Vulnerabilità 0Day su Microsoft Windows

Proto: N050320.

Con la presente Yoroi desidera informarla riguardo a due importanti vulnerabilità 0day all’interno dei sistemi operativi Microsoft Windows che affliggono le alcune funzionalità di sistema per il caricamento dei font testuali.

La problematica è causata da lacune nella gestione della memoria durante il caricamento di dei font all’interno delle librerie Adobe Type Manager (ATMFD.DLL), utilizzate dal sistema operativo per la visualizzazione di messaggi di testo, documenti, anteprime e pagine web. Un attaccante remoto può sfruttare queste lacune per eseguire codice arbitrario sulla macchina bersaglio convincendo l’utente a prendere visione di un documento, oppure semplicemente visualizzandone l’anteprima da Windows Explorer o Outlook, infettando così la macchina bersaglio ed installandovi impianti malware.  

Microsoft ha confermato la problematica attraverso il bollettino ADV200006 e sta lavorando al rilascio delle patch di sicurezza. Risultano afflitte le versioni del sistema operativo Microsoft Windows:

Le vulnerabilità in oggetto sono attualmente sfruttate da gruppi APT potenzialmente sponsorizzati da governi nazionali per la conduzione di operazioni di attacco mirate. Tradizionalmente, questa tipologia di attaccanti mira a penetrare organizzazioni ritenute strategiche per gli interessi nazionali, frequentemente in settori Energetico, Difesa, Oil & Gas (e non solo). Tuttavia, considerando l’emergenza sanitaria COVID-19 in atto ed i recenti tentativi di intrusione cibernetica registrati dalla World Health Organization (WHO), Yoroi consiglia di ritenere parte di questa categoria anche Centri di Ricerca medici, Healthcare, organizzazioni umanitarie ed industria del Farmaco.

Pertanto, Yoroi consiglia di monitorare il prossimo rilascio degli aggiornamenti di sicurezza di Microsoft e, nel frattempo, valutare l’applicazione delle mitigazioni temporanee indicate dal Produttore al parco macchine Aziendale, ovvero:

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Incremento delle Campagne a Tema CoronaVirus

Proto: N040320.

Con la presente Yoroi desidera informarla riguardo all’incremento delle campagne di attacco email che sfruttano l’emergenza CoronaVirus per ingannare le vittime ad aprire allegati e link malevoli. Negli ultimi giorni abbiamo osservato più ondate relative a comunicazioni di questo tipo operati da vari attaccanti negli ambiti cyber criminali. Tra di essi riscontriamo anche tentativi di installazione del malware Trickbot: negli scorsi mesi utilizzato anche per l’inoculazione di ulteriori impianti di malware atti ad operare attacchi ransomware mirati (e.g. Ryuk).

A questo proposito, Yoroi consiglia di avvertire le Vostre utenze relativamente alla possibile ricezione di comunicazioni malevole di questo tipo, suggerendo di trattarle con maggiore cautela ed, eventualmente, di domandare supporto in caso di dubbi a seguito della ricezione di email inattese relative all’emergenza COVID-19 in atto.

Di seguito riportiamo le caratteristiche di alcuni dei messaggi fraudolenti monitorati nell'ultimo periodo (oggetti, mittenti e nomi allegato):

In relazione alle recenti campagne di propagazione in ambito italiano, riportiamo invece alcuni degli indicatori di compromissione rilevati:

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Gravi Vulnerabilità in Cisco Webex

Proto: N020320.

Con la presente Yoroi desidera informarla riguardo alla recente scoperta di importanti vulnerabilità all’interno di Cisco Webex, noto sistema di teleconferenza Cisco particolarmente diffuso in ambienti Enterprise ed in realtà Aziendali di Medie dimensioni. Le criticità sono note con l’identificativo CVE-2020-3127 e CVE-2020-3128.

La problematica è originata da lacune nella gestione di alcuni formati di registrazione all’interno delle componenti “Webex Network Recording Player” e “Cisco Webex Player”, attraverso le quali un attaccante in grado di recapitare particolari file multimediali ARF o WRF (Webex Recording Format) alla vittima, può eseguire codice arbitrario sulla macchina bersaglio, installando impianti malware e backdoor nei dispositivi aziendali.

