Aggiornamenti recenti Maggio 3rd, 2024 2:00 PM
Apr 03, 2023 Dario Orlandi Attacchi, News, RSS, Vulnerabilità 0
Sophos ha individuato un grave incidente di sicurezza che ha coinvolto 3CX, un sistema di comunicazione disponibile come soluzione PBX virtuale gestita o in hosting utilizzato da importanti aziende di 190 paesi in tutto il mondo.
A quanto pare, si tratta di un tipico attacco alla supply chain: i cybercriminali sono stati in grado di aggiungere un file di installazione nell’applicazione desktop che sfrutta un sideloading di DLL per caricare un payload dannoso codificato.
Mat Gangwer, VP, Managed Threat Response di Sophos, ha commentato: “Gli esperti di Sophos sono stati i primi a identificare questa attività dannosa derivante da un apparente attacco alla supply contro 3CXDesktopApp che ha coinvolto anche alcuni nostri clienti dopo aver rilevato questa attività il 29 marzo”.
3CX è un sistema telefonico aziendale ampiamente utilizzato in tutto il mondo. Gli autori dell’attacco sono riusciti a manipolare l’applicazione per aggiungere un programma di installazione che utilizza il sideloading di DLL per recuperare un payload dannoso e codificato.
Le tattiche e le tecniche utilizzate non sono nuove, in quanto sono simili alle attività di DLL sideloading già rilevate in precedenza. Gli esperti di Sophos hanno identificato tre dei componenti cruciali di questo scenario di sideloading DLL incorporati nel pacchetto del fornitore.
Da quanto è emerso, Le DLL compromesse hanno superato i controlli del sistema operativo sfruttando una vulnerabilità tutt’altro che nuova, ma ancora molto attuale: il bug CVE-2013-3900, ossia vulnerabilità di convalida della firma WinVerifyTrust.
Microsoft ha rivelato questa vulnerabilità nel dicembre 2013: permette l’aggiunta di contenuti senza invalidare la firma. Ad esempio, il programma di installazione di Google Chrome aggiunge dati alla struttura Authenticode per attivare i rapporti diagnostici.
Microsoft ha inizialmente proposto una correzione obbligatoria, ma successivamente ha deciso di renderla attivabile su base volontaria, perché la correzione non consente più l’estrazione di informazioni estranee dalla struttura WIN_CERTIFICATE; di conseguenza, Windows non riconosce più i file binari non conformi come firmati.
Come se non bastasse, anche chi avesse scelto di attivare la funzione potrebbe averla persa durante la migrazione da Windows 10 a Windows 11: il processo, infatti, rende nuovamente vulnerabile il sistema e richiede una nuova mitigazione.
Per applicare la patch bisogna aprire l’editor del registro di configurazione e modificare le chiavi seguenti:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1"
Apr 11, 2024 0
Gen 04, 2024 0
Dic 19, 2023 0
Dic 01, 2023 0
Mag 03, 2024 0
Mag 03, 2024 0
Mag 02, 2024 0
Mag 02, 2024 0
Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Apr 29, 2024 0
Lo United States Postal Service (USPS), l’agenzia...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mag 03, 2024 0
Zscaler ha annunciato l’acquisizione di Airgap...Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Mag 02, 2024 0
Il Dipartimento della sicurezza interna degli Stati Uniti...Mag 02, 2024 0
L’ultimo aggiornamento di sicurezza per Windows 11...Apr 30, 2024 0
Nell’ultimo mese Okta ha osservato un preoccupante...