Kaspersky Lab scopre pericolosa vulnerabilità zero-day in Silverlight

Un pericoloso bug in Microsoft Silverlight ha messo potenzialmente a rischio milioni di utenti. Kaspersky Lab ha scoperto una vulnerabilità zero-day all’interno di Silverlight, una tecnologia web utilizzata per visualizzare contenuti multimediali. La vulnerabilità avrebbe consentito ad un criminale informatico di ottenere l’accesso completo ai computer violati ed eseguire un codice nocivo con lo scopo di rubare informazioni segrete e compiere altre azioni illegali. La vulnerabilità CVE-2016-0034 è stata corretta durante l’ultimo Patch Tuesday, aggiornamento rilasciato da Microsoft il 12 gennaio 2016. La scoperta è il risultato di un’indagine cominciata oltre cinque mesi fa e pubblicata in un articolo di Ars Technica.

Microsoft Patch day marzo: 14 aggiornamenti tappano 45 vulnerabilità

Come parte del suo Patch Day di marzo, Microsoft ha rilasciato 14 bollettini di sicurezza, cinque dei quali considerati di livello critico e i restanti di livello importante, per affrontare 45 vulnerabilità in Windows, Office ed Exchange, Internet Explorer e una patch per la recente divulgazione dell'attacco Freak. Microsoft ha anche rilasciato un advisory in cui annuncia che è stato aggiunto il supporto per la funzionalità di firma e verifica SHA-2 code a tutte le edizioni supportate di Windows 7 e Windows Server 2008 R2. Le versioni successive dei sistemi operativi desktop, server e RT di Windows già includono il supporto per firma e verifica SHA-2.

Vulnerabilità consente furto account Hotmail sottraendo cookie autenticazione

I ricercatori di sicurezza Mohit Kumar e Christy Philip Mathew hanno scoperto che una vulnerabilità di gestione dei cookie consente ai criminali informatici di accedere agli account degli utenti Hotmail e di Outlook. Gli esperti hanno dimostrato che un utente malintenzionato che può accedere ai cookie di autenticazione può semplicemente importarli nel browser utilizzando un componente aggiuntivo "cookie importer" per browser e il cracker sarà automaticamente registrato per conto della sua vittima, quando accede a uno dei servizi Microsoft.

Facebook mostra avviso di sicurezza McAfee a utenti che visitano siti esterni

In queste ore molti utenti di Facebook stanno segnalando la presenza di un avviso di sicurezza del social network, nel momento in cui cliccano su un link che li rimanda ad un sito esterno alla piattaforma. Nel messaggio "interstiziale" (parte in inglese e parte in italiano) si avvisano in sostanza gli utenti di prestare attenzione nel visitare il sito e si consiglia di installare il plug-in di sicurezza McAfee. Nel messaggio si includono, inoltre, i link che rimandano alla pagina di Facebook Security e a quella di Wikipedia su malware e phishing. Nell'avviso, in particolare, si legge testualmente:

"The link you are trying to visit has been classified as potentially abusive by a Facebook partner. Per saperne di più sulla sicurezza in Internet, visita la Pagina dedicata alla ‎Protezione‎ di Facebook. Leggi anche gli articoli di Wikipedia su ‎malware‎ e ‎phishing‎. To stay safe outside Facebook, get the ‎free ‎McAfee SiteAdvisor‎ plug-in‎ Protection provided in collaboration with ‎McAfee SiteAdvisor‎. ‎Maggiori informazioni‎ Ignora questo avvertimento"

Che tradotto: "Il link che si sta tentando di visitare è stato classificato come potenzialmente abusivo da un partner di Facebook. Per saperne di più sulla sicurezza in Internet, visita la Pagina dedicata alla ‎Protezione‎ di Facebook. Leggi anche gli articoli di Wikipedia su ‎malware‎ e ‎phishing‎. Per stare al sicuro al di fuori di Facebook, ottenere il gratuito McAfee SiteAdvisor plug-in Protection fornito in collaborazione con McAfee SiteAdvisor."