Il Vendor ha confermato le problematiche attraverso il bollettino CISCO-SA-20200304-WEBEX-PLAYER, rilasciando patch di sicurezza per le versioni Windows di:

Considerando la potenziale diffusione delle tecnologie afflitte ed il recente trend di potenziamento delle soluzioni di telelavoro e smart working che molte organizzazioni stanno attuando in risposta all’emergenza COVID19, Yoroi consiglia di appurare lo stato di aggiornamento delle installazioni Cisco Webex all’interno del Vostro parco macchine client, e di pianificare l’applicazione delle patch di sicurezza rese disponibili dal Produttore.  

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index.

Vulnerabilità 0-Day su Google Chrome

Proto: N060220.

Con la presente Yoroi desidera informarLa ad una vulnerabilità 0-Day scoperta su Google Chrome, il web browser più diffuso in ambito privato e tra i più utilizzati anche in ambienti professionali. La criticità è nota con l’identificativo CVE-2020-6418.

La problematica è causata da lacune nella gestione dei tipi di dato all’interno del motore JavaScript V8 di Google Chrome, tale circostanza permette ad un attaccante remoto di eseguire codice arbitrario sul sistema bersaglio previa la navigazione su pagine web malevole o compromesse, aprendo così a scenari di rischio legati ad attacchi “Watering Hole” o “Exploit Kit”.

Il Produttore ha confermato la problematica rilasciando la versione 80.0.3987.122 del browser per sistemi Window, Linux e Mac in grado di risolvere la problematica.

I ricercatori del GTAG hanno inoltre confermato che la vulnerabilità è attualmente sfruttata per in operazioni di attacco 0-day, pertanto, considerata la potenziale diffusione del browser anche all’interno delle reti aziendali, Yoroi consiglia caldamente di applicare le patch di sicurezza rese disponibili dal produttore al parco macchine client.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index.

Nuova Campagna di Attacco Ursnif

Proto: N040220.

Con la presente Yoroi desidera informarLa ad un nuova campagna di attacco in corso ai danni di Aziende e utenti italiani. Gli attacchi si manifestano attraverso l’invio di email fraudolente a tema legale che invitano le vittime a scaricare e visionare li contenuto di un archivio compresso infetto.

L’archivio, una volta aperto, è potenzialmente in grado di compromettere la macchina bersaglio installando malware della famiglia Ursnif (TH-196), capace di intercettare digitazioni utente, sessioni web attive, fornire accesso backdoor e scaricare ulteriore malware.  

In particolare, la variante Ursnif propagata durante la campagna risulta digitalmente firmata da una compagnia Slovena. Tale circostanza può aumentare e probabilità di successo dell’attacco.  

Di seguito si riportano gli indicatori di compromissione estratti durante le analisi condotte:

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Gravi Vulnerabilità su Microsoft Exchange

Proto: N030220.

Con la presente Yoroi desidera informarLa riguardo alla recente scoperta di gravi vulnerabilità all’interno di Exchange Server, nota soluzione di gestione posta elettronica di Microsoft estremamente diffusa sia in ambito Enterprise sia nella PMI. In particolare le vulnerabilità sono note con gli identificativi CVE-2020-0692 e CVE-2020-0688.

Le problematiche sono relative a due diverse funzionalità all’interno dei servizi di posta Exchange: 

Figura. Esposizione servizi di posta Exchange in Italia (Source:ShodanHQ) 

Le vulnerabilità sono state confermate dal Produttore all’interno degli Aggiornamenti di Sicurezza di Febbraio 2020, dove risultano afflitte le versioni:

Per via della natura dei servizi afflitti, della loro esposizione internet, e dell'imminente rilascio di dettagli tecnici annunciato dal programma ZDI, Yoroi consiglia caldamente di pianificare l’applicazione degli aggiornamenti software sui servizi di posta elettronica Microsoft Exchange in uso presso le Vostre infrastrutture.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Importanti Vulnerabilità su Molteplici Dispositivi Cisco

Proto: N020220 .

Con la presente Yoroi desidera informarLa riguardo alla scoperta di gravi vulnerabilità in molteplici tecnologie Cisco, comprendenti più famiglie di switch di rete, appliance di sicurezza, telefonia VoIP e dispositivi di videosorveglianza. Le criticità sono note con l’alias “CDPwn” e sono referenziate con gli identificativi CVE-2020-3119, CVE-2020-3118, CVE-2020-3111, CVE-2020-3110 e CVE-2020-3120.

