimi giorni di cui ci scusiamo anticipatamente. La Sispi ha già costituito un team tecnico per gestire l’evento e sono state messe in campo le misure necessarie a porre rimedio a possibili violazioni dei dati personali e si sta provvedendo alle comunicazioni nei confronti delle Autorità competenti. Con successive comunicazioni verranno resi noti eventuali aggiornamenti”.

I sistemi risultano ancora offline "in via precauzionale" e dovrebbero tornare online nel corso della giornata di oggi, Lunedì 6 Giugno. Il fatto che i sistemi siano stati spenti manualmente in via precauzionale fa pensare che non si sia trattato di un attacco DDoS e che quindi il collettivo di hacktivisti russi KillNet non dovrebbe essere collegato a questo attacco. Si vocifera, ma non ci sono conferme, che si tratti di un tentativo di attacco ransomware.

Come nel caso dell'attacco al Fatebenefratelli-Sacco, le credenziali erano in vendita nel dark web
Gli esperti di Cluser 25 hanno confermato quel che si temeva e che, purtroppo si è già verificato. Le credenziali di accesso alla rete erano già state diffuse nel dark web. Anzi, risultano pubblicate fin dal 25 Maggio

Fonte: Cluster25

E' un accesso di tipo SSO (Single Sign On, valide per accedere con una unica autenticazione a più sistemi) all'infrastruttura del comune di Palermo. La fonte dalla quale sarebbero fuoriuscite queste credenziali parrebbe essere una botnet.

Nel frattempo il sito di cyber security RedHotCyber rileva nel dark web ulteriori informazioni relative ad accessi all'infrastruttura del Comune di Palermo.

Un caso quasi fotocopia a quanto già avvenuto nel caso del cyber incidente occorso poco tempo fa all'ospedale Fatebefratelli Sacco.

Per saperne di più > Sacco e Fatebenefratelli colpiti da ransomware: VPN in vendita

Quali servizi sono andati offline?
Premesso che l'infrastruttura risulta in down in via precauzionale, tecnica estrema di difesa che si attua solitamente per evitare ulteriori propagazioni di una infezione su un sistema, risultano un pò più chiari, a 4 giorni di distanza i danni e i disservizi.

Anzitutto c'è il problema delle zone a traffico limitato: le telecamere sono accese, ma il sistema non è più in grado di registrare il pass di pagamento. Sugli schermi che segnalano l'inizio della ZTL campeggia da giorni la scritta "IN TEST". Di contro, spiegano dall'amministrazione comunale, non è possibile emettere un'ordinanza ad hoc perché non è possibile pubblicarla.

L'amministrazione sta inoltre dando indicazione, riguardo ai certificati anagrafici, di accedere con SPID o carta di identità elettronica al portale dell'Anagrafe Nazionale. I sistemi comunali infatti non possono ad ora fornire ai cittadini i certificati di stato di famiglia, i certificati di nascita, i certificati di matrimonio e i documenti di cambio di domicilio e i certificati di residenza. Non sono invece ancora tornati pienamente operativi i sistemi di rilascio della CIE. Non è possibile neppure prenotare l'utilizzo degli impianti sportivi né accedere ai servizi online per l'acquisto dei biglietti del sistema museale e del Teatro Massimo.

Sispi, la società che gestisce l'infrastruttura del Comune di Palermo, assicura però che tutto ciò che è necessario e contestuale alle imminenti elezioni è stato ripristinato. Il Comune ha fatto sapere che:

“gli adempimenti preliminari alla tornata elettorale sono stati tutti portati a termine (stampa liste elettorali, aggiornamenti tessere elettorali), è attivo il servizio di rilascio della Cie presso tutte le postazioni e il servizio di registrazione del sistema di videosorveglianza non ha subito alcuna interruzione”.

Sicuramente interrotti sono i sistemi di comunicazione telematici: il Comune è tornato ai fax e a sistemi di comunicazione privati. Numerosi i respingimenti agli sportelli di cittadini per i quali l'ente non è in condizione di sbrigare le pratiche richieste.

Ransomware o non ransomware?
Non è chiaro quale tipo di attacco sia stato portato contro i sistemi del Comune di Palermo. Si vocifera di attacco ransomware, ma non ci sono conferme ufficiali. Anzi, fino a 2 giorni fa il Comune di Palermo ribadiva che :

“Fino ad ora non abbiamo ricevuto rivendicazioni e dai controlli fino ad ora effettuati non ci sarebbero dati criptati o rubati per chiedere un riscatto”.

Nessuna informazione è stata resa pubblica relativamente al destino della mole di dati personali ospitata nell'infrastruttura del Comune.

a1

Individuata una vulnerabilità 0day molto pericolosa sui SO Windows e Windows Server: la CVE-2022-30190 Follina è già usata in attacchi reali

martedì 7 giugno 2022
Individuata una vulnerabilità 0day molto pericolosa sui SO Windows e Windows Server: la CVE-2022-30190 Follina è già usata in attacchi reali

E' stata individuata una vulnerabilità 0day classificata come "severe" in Windows Support Diagnostic Tool (MSDT). Consente l'esecuzione di codice arbitrario da remoto, non è ancora patchata ed è già usata in attacchi reali.