L'avviso interstiziale è possibile che venga visualizzato anche navigando con browser mobile (ad esempio Safari) da smartphone e tablet. Durante la navigazione desktop abbiamo notato comunque che il messaggio viene presentato soprattutto utilizzando il browser Mozilla Firefox, mentre non abbiamo ricevuto (fino adesso) nessun messaggio utilizzando Google Chrome. Un link d'esempio che mostra l'avviso di sicurezza è possibile ottenerlo cliccando su http://on.fb.me/VsW5cG.

Chiariamo che un tal avviso non significa necessariamente che si tratta d'una pagina esterna pericolosa. L'accesso ai siti ritenuti dal sistema di sicurezza al 100% di phishing o malware viene bloccato e Facebook non permette l'uscita dalla piattaforma. Anzi, non di rado avviene il contrario e cioè che pagine pericolose non sono segnalate e viceversa si. Le cause possono essere diverse: ad esempio se sul sito o blog sono presenti banner pubblicitari (ci sono pervenute segnalazioni di avvisi ricevuti anche sul sito ufficiale di YouTube).

Ma il motivo principale è imputabile al sito che non è stato "verificato". Il sistema, infatti utilizza McAfee Site Advisor, un software gratuito di protezione che segnala attraverso icone intuitive il parere di McAfee e della sua community sul grado di sicurezza di un sito prima dell'accesso. Il problema è che segnala anche quelli "sconosciuti" cioè non ancora verificati (si possono comunque inviare le opinioni cliccando sul link incluso nell'avviso, ad esempio qui http://mcaf.ee/oia1g per un nostro post.

L'avviso interstiziale Facebook di sicurezza utilizzava inizialmente WOT in seguito alla partnership stretta lo scorso anno con la comunità Websense. Successivamente McAfee ha stretto accordi con Facebook, fino all'introduzione Facebook Antivirus Marketplace. Come possiamo leggere alla pagina di verifica di McAfee www.siteadvisor.com/sites/protezioneaccount.com, (ma si può effettuare la verifica anche per altri aggiungendo all'indirizzo www.siteadvisor/sites/ l'URL del sito)  sul nostro "non sono stati individuati problemi significativi".

Alcuni siti o blog però, con basso numero di visite (o comunque poco noti rispetto, ad esempio, ad importanti testate giornalistiche), possono non "ricevere" l'icona verde e restare in grigio in attesa di eventuali opinioni positive o negative da parte degli utenti. E' verosimile che Facebook abbia innalzato il livello di sicurezza in seguito al proof-of-concept che mostra una falla nel sistema. Inoltre, è verosimile che Facebook voglia promuovere il componente aggiuntivo per browser di McAfee.

Su Chrome il messaggio non viene visualizzato probabilmente perchè McAfee Site Advisor non è ancora compatibile con il browser di Google. Non possiamo consigliarvi di ignorare il messaggio a priori, ma è ovvio che se il link proviene da Pagine Facebook conosciute e comunque che visitate spesso, non avete nulla di cui preoccuparvi: ignorate l'avviso e proseguite, il sistema apprenderà la vostra scelta. Restano comunque i consigli di sempre e cioè di prestare attenzione quando ricevete link in posta o condivisi sulla vostra bacheca Facebook.

Cybercriminali potrebbero adottare nuovo metodo phishing utilizzando URI

In un documento [PDF] recentemente rilasciato da Henning Klevjer, uno studente di information security presso l'Università di Oslo in Norvegia, dimostra che i criminali informatici possono migliorare gli attacchi di phishing basandosi sullo standard delle comunicazioni noto come l'Uniform Resource Identifier (URI). L'esperto spiega che l'attaccante potrebbe sviluppare pagine di phishing autonome, il cui contenuto può essere codificato in Base64 per mascherare le sue reali intenzioni. Questa pagina può essere codificata e quindi inserito all'interno di un URI.

In sostanza, gli URI sono URL che non puntano a postazioni remote, piuttosto, essi includono tutti i dati che sono visualizzati all'utente. Il termine comprende il più noto Uniform Resource Locator (URL) e Uniform Resource Name (URN). Tuttavia, mentre gli URL indicano la posizione di una risorsa di rete specifica e come deve essere letta (cioè con HTTP, HyperText Transfer Protocol), gli URI sono più flessibili e possono anche essere utilizzati per ospitare i dati dei "link to".

Secondo Paul Roberts, ingegnere di Sophos, Klevjer ha dimostrato le sue scoperte con la creazione di una falsa di pagina di Wikipedia utilizzando questa tecnica. A quanto pare, è stato in grado di ridurre l'URI abbastanza grande (24.682 caratteri) in soli 26 caratteri utilizzando i servizi di abbreviazione degli URL, che a quanto pare giocano un ruolo chiave in questi attacchi. L'intenzione è di indurre le vittime che ricevono il link a cliccare su di esso, lanciando il loro browser web.

Ogni moderno browser supporta lo schema URI e renderà l'URI codificato come una pagina nel browser della vittima. Il metodo di attacco URI non è nuovo. Nel 2007, i ricercatori Billy "BK" Rios e McFeters Nathan hanno esplorato attacchi simili [PDF] contro i browser IE6 e IE7 di Microsoft che sfruttavano la funzionalità senza documenti per la gestione degli URI. L'uso di URI dà la possibilità ai pirati informatici sofisticati di poter iniziare la circolazione di pagine phishing individuali mirate ad un certo numero di vittime.

Il metodo vince anche le difese contro gli attacchi di phishing tradizionali, come ad esempio il filtraggio web e gestione della reputazione, perché le vittime non avrebbero bisogno di comunicare con un server di attacco, sostiene Klevjer. E il metodo non è limitato agli attacchi phishing. Klevjer ha scritto una e-mail a Naked Security, nella quale spiega che il ricercatore di sicurezza norvegese Per Thorsheim ha sottolineato che un URI dati potrebbe contenere anche una applet Java (compromesso). A tal proposito vale la pena ricordare la pericolosa vulnerabilità Java zero-day scoperta questa settimana.

"Il problema è che ci sono poche difese contro questo tipo di phishing. Il Web Browser non si connette a qualsiasi risorsa esterna per visualizzare il phishing, a meno che le immagini sono incluse da siti remoti (che potrebbero anche essere incorporati). L'unico limite è la dimensione che il browser impone agli URL", ha spiegato Johannes Ullrich, ricercatore di SANS. Se vengono utilizzati short URL, per esempio, il contenuto dannoso si troverà all'interno di un collegamento. Ullrich fa notare, però, che gli aggressori avrebbero ancora bisogno di gestire una infrastruttura di backend per ricevere i dati rubati nell'attacco.

Tuttavia, egli dice che i pirati informatici sofisticati potrebbero anche sgattaiolare i dati rubati utilizzando un modulo per la richiesta DNS appositamente predisposto, che trasferirebbe le credenziali di accesso ad un sistema remoto. Prospettando un tentativo di phishing, sarà possibile inserire il modulo, ma ci sarà ancora bisogno di un server web per ricevere i dati. A meno che, naturalmente, sia  possibile exfiltrare questo DNS. Di seguito un piccolo proof of concept HTML / javascript per spiegare ciò.

"L'uso di URI per scopi dannosi non è una novità, ma è chiaro che la ricerca appena andrà avanti su questo argomento, i criminali informatici rivolgeranni la loro attenzione ad esso. Attualmente, alcuni browser web sono progettati per mitigare tali attacchi. Per esempio, Chrome reindirizza i blocchi per gli URL dei dati e versioni più recenti di Internet Explorer limitano la quantità di dati che possono essere confezionati. Tuttavia, Opera e Firefox  (recentemente aggiornato da Mozilla alla versione 15) li eseguono senza alcuna difficoltà.

