Aggiornamenti recenti Dicembre 7th, 2023 6:02 PM
Apr 03, 2023 Dario Orlandi Attacchi, News, RSS, Vulnerabilità 0
Sophos ha individuato un grave incidente di sicurezza che ha coinvolto 3CX, un sistema di comunicazione disponibile come soluzione PBX virtuale gestita o in hosting utilizzato da importanti aziende di 190 paesi in tutto il mondo.
A quanto pare, si tratta di un tipico attacco alla supply chain: i cybercriminali sono stati in grado di aggiungere un file di installazione nell’applicazione desktop che sfrutta un sideloading di DLL per caricare un payload dannoso codificato.
Mat Gangwer, VP, Managed Threat Response di Sophos, ha commentato: “Gli esperti di Sophos sono stati i primi a identificare questa attività dannosa derivante da un apparente attacco alla supply contro 3CXDesktopApp che ha coinvolto anche alcuni nostri clienti dopo aver rilevato questa attività il 29 marzo”.
Mat Gangwer, VP, Managed Threat Response di Sophos
3CX è un sistema telefonico aziendale ampiamente utilizzato in tutto il mondo. Gli autori dell’attacco sono riusciti a manipolare l’applicazione per aggiungere un programma di installazione che utilizza il sideloading di DLL per recuperare un payload dannoso e codificato.
Le tattiche e le tecniche utilizzate non sono nuove, in quanto sono simili alle attività di DLL sideloading già rilevate in precedenza. Gli esperti di Sophos hanno identificato tre dei componenti cruciali di questo scenario di sideloading DLL incorporati nel pacchetto del fornitore.
Da quanto è emerso, Le DLL compromesse hanno superato i controlli del sistema operativo sfruttando una vulnerabilità tutt’altro che nuova, ma ancora molto attuale: il bug CVE-2013-3900, ossia vulnerabilità di convalida della firma WinVerifyTrust.
Microsoft ha rivelato questa vulnerabilità nel dicembre 2013: permette l’aggiunta di contenuti senza invalidare la firma. Ad esempio, il programma di installazione di Google Chrome aggiunge dati alla struttura Authenticode per attivare i rapporti diagnostici.
Microsoft ha inizialmente proposto una correzione obbligatoria, ma successivamente ha deciso di renderla attivabile su base volontaria, perché la correzione non consente più l’estrazione di informazioni estranee dalla struttura WIN_CERTIFICATE; di conseguenza, Windows non riconosce più i file binari non conformi come firmati.
Come se non bastasse, anche chi avesse scelto di attivare la funzione potrebbe averla persa durante la migrazione da Windows 10 a Windows 11: il processo, infatti, rende nuovamente vulnerabile il sistema e richiede una nuova mitigazione.
Per applicare la patch bisogna aprire l’editor del registro di configurazione e modificare le chiavi seguenti:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1"
Nov 27, 2023 0
Nov 07, 2023 0
Nov 06, 2023 0
Ott 26, 2023 0
Dic 07, 2023 0
Dic 07, 2023 0
Dic 06, 2023 0
Dic 05, 2023 0
Dic 05, 2023 0
Negli ultimi anni i cyberattaccanti nord-coreani hanno...Nov 30, 2023 0
L’avvicinarsi della fine dell’anno coincide con...Nov 30, 2023 0
Gli attacchi informatici crescono in numero e in...Nov 29, 2023 0
Yarix, divisione Digital Security di Var Group, ha...Nov 27, 2023 0
Le minacce APT sono tra le più pericolose nel panorama...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Dic 07, 2023 0
I ricercatori di VUSec, il gruppo di sicurezza...Dic 07, 2023 0
Google ha rilasciato importanti aggiornamenti di sicurezza...Dic 06, 2023 0
Vi ricordate l’attacco di CyberAv3ngers al centro...Dic 05, 2023 0
Che i sistemi di intelligenza artificiale fossero...Dic 04, 2023 0
I gruppi di cyberattaccanti nord-coreani dietro campagne...