Aggiornamenti recenti Settembre 17th, 2024 9:58 AM
Apr 03, 2023 Dario Orlandi Attacchi, News, RSS, Vulnerabilità 0
Sophos ha individuato un grave incidente di sicurezza che ha coinvolto 3CX, un sistema di comunicazione disponibile come soluzione PBX virtuale gestita o in hosting utilizzato da importanti aziende di 190 paesi in tutto il mondo.
A quanto pare, si tratta di un tipico attacco alla supply chain: i cybercriminali sono stati in grado di aggiungere un file di installazione nell’applicazione desktop che sfrutta un sideloading di DLL per caricare un payload dannoso codificato.
Mat Gangwer, VP, Managed Threat Response di Sophos, ha commentato: “Gli esperti di Sophos sono stati i primi a identificare questa attività dannosa derivante da un apparente attacco alla supply contro 3CXDesktopApp che ha coinvolto anche alcuni nostri clienti dopo aver rilevato questa attività il 29 marzo”.
3CX è un sistema telefonico aziendale ampiamente utilizzato in tutto il mondo. Gli autori dell’attacco sono riusciti a manipolare l’applicazione per aggiungere un programma di installazione che utilizza il sideloading di DLL per recuperare un payload dannoso e codificato.
Le tattiche e le tecniche utilizzate non sono nuove, in quanto sono simili alle attività di DLL sideloading già rilevate in precedenza. Gli esperti di Sophos hanno identificato tre dei componenti cruciali di questo scenario di sideloading DLL incorporati nel pacchetto del fornitore.
Da quanto è emerso, Le DLL compromesse hanno superato i controlli del sistema operativo sfruttando una vulnerabilità tutt’altro che nuova, ma ancora molto attuale: il bug CVE-2013-3900, ossia vulnerabilità di convalida della firma WinVerifyTrust.
Microsoft ha rivelato questa vulnerabilità nel dicembre 2013: permette l’aggiunta di contenuti senza invalidare la firma. Ad esempio, il programma di installazione di Google Chrome aggiunge dati alla struttura Authenticode per attivare i rapporti diagnostici.
Microsoft ha inizialmente proposto una correzione obbligatoria, ma successivamente ha deciso di renderla attivabile su base volontaria, perché la correzione non consente più l’estrazione di informazioni estranee dalla struttura WIN_CERTIFICATE; di conseguenza, Windows non riconosce più i file binari non conformi come firmati.
Come se non bastasse, anche chi avesse scelto di attivare la funzione potrebbe averla persa durante la migrazione da Windows 10 a Windows 11: il processo, infatti, rende nuovamente vulnerabile il sistema e richiede una nuova mitigazione.
Per applicare la patch bisogna aprire l’editor del registro di configurazione e modificare le chiavi seguenti:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1"
Lug 08, 2024 0
Apr 11, 2024 0
Gen 04, 2024 0
Dic 19, 2023 0
Set 17, 2024 0
Set 16, 2024 0
Set 16, 2024 0
Set 13, 2024 0
Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...Set 05, 2024 0
Gli attacchi di furto di account (account takeover) sono...Set 03, 2024 0
Le identità digitali si moltiplicano e con esse anche le...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...