CVE-2022-30190 Follina: info tecniche
La guida di Microsoft la descrive così:

"E' una vulnerabilità di esecuzione di codice da remoto che sussiste quando MSDT è chiamato usando il protocollo URL da un'applicazione richiamante come Word. Un attaccante che dovesse sfruttare con successo questa vulnerabilità può eseguire codice arbitrario da remoto coi privilegi dell'applicazione richiamante. L'attaccante può installare programmi, vedere, modificare e cancellare dati o creare nuovi account".

Qui l'alert di Microsoft > Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability

Windows Support Diagnostic Tool MSDT è un tool usato dal supporto di Microsoft per diagnosticare problemi su Windows e facilitarne la risoluzione. Questo tool è presente in tutte le versioni di Windows dalla 7 in poi, comprese le versioni Windows Server, dalla 2008 e successive. A tutt'ora non è stata pubblicata alcuna patch.

La 0day individuata per caso
La CVE-2022-30190 Follina è stata individuata per caso dal ricercatore nao_sec, che ha individuato un documento Word compromesso inviato alla piattaforma di scansione Virus Total da un indirizzo IP bielorusso.

"Stavo cercando su VirusTotal file che sfruttassero la vulnerabilità CVE-2021-40444, quando ho trovato un file che sfrutta lo schema ms-msdt. Usa un link esterno Word per caricare un file HTML quindi usa lo schema "ms-msdt" per eseguire codice PowerShell" ha fatto sapere nao_sec.

Il payload deoffuscato individuato da nao_sec

In dettaglio, questo sample ha una riga di comando che Microsoft Word esegue usando MSDT, anche nel caso in cui gli script macro siano disattivati. Lo script Powershell estrae un file codificato in base64 da un file RAR.

Il documento Word in oggetto scarica un file HTML da un server remoto. Questo codice HTML usa quindi il protocollo MS_MSDT URL per caricare codice aggiuntivo ed eseguire il codice Powershell. Il ricercatore spiega che la funzione di Visualizzazione Protetta, pensata per avvisare nel caso di file provenienti da posizioni potenzialmente non sicure, si attiva per avvisare gli utenti della possibilità che il documento sia compromesso. E' però sufficiente convertire il documento in un file RTF per bypassare il problema.

La guida di Microsoft per mitigare il rischio
Microsoft è dovuta correre velocemente ai ripari, visto che Follina è già usata in attacchi reali e non solo via Proof of concept pubblicato da qualche accademico, pur già esistenti, ovviamente.

Windows spiega che al momento la migliore soluzione per mitigare il problema è disabilitare il protocollo MSDT URL, che è poi lo strumento usato dagli attaccanti per l'exploit. Per disabilitare questo protocollo occorre:

eseguire il prompt dei comandi da amministratore;
backuppare la chiave di registro eseguendo il comando "reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg"
eseguire il comando "reg delete HKEY_CLASSES_ROOT\ms-msdt /f"
Il protocollo potrà essere quindi riattivato quando Microsoft provvederà ad approntare e rendere disponibile una patch.

La CVE-2022-30190 Follina è già stata usata dal gruppo APT TA413 e in attacchi contro enti governativi europei e statunitensi
I Seqrite Security Labs hanno individuato un primo attacco che sfrutta la 0day Follina per distribuire la backdoor Turian e un beacon di Cobalt Strike. In uno dei casi analizzati è stato usato un documento Word chiamato "VIP Invitation to Doha Expo 2023.docx"che sfrutta il protocollo URL MSDT per scaricare Cobal Strike.

Nel secondo caso, è stata la redazione di Bleeping Computer a dare notizia di attacchi diretti contro enti governativi europei e statunitensi tramite la 0day Follina. In dettaglio l'attacco inizia con una email che promette ai dipendenti un aumento di salario per indurli ad aprire il documento dannoso. Questo scarica uno script Powershell come payload finale.

Fonte: Bleeping Computer

Lo script Powershell verifica se si trovi o meno in esecuzione in una virtual machine, quindi ruba informazioni dai browser più popolari, dai clienti mail, dai servizi file e raccoglie informazioni sul sistema. Tutti i dati raccolti sono inviati ad un server controllato dall'attaccante.

Sono attaccati applicativi come:

Browser: Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Yandex, Vivaldi, CentBrowser, Comodo, CheDot, Orbitum, Chromium, Slimjet, Xvast, Kinza, Iridium, CocCoc e AVAST Browser;
Client Mail e altri applicativi: Mozilla Thunderbird, Netsarang, Windows Live Mail, Filezilla, ToDesk , WeChat, Oray SunLogin RemoteClient, MailMaster, ServU, Putty, FTP123, WinSCP, RAdmin, Microsoft Office, Navicat.
Sono raccolte informazioni sulla macchina, la lista degli username e le informazione sui domini Windows.
Perché la CVE-2022-30190 si chiama Follina?
Una piccola curiosità: il nome Follina viene proprio dal piccolo comune della provincia di Treviso. Il nome lo ha scelto il ricercatore di sicurezza Kevin Beaumont, tra i primi ad analizzare sample di file vettore che sfruttano questa vulnerabilità. Deriva dal fatto che il sample che ha individuato fa riferimento a 0438 che è il prefisso del Comune di Follina, proprio in Italia.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy