Intel ha risolto una grave vulnerabilità nei processori desktop, server, mobili e integrati, comprese le più recenti microarchitetture Alder Lake, Raptor Lake e Sapphire Rapids. Il problema può essere utilizzato per aumentare i privilegi, ottenere l’accesso a informazioni sensibili e causare una negazione del servizio. La vulnerabilità, scoperta dagli stessi ingegneri Intel, ha ricevuto l’identificatore CVE-2023-23583 ed è descritta come un “problema di prefisso ridondante “. Inizialmente si credeva che il bug potesse essere utilizzato solo per causare un DoS (la vulnerabilità ha ricevuto solo un punteggio CVSS di 5,5) e Intel prevedeva di rilasciare una patch nel marzo 2024.  Tuttavia, un’analisi più approfondita ha mostrato che

La nota cybergang CL0P sta sfruttando ancora una volta una vulnerabilità zero-day nel software di gestione dei servizi SysAid per ottenere l’accesso ai server aziendali. Ricordiamo che la banda Clop è nota per sfruttare le vulnerabilità zero-day nei software ampiamente utilizzati. La abbiamo già incontrata diverse volte con 0day afferenti a Accellion FTA, MOVEit transfert ecc… Questa volta, stanno sfruttando una 0day su SysAid, una soluzione IT Service Management (ITSM) completa che fornisce una suite di strumenti per la gestione di vari servizi IT all’interno di un’organizzazione. La falla è stata classificata con il CVE-2023-47246, scoperta il 2 novembre dopo che è stata

OpenVPN Access Server, una popolare soluzione VPN open source, ha subito un aggiornamento di sicurezza per risolvere due vulnerabilità che potrebbero consentire agli aggressori di ottenere accesso non autorizzato a informazioni sensibili. Le vulnerabilità CVE-2023-46849 e CVE-2023-46850 interessano le versioni OpenVPN Access Server 2.11.0, 2.11.1, 2.11.2, 2.11.3, 2.12.0 e 2.12.1. Queste versioni contengono una copia di OpenVPN 2.6 che presenta due vulnerabilità. CVE-2023-46849 La prima vulnerabilità, CVE-2023-46849, è un crash del server VPN che può verificarsi quando il server di accesso OpenVPN è configurato con l’ opzione –fragment abilitata. Sebbene questa configurazione non faccia parte dell’impostazione predefinita, alcuni utenti potrebbero averla abilitata esplicitamente.  Se sfruttata, questa vulnerabilità potrebbe

Check Point ha scoperto una vulnerabilità in Microsoft Access che consente a un criminale informatico di utilizzare la funzionalità di “collegamento a tabelle SQL Server remote” per far trapelare automaticamente i token NTLM dell’utente Windows sul server dell’aggressore tramite qualsiasi porta TCP, inclusa la porta 80. NTLM, è un protocollo di autenticazione introdotto da Microsoft nel 1993, è stato a lungo deprecato a causa delle sue vulnerabilità. Esistono vari attacchi noti a NTLM, inclusi attacchi di forza bruta , Pass-the-Hash e attacchi NTLM Relay. È importante notare che l’efficacia degli attacchi può essere notevolmente ridotta bloccando il traffico in uscita sulle porte 139 e 445, utilizzate da NTLM. Tuttavia, una nuova vulnerabilità in Microsoft

Questo mese, Microsoft ha deciso di abbandonare tre funzionalità e servizi Windows, incluso WebDAV in Windows 10 e Windows 11. Anche il protocollo Remote Mailslots e il servizio Computer Browser sono stati inseriti nella lista nera. Secondo Microsoft, il motivo della cancellazione di questi strumenti è la loro incapacità di soddisfare i moderni standard di sicurezza. Sono già apparse tecnologie più avanzate e affidabili, alle quali gli sviluppatori daranno la preferenza. È interessante notare che il pubblico non è venuto a conoscenza della chiusura dei servizi direttamente da Microsoft. Sebbene l’azienda di solito pubblichi un elenco di programmi obsoleti sul proprio sito Web, non ha fretta di informare

Una segnalazione anonima pervenuta sul whistleblower di Red Hot Cyber ci informa che è stata rilevata una falla di sicurezza all’interno del sito della American Express. Andando ad analizzare meglio la vulnerabilità, si trattava di una URL Redirection to Untrusted Site (‘Open Redirect’) sulla pagina di chiusura della sessione del sito di American Express. Andando ad analizzare la SERP di Google, già si iniziava ad avvelenare con informazioni non corrette proveniente da stringhe malevole che erano sotto fase di sfruttamento. Di seguito un esempio dell’inquinamento della SERP di Google. Tale vulnerabilità permetteva di concatenare al sito una URL e far eseguire il

Microsoft Exchange è attualmente sotto l’ombra minacciosa di quattro vulnerabilità zero-day che, nelle mani sbagliate, potrebbero scatenare il caos, consentendo agli aggressori di eseguire codice malevolo o mettere a rischio informazioni sensibili all’interno delle installazioni interessate. Il segnale d’allarme è stato dato dalla Zero Day Initiative (ZDI) di Trend Micro, che ha identificato e prontamente segnalato tali vulnerabilità a Microsoft tra il 7 e l’8 settembre 2023. Ciò che desta preoccupazione è la reazione iniziale di Microsoft. Sebbene l’azienda abbia riconosciuto la gravità delle segnalazioni, i suoi ingegneri della sicurezza hanno sorprendentemente ritardato qualsiasi intervento immediato, decidendo di posticipare le correzioni. La

Atlassian ha emesso un avviso verso gli amministratori dei sistemi riguardo a un exploit disponibile pubblicamente che prende di mira una vulnerabilità di sicurezza critica in Confluence che potrebbe essere utilizzata in attacchi volti a distruggere i dati sui server. La vulnerabilità CVE-2023-22518 (CVSS: 9.1) è caratterizzata come un problema di autorizzazione impropria che interessa tutte le versioni del software Confluence Data Center e Confluence Server. Atlassian ha indicato di aver scoperto un exploit disponibile al pubblico che rappresenta un rischio critico per le istanze online di Confluence.  È interessante notare che nel suo precedente avviso relativo alla scoperta della vulnerabilità CVE-2023-22518, l’azienda non ha fornito dettagli sull’errore e sull’esatto metodo

34 driver vulnerabili di Windows Driver Model (WDM) e Windows Driver Frameworks (WDF) potrebbero essere stati sfruttati da autori di minacce. Tali driver permettono di ottenere il pieno controllo dei dispositivi ed eseguire codice arbitrario sui sistemi sottostanti. “Sfruttando i driver, un utente malintenzionato senza privilegi può cancellare/alterare il firmware e/o elevare i privilegi del sistema operativo”, ha affermato Takahiro Haruyama, ricercatore senior sulle minacce presso VMware Carbon Black. La ricerca si espande su studi precedenti, come ScrewedDrivers e POPKORN che utilizzavano l’esecuzione simbolica per automatizzare la scoperta di driver vulnerabili.  Inoltre si concentra in particolare sui driver che contengono l’accesso al firmware tramite porta I/O e I/O mappato in memoria. I