Redazione RHC : 31 Maggio 2024 08:15
Gli specialisti del centro di ricerca sulle minacce informatiche Solar 4RAYS del gruppo Solar riferiscono di aver bloccato l’attività di spionaggio del gruppo Obstinate Mogwai APT nell’infrastruttura di un operatore di telecomunicazioni russo senza nome. Nell’attacco gli hacker hanno sfruttato una vecchia vulnerabilità di deserializzazione, ma non del tutto risolta, nel parametro ViewState (che controlla lo stato delle pagine web nel framework ASP.NET sviluppato da Microsoft).
La vulnerabilità consente di eseguire qualsiasi azione sul sistema attaccato, su un server di posta elettronica Microsoft Exchange o su una pagina Web basata su ASP.NET. I ricercatori sottolineano che il funzionamento stesso non è facile da individuare e che la tecnica di risposta non è stata precedentemente descritta nelle comunità specializzate.
Il problema con il parametro ViewState è noto dal 2014. In effetti, consente agli aggressori di eseguire codice arbitrario su un sistema e successivamente di rubare, manomettere o corrompere i dati.
Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. 
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
L’indagine è iniziata dopo che le misure di sicurezza hanno rilevato attività sospette sull’infrastruttura di una società di telecomunicazioni anonima. Si è scoperto che a questo punto gli aggressori avevano già creato un “trampolino di lancio” per rubare i dati riservati dell’azienda stessa e dei suoi clienti.
Gli esperti scrivono di aver trovato più volte strumenti di raggruppamento dannosi nella rete attaccata e di averli rimossi. Tuttavia, dopo un po’ di tempo, gli hacker criminali tornarono finché non furono loro completamente circoscritti. Per la loro tenacia, i ricercatori hanno chiamato questo gruppo di hacker Obstinate Mogwai (“Demone testardo”) e promettono di pubblicare in futuro un rapporto dettagliato di questi hacker.
Per penetrare nella rete, gli hacker hanno sfruttato una vulnerabilità di deserializzazione dei dati non attendibili nel parametro ASP.NET ViewState. La serializzazione è il processo di conversione dello stato di un oggetto in una forma adatta per l’archiviazione o la trasmissione, mentre la deserializzazione è il processo di riconversione dei dati in un oggetto.
Ciò è necessario per ottimizzare le applicazioni (ad esempio, quando interagiscono tra loro). Tuttavia, questi processi spesso contengono vulnerabilità che consentono agli aggressori di modificare i dati ed eseguire codice arbitrario quando deserializzati.
La vulnerabilità è stata parzialmente risolta nel 2014. Successivamente Microsoft, che sviluppa la piattaforma ASP.NET, ha aggiunto al suo framework un meccanismo di convalida dei dati MAC durante la deserializzazione. Tuttavia, è risultato che gli aggressori possono aggirare questo meccanismo se conoscono le chiavi di convalida ViewState.
Per ottenere le chiavi, è necessario hackerare il server IIS oppure accedervi hackerando altre parti della rete dell’organizzazione. Forse rendendosi conto della difficoltà di sfruttare la vulnerabilità, il produttore l’ha lasciata nello stato Won’t Fix (non verrà riparata). Tuttavia, la pratica ha dimostrato che tali attacchi mirati sono abbastanza reali: oggi nel mondo sono noti almeno otto casi simili.
RedazioneLe aziende appaltatrici della difesa statunitense stanno sviluppando uno strumento di intelligenza artificiale chiamato Cyber Resilience On-Orbit (CROO) per rilevare attacchi informatici ai satelliti ...
Non brilliamo molto nella sicurezza informatica, ma sugli Spyware siamo tra i primi della classe! Secondo una ricerca dell’Atlantic Council, il settore dello spyware è in piena espansione, poiché ...
Gli utenti di Windows 11 che hanno installato l’aggiornamento di settembre 2025 potrebbero pensare che non cambi praticamente nulla. A prima vista, KB5065426 sembra una normale piccola patch che Mic...
Un nuovo strumento chiamato SpamGPT è apparso sui forum underground ed è rapidamente diventato oggetto di discussione nel campo della sicurezza informatica. Il software malevolo combina le capacità...
Nella giornata di oggi, la nuova cyber-gang “The Gentlemen” rivendica all’interno del proprio Data Leak Site (DLS) al laboratorio Santa Rita. Disclaimer: Questo rapporto include screenshot e/o t...