Hotmail: violati account tramite password reset, Microsoft patcha vulnerabilità

Microsoft avrebbe risolto una grave vulnerabilità in Hotmail, che permetteva agli hacker di reimpostare le password degli account, bloccando il vero proprietario dell'account e dando gli aggressori l'accesso alle caselle di posta degli utenti. La notizia del bug critico si è diffusa rapidamente nei forum metropolitani di hacking, e Whitec0de ha riportato all'inizio di questa settimana che gli hacker offrivano la possibilità di entrare in un account Hotmail per 20 dollari. Sembra che la vulnerabilità esisteva nella funzione di reset della password di Hotmail (https://account.live.com/ResetPassword.aspx)

Gli hacker erano in grado di utilizzare un add-on Firefox chiamato Tamper Data per bypassare le protezioni normali messe in atto per proteggere gli account Hotmail. L'exploit è stato scoperto da un hacker in Arabia Saudita che è un membro del forum sulla sicurezza popolare dev-point.com. A quanto pare l'exploit è trapelato sui forum di dark-web hacking. Tutto l'inferno si è scatenato quando un membro di un forum molto popolare di hacking ha offerto il suo servizio che può hackerare 'qualsiasi' account e-mail entro un minuto. "L'exploit si è propagato a macchia d'olio in tutta la comunità degli hacker.

Molti utenti che hanno legato il loro account di posta elettronica ai servizi finanziari come Paypal e Liberty Reserve sono stati presi di mira e il denaro saccheggiato via. Mentre molti altri hanno perso i loro account Facebook e Twitter", spiega Ed Bot di ZDnet. Un rapporto pubblicato da Vulnerability-Lab ha descritto la vulnerabilità e ha fornito un calendario per la divulgazione e la correzione. Il bollettino ha valutato la gravità come "Critica", sulla base di questa descrizione:

"Una vulnerabilità critica è stata trovata nella funzionalità ufficiale di password reset del servizio ufficiale MSN Hotmail di Microsoft. La vulnerabilità permette ad un aggressore per ripristinare la password Hotmail / MSN con i valori scelti dall'attaccante. Gli aggressori remoti possono bypassare il servizio di recupero password per impostare una nuova password e bypassare le protezioni poste (token based). Il token di protezione controlla solo se il valore è vuoto poi blocca o chiude la sessione web. Un attaccante remoto può, ad esempio aggirare il token di protezione con valori '+ + +)-'. Il successo dello sfruttamento dei risultati danno l'accesso non autorizzato all'account MSN o Hotmail. Un utente malintenzionato in grado di decodificare il CAPTCHA e inviare i valori automatizzati nel modulo di MSN Hotmail".

Il bollettino dice che Microsoft ha risolto la vulnerabilità il 20 aprile 2012, anche se la notizia è stata diffusa nelle scorse. La linea temporale più dettagliata mette il Fix / Patch data del vendor il giorno successivo:

Report-Timeline:
================

• 2012/04/06: Notifica Ricercatore e Coordinamento 
• 2012/04/20: Notifica fornitore da conferenza VoIP
• 2012/04/20: Risposta del fornitore / Feedback 
• 2012/04/21: Fix Vendor / Patch 
• 2012/04/26: divulgazione al pubblico o non pubblico

Durante almeno una parte di quel gap di due settimane, la vulnerabilità è stata ampiamente sfruttata, dichiara una fonte. L'exploit in sé era molto semplice. Secondo il rapporto esso consisteva nell'utilizzare una add-on per Firefox chiamato Tamper Data che permette all'utente di intercettare la richiesta HTTP in uscita dal browser in tempo reale e modificare i dati. Tutto ciò che l'attaccato doveva fare era quello di selezionare l'opzione "Ho dimenticato la mia password" e selezionare "Invia a me un link reset" e avviare i Tamper Data in Firefox e modificare i dati in uscita.

Numerosi i video di YouTube che hanno dimostrato il proof of concept per ottenere l'accesso agli account Hotmail. Secondo alcuni rapporti, gli hacker marocchini hanno attivamente approfittato della vulnerabilità e pianificato per reimpostare le password di un elenco di 13 milioni di utenti Hotmail in loro possesso. Ciò che non è noto è quali account di Hotmail dei 350 milioni di utenti potrebbero essere stati influenzati dalla grave vulnerabilità di sicurezza, Microsoft infatti non lo ha reso noto.

Il pericolo potrebbe essere ancor maggiore nel caso in cui l’account Hotmail fosse utilizzato per i servizi Windows Live o per l'accesso a Facebook. "Ma se siete preoccupati, c'è un modo semplice per controllare. L'account Hotmail hackerato avrebbe avuto la propria password cambiata, quindi se non siete più in grado di accedere al vostro account Hotmail è possibile (anche se tutt'altro che definitiva - ci possono essere altre ragioni, naturalmente) che il vostro account di posta elettronica è stato vittima di questo tipo di attacco", spiega Graham Cluley di Sophos. Se si riesce ad accedere al proprio account senza problemi, significa che non si è rimasti vittima dell’attacco.

Falla zero-day in Yahoo Messenger permette dirottamento di status

Gli esperti di sicurezza hanno scoperto che la versione appena rilasciata di Yahoo Messenger e alcuni dei suoi predecessori, contengono una vulnerabilità che permette ad un aggressore di assumere lo status di un ignaro utente, sostituendolo con i suoi link malevoli. "La falla zero-day in Yahoo Messenger consente ad aggressori remoti di 'giocherellare' con il messaggio di stato di qualsiasi utente - che consente di diffondere malware", hanno rivelato Venerdì i ricercatori di sicurezza di Bitdefender. I client vulnerabili si trovano nella versione 11.x di Messenger, inclusa la versione 11.5.0.152 appena rilasciata. Yahoo Messenger è molto diffuso in quanto, rispetto ai programmi concorrenti, offre molteplici opzioni e funzionalità.

Ricercatore trova vulnerabilità negli allegati dei messaggi Facebook

Un tester di penetrazione sulla sicurezza ha scoperto una importante falla in Facebook che potrebbe consentire ad una persona qualunque di mandare file dannosi direttamente nella posta del social network. Il problema riguarda una funzione di Facebook che consente agli utenti di inviare un messaggio e un allegato ad un altro utente che non è loro amico. Facebook vieta l'invio di file eseguibili, ma un penetration tester di sicurezza ha trovato un modo per aggirare il filtro.

Nuova pericolosa falla Zero-day in tutte le versioni di Windows

Ricercatori di sicurezza hanno individuato una nuova vulnerabilità sfruttabile da remoto in tutte le attuali versioni di Windows che potrebbe essere utilizzata da malintenzionati per eseguire codice arbitrario sulle macchine vulnerabili. Esiste già un proof-of-concept exploit in circolazione del bug. Il bug risiede nel protocollo del browser, che gira sopra il protocollo SMB (Server Message Block) di Windows. Un nuovo bug potenzialmente molto pericoloso è stato scoperto su Windows.

Un bug di Facebook permetteva di rubare i dati personali degli utenti

Facebook ha chiuso una grave vulnerabilità di sicurezza che avrebbe permesso a siti Web dannosi di leggere i dati personali da parte dei visitatori che avevano effettuato l'accesso al sito di social network. Il difetto è stato scoperto da due studenti di nome Wang Rui e Zhou Li, che hanno trasmesso tutte le informazioni utili insieme ad un proof-of-concept di attacco alla società.

Wang Rui e Zhou Li hanno comunicato di aver trovato una vulnerabilità che permetteva a siti Web dannosi di accedere ai dati privati di un utente di Facebook connesso con il proprio account senza il suo consenso. Secondo Rui e Zhou, è stato possibile per qualsiasi sito web di impersonare altri siti che fossero stati autorizzati ad accedere ai dati degli utenti come il nome, sesso e la data di nascita. Inoltre, i ricercatori hanno trovato un modo per pubblicare il contenuto sulle bacheche di Facebook degli utenti in visita (sotto le mentite spoglie di siti Web legittimi) - un modo potenziale per diffondere malware e attacchi phishig.