Benché le problematiche impattino varie tipologie di dispositivi, la loro origine è comune e risiede in varie lacune nella gestione e nel processamento dei pacchetti Cisco Discovery Protocol (CDP), protocollo di rete di Livello-2 che i dispositivi Cisco sono in grado di gestire. Queste lacune possono essere sfruttate da attaccanti di rete in vari scenari, ad esempio nel caso di: 

Cisco ha confermato le problematiche con i bollettini  CISCO-SA-20200205-FXNXOS-IOSXR-CDP-DOS, CISCO-SA-20200205-NXOS-CDP-RCE, CISCO-SA-20200205-IOSXR-CDP-RCE, CISCO-SA-20200205-VOIP-PHONES-RCE-DOS e CISCO-SA-20200205-IPCAMERAS-RCE-DOS, dove ha rilasciato aggiornamenti firmware per le famiglie di prodotto:

Per via della potenziale criticità e diffusione dei dispositivi afflitti, e del rilascio di dettagli tecnici relativi alle vulnerabilità, Yoroi consiglia di pianificare l’applicazione degli aggiornamenti firmware resi disponibili dal Produttore.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Importante Vulnerabilità su TeamViewer

Proto: N010220.

Con la presente Yoroi desidera informarLa riguardo ad una vulnerabilità all’interno di TeamViewer, soluzione per l’amministrazione e l’accesso remoto diffusa in vari ambienti SMB ed Enterprise.  La criticità è nota con l’identificativo CVE-2019-18988.

Ricercatori indipendenti hanno scoperto una importante lacuna nel salvataggio delle credenziali utilizzate dal servizio di assistenza remota, le quali non risultano protette da Hashing. Un attaccante con accesso ad un PC con una delle versioni TeamViewer vulnerabili può ottenere privilegi amministrativi e recuperare le password utilizzate dal servizio di accesso remoto, potenzialmente utilizzabili per instaurare sessioni amministrative sugli ulteriori host di rete muniti di istanze TeamViewer. 

In base alle informazioni reperite, il Vendor risulta al corrente della situazione da più di 90 giorni, tuttavia non sono ancora stati rilasciati bollettini di sicurezza. I ricercatori hanno verificato la criticità per le versioni TeamViewer da 7 a 14, non è al momento confermato se la versione 15 risulti afflitta. 

Considerando la potenziale diffusione del software all’interno dei parchi macchine IT aziendali, la disponibilità di dettagli tecnici e strumenti di attacco, e l’esistenza di gruppi APT organizzati che sfruttano proprio credenziali TeamViewer per propagarsi all’interno delle reti (e.g. APT-41), Yoroi consiglia di monitorare il rilascio di aggiornamenti di sicurezza per TeamViewer e, nel mentre, di valutare la disabilitazione dell’avvio automatico dei servizi di accesso remoto (servizi “TeamViewer<VERSIONE>”) e di limitare li ri-utilizzo delle password TeamViewer.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Criticità su Servizi di Posta OpenSMTPD

Proto: N060120.

Con la presente Yoroi desidera informarLa riguardo ad una grave vulnerabilità recentemente scoperta sui servizi di posta basati su OpenSMTPD, libreria di servizi open-source distribuita all’interno dei principali sistemi operativi Linux e Unix-Like, tra le principali tecnologie utilizzate per la realizzazione di Mail Transfer Agent.  La criticità è nota con l’identificativo CVE-2020-7247.

A causa di gravi lacune di validazione durante la ricezione dei messaggi di posta, un attaccante remoto non autenticato può essere in grado di eseguire comandi di sistema sul server bersaglio, compromettendone la sicurezza e le informazioni in transito. 

Figura. Potenziale esposizione internet di OpenSMTPD (Fonte:ShodanHQ)

Il Manutentore ha confermato la problematica rilasciando aggiornamenti di sicurezza urgenti ed invitando gli utilizzatori di questa tecnologia ad installare la versione 6.6.2p1, in grado di risolvere la criticità. Le patch sono inoltre in corso di recepimento dai vari gestori di distribuzioni Linux (e.g. Debian, Ubuntu, Fedora, CentOS), i quali le stanno inserendo all’interno del loro ciclo di manutenzione.

Considerata la disponibilità di dettagli tecnici atti a sfruttare la vulnerabilità, la sua relativa bassa complessità di sfruttamento e la potenziale esposizione internet degli eventuali servizi vulnerabili, Yoroi consiglia di pianificare l’aggiornamento delle librerie e dei servizi OpenSMTPD eventualmente in uso presso le vostre infrastrutture od utilizzati all’interno di eventuali Prodotti o Soluzioni software commercializzati.  

