Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Gli specialisti del centro di ricerca sulle minacce informatiche Solar 4RAYS del gruppo Solar riferiscono di aver bloccato l’attività di spionaggio del gruppo Obstinate Mogwai APT nell’infrastruttura di un operatore di telecomunicazioni russo senza nome. Nell’attacco gli hacker hanno sfruttato una vecchia vulnerabilità di deserializzazione, ma non del tutto risolta, nel parametro ViewState (che controlla lo stato delle pagine web nel framework ASP.NET sviluppato da Microsoft).
La vulnerabilità consente di eseguire qualsiasi azione sul sistema attaccato, su un server di posta elettronica Microsoft Exchange o su una pagina Web basata su ASP.NET. I ricercatori sottolineano che il funzionamento stesso non è facile da individuare e che la tecnica di risposta non è stata precedentemente descritta nelle comunità specializzate.
Il problema con il parametro ViewState è noto dal 2014. In effetti, consente agli aggressori di eseguire codice arbitrario su un sistema e successivamente di rubare, manomettere o corrompere i dati.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
L’indagine è iniziata dopo che le misure di sicurezza hanno rilevato attività sospette sull’infrastruttura di una società di telecomunicazioni anonima. Si è scoperto che a questo punto gli aggressori avevano già creato un “trampolino di lancio” per rubare i dati riservati dell’azienda stessa e dei suoi clienti.
Gli esperti scrivono di aver trovato più volte strumenti di raggruppamento dannosi nella rete attaccata e di averli rimossi. Tuttavia, dopo un po’ di tempo, gli hacker criminali tornarono finché non furono loro completamente circoscritti. Per la loro tenacia, i ricercatori hanno chiamato questo gruppo di hacker Obstinate Mogwai (“Demone testardo”) e promettono di pubblicare in futuro un rapporto dettagliato di questi hacker.
Per penetrare nella rete, gli hacker hanno sfruttato una vulnerabilità di deserializzazione dei dati non attendibili nel parametro ASP.NET ViewState. La serializzazione è il processo di conversione dello stato di un oggetto in una forma adatta per l’archiviazione o la trasmissione, mentre la deserializzazione è il processo di riconversione dei dati in un oggetto.
Ciò è necessario per ottimizzare le applicazioni (ad esempio, quando interagiscono tra loro). Tuttavia, questi processi spesso contengono vulnerabilità che consentono agli aggressori di modificare i dati ed eseguire codice arbitrario quando deserializzati.
La vulnerabilità è stata parzialmente risolta nel 2014. Successivamente Microsoft, che sviluppa la piattaforma ASP.NET, ha aggiunto al suo framework un meccanismo di convalida dei dati MAC durante la deserializzazione. Tuttavia, è risultato che gli aggressori possono aggirare questo meccanismo se conoscono le chiavi di convalida ViewState.
Per ottenere le chiavi, è necessario hackerare il server IIS oppure accedervi hackerando altre parti della rete dell’organizzazione. Forse rendendosi conto della difficoltà di sfruttare la vulnerabilità, il produttore l’ha lasciata nello stato Won’t Fix (non verrà riparata). Tuttavia, la pratica ha dimostrato che tali attacchi mirati sono abbastanza reali: oggi nel mondo sono noti almeno otto casi simili.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Le estensioni del browser sono da tempo un modo comune per velocizzare il lavoro e aggiungere funzionalità utili, ma un altro caso dimostra con quanta facilità questo comodo strumento possa trasform...
Una nuova versione, la 8.8.9, del noto editor di testo Notepad++, è stata distribuita dagli sviluppatori, risolvendo una criticità nel sistema di aggiornamento automatico. Questo problema è venuto ...
Questa non è la classica violazione fatta di password rubate e carte di credito clonate.È qualcosa di molto più delicato. Il data breach che ha coinvolto Pornhub nel dicembre 2025 rappresenta uno d...
Un recente studio condotto da SentinelLabs getta nuova luce sulle radici del gruppo di hacker noto come “Salt Typhoon“, artefice di una delle più audaci operazioni di spionaggio degli ultimi diec...
Con l’espansione dell’Internet of Things (IoT), il numero di dispositivi connessi alle reti wireless è in continua crescita, sia nelle case che nelle aziende . Questo scenario rende la sicurezza ...