La pagina quindi inganna l'utente facendo credere di essere sul sito legittimo di Facebook (falsa finestra di dialogo dei permessi per le applicazioni, una caratteristica che la stragrande maggioranza degli utenti di Facebook utilizza), permettendo di accedere a informazioni personali dell'utente, come data di nascita o l'indirizzo email. I siti di YouTube, NYTimes, Farmville o ESPN sarebbero tutti degni candidati per l'attacco. Ecco un video su YouTube da Rui e Zhou, dove si dimostra che la vulnerabilità. (Nota: non c'è nessun suono sul video).

"La vulnerabilità consente al sito web "maligno" di impersonare altri siti web per ingannare Facebook, e ottenere le stesse autorizzazioni di accesso ai dati su Facebook che quei siti ricevono. Bing.com di default ha il permesso di accedere alle informazioni di base tutti gli utenti Facebook 'come il nome, sesso, ecc, quindi il nostro sito web "maligno" è in grado di de-anonimizzare gli utenti rappresentando Bing.com. Inoltre, a causa di esigenze di business, ci sono molti siti web chiede più permessi, compresi l'accesso ai dati privati di un utente, e la pubblicazione di contenuti su Facebook a nome suo. Pertanto, rappresentando questi siti, il nostro sito può ottenere le stesse autorizzazioni per rubare i dati privati o inviare messaggi di phishing su Facebook a nome dell'utente. L'exploit è generica, quindi non abbiamo bisogno di scrivere un exploit per ogni applicazione Facebook / sito web. L'unico parametro che ci serve è l'ID di applicazione di una applicazione Facebook / sito web."

L'esperto della società Sophos di sicurezza Graham Cluley è stato contattato dai due studenti circa la vulnerabilità. Cluley ha sperimentato la scorsa settimana su un sito di prova creato per lui da Zhou e Rui, ma non è riuscito ad imitare ciò che si vede nel video. Il sito web demo non è stato in grado di estrarre il nome del suo account Facebook di prova, visualizzando una finestra di "fallito" dialogo quando ha cercato di inviare un post sulla bacheca di Facebook. Probabilmente non ha funzionato perché l'esperto aveva applicato alcune impostazioni sulla privacy abbastanza rigide per il suo account di prova, e abbastanza sicuro ha provato nuovamente (dopo aver installato l'applicazione Facebook ESPN sul suo account di prova). In quel caso l'applicazione è stata in grado di estrarre il suo nome, l'indirizzo e-mail e postare un "link" malevolo apparentemente tramite l'applicazione.

La buona notizia è che gli studenti hanno praticato una divulgazione responsabile e informato il team di sicurezza di Facebook riguardo il difetto, piuttosto che rilasciare dettagli a tutti quanti su come sfruttare i profili degli utenti. Bug di divulgazione di informazioni di questo tipo spesso derivano da attacchi web-based, come cross-site scripting e falsificazione delle richieste cross-site. In questo caso, tuttavia, la vulnerabilità deriva da un bug in uno dei meccanismi di autenticazione di Facebook, ha spiegato Rui. 

"L'exploit è generico, quindi non abbiamo bisogno di scrivere un exploit per ogni applicazione Facebook / sito web. L'unico parametro che ci serve è l'ID app di una applicazione Facebook / sito web", hanno detto i due ricercatori. Facebook Security risposto con prontezza, e dovrebbe essere applaudito per la fissazione della vulnerabilità in tempi rapidissimi una volta che sono stati informati. I loro nomi sono stati aggiunti alla lista dei "ringraziamenti" sulla pagina Facebook di sicurezza.

I due ricercatori in precedenza hanno scoperto una serie di attacchi a canale laterale che coinvolgono applicazioni web. La vulnerabilità è stata confermata solo nei casi in cui un utente di Facebook avesse permesso le applicazioni. L'installazione di un lettore basato su browser Flash è un altro presupposto necessario per tirare fuori l'attacco. 

"Chiaramente il sito di Facebook è un complesso di software, ed è quasi inevitