Aggiornamenti recenti Settembre 12th, 2025 4:31 PM
Apr 03, 2023 Dario Orlandi Attacchi, News, RSS, Vulnerabilità 0
Sophos ha individuato un grave incidente di sicurezza che ha coinvolto 3CX, un sistema di comunicazione disponibile come soluzione PBX virtuale gestita o in hosting utilizzato da importanti aziende di 190 paesi in tutto il mondo.
A quanto pare, si tratta di un tipico attacco alla supply chain: i cybercriminali sono stati in grado di aggiungere un file di installazione nell’applicazione desktop che sfrutta un sideloading di DLL per caricare un payload dannoso codificato.
Mat Gangwer, VP, Managed Threat Response di Sophos, ha commentato: “Gli esperti di Sophos sono stati i primi a identificare questa attività dannosa derivante da un apparente attacco alla supply contro 3CXDesktopApp che ha coinvolto anche alcuni nostri clienti dopo aver rilevato questa attività il 29 marzo”.
Mat Gangwer, VP, Managed Threat Response di Sophos
3CX è un sistema telefonico aziendale ampiamente utilizzato in tutto il mondo. Gli autori dell’attacco sono riusciti a manipolare l’applicazione per aggiungere un programma di installazione che utilizza il sideloading di DLL per recuperare un payload dannoso e codificato.
Le tattiche e le tecniche utilizzate non sono nuove, in quanto sono simili alle attività di DLL sideloading già rilevate in precedenza. Gli esperti di Sophos hanno identificato tre dei componenti cruciali di questo scenario di sideloading DLL incorporati nel pacchetto del fornitore.
Da quanto è emerso, Le DLL compromesse hanno superato i controlli del sistema operativo sfruttando una vulnerabilità tutt’altro che nuova, ma ancora molto attuale: il bug CVE-2013-3900, ossia vulnerabilità di convalida della firma WinVerifyTrust.
Microsoft ha rivelato questa vulnerabilità nel dicembre 2013: permette l’aggiunta di contenuti senza invalidare la firma. Ad esempio, il programma di installazione di Google Chrome aggiunge dati alla struttura Authenticode per attivare i rapporti diagnostici.
Microsoft ha inizialmente proposto una correzione obbligatoria, ma successivamente ha deciso di renderla attivabile su base volontaria, perché la correzione non consente più l’estrazione di informazioni estranee dalla struttura WIN_CERTIFICATE; di conseguenza, Windows non riconosce più i file binari non conformi come firmati.
Come se non bastasse, anche chi avesse scelto di attivare la funzione potrebbe averla persa durante la migrazione da Windows 10 a Windows 11: il processo, infatti, rende nuovamente vulnerabile il sistema e richiede una nuova mitigazione.
Per applicare la patch bisogna aprire l’editor del registro di configurazione e modificare le chiavi seguenti:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1"
Set 01, 2025 0
Lug 29, 2025 0
Giu 04, 2025 0
Mag 30, 2025 0
Set 12, 2025 0
Set 11, 2025 0
Set 10, 2025 0
Set 09, 2025 0
Set 12, 2025 0
L’intelligenza artificiale diventa non solo...Set 11, 2025 0
Il ransomware continua a dilagare e rimane la minaccia...Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...Ago 04, 2025 0
I chatbot basati su modelli linguistici di grandi...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Set 12, 2025 0
L’intelligenza artificiale diventa non solo...Set 11, 2025 0
Il ransomware continua a dilagare e rimane la minaccia...Set 10, 2025 0
Google dovrà pagare una multa salata da 425 milioni per...Set 09, 2025 0
I ricercatori di Arctic Wolf hanno scoperto GPUGate, una...Set 08, 2025 0
I ricercatori di Security Bridge hanno scoperto che una...