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Vulnerabilità "BlueGate" (Remote Desktop Gateway)

Proto: N050120.

Con la presente Yoroi desidera informarLa riguardo ad un importante aggiornamento riguardo allo stato  di vulnerabilità dei servizi Windows RD Gateway, gateway enterprise per l’accesso centralizzato alle risorse Remote Desktop aziendali. Le criticità sono referenziate con l’alias "BlueGate" e sono note con gli identificativi CVE-2020-0609 e CVE-2020-0610.

A causa di lacune nella gestione della memoria durante le operazioni di ricostruzione dei pacchetti client, un attaccante remoto può essere in grado di eseguire codice arbitrario nel Remote Desktop Gateway senza alcuna autenticazione, accedendo abusivamente a sistemi e reti aziendali. Scenario che comporta rischi non trascurabili specialmente a fronte dell'intensificazione dei tentativi di estorsione e degli attacchi ransomware mirati degli ultimi mesi.

Figura. Potenziale Esposizione Servizi RD Gateway in Italia (Source:ShodanHQ)

Il Produttore ha confermato le problematiche attraverso appositi bollettini di sicurezza (CVE-2020-0610 e CVE-2020-0609), ed ha rilasciato patch per i sistemi Windows Server 2012, Windows Server 2012 R2, Windows Server 2016  e Windows Server 2019 nei consueti aggiornamenti di sicurezza di Gennaio 2020.

Tuttavia, per via della potenziale esposizione di rete dei sistemi vulnerabili (porta di default 3391), della pubblicazione di dettagli tecnici e codici per testare la vulnerabilità, ma soprattutto dell'imminente rilascio di Proof-of-Concept in grado di sfruttare la vulnerabilità per eseguire codice arbitrario, Yoroi consiglia caldamente di applicare con urgenza le patch di sicurezza rilasciate da Microsoft e di limitare l’esposizione internet degli eventuali servizi RD Gateway vulnerabili. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Vulnerabilità in Servizi Oracle WebLogic

Proto: N040120.

Con la presente Yoroi desidera informarLa riguardo ad importanti vulnerabilità all’interno di Oracle WebLogic, application server alla base di numerose applicazioni e portali Enterprise fondati su Java. Le criticità sono note con l’identificativo CVE-2020-2551 e CVE-2020-2546.

A causa di gravi lacune nella gestione della de-serializzazione delle richieste client nelle componenti “WLS Core” e “Application Container - JavaEE” di WebLogic Server, in particolare all’interno delle implementazioni del protocolli IIOP (porta 3700) e T3 (porta 7001), un attaccante remoto non autenticato può eseguire codice arbitrario nei sistemi bersaglio compromettendone la sicurezza ed accedendovi abusivamente.

Figura. Potenziale esposizione internet del protocollo T3 di Oracle WebLogic (Fonte:ShodanHQ)

Oracle ha confermato le problematiche all’interno del bollettino Critical Patch Update CPUJAN2020, dove ha riportato come vulnerabili le versioni:

Considerata la tipologia di servizi afflitti e della relativa semplicità di sfruttamento segnalata dai ricercatori di sicurezza, Yoroi consiglia di valutare lo stato di vulnerabilità e di esposizione dei servizi afflitti, di pianificare l’applicazione le patch di sicurezza rese disponibili dal Produttore, e di valutare la disabilitazione o il filtraggio perimetrale dei protocolli IIOP e T3.

Figura. Disabilitazione protocollo IIOP.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

Nuove Operazioni di Attacco sLoad

Proto: N030120 .

Con la presente Yoroi desidera informarLa riguardo a nuove operazioni di attacco ai danni di Aziende e Utenti italiani. Gli attacchi si manifestano attraverso email di posta elettronica certificata (PEC) diretti al personale amministrativo delle organizzazioni, invitando le vittime a visionare la documentazione allegata contenente finti solleciti di pagamento. 

Figura. Esempio messaggio PEC malevolo

L’archivio allegato alle comunicazioni è in realtà in grado di infettare la macchina bersaglio con impianti malware della famiglia sLoad (TH-163), capace di rimanere silente all’interno del sistema, trafugare dati, installare ulteriore malware e fornire accesso backdoor alle reti locali.

Di seguito si riportano gli indicatori di compromissione estratti durante le analisi condotte:

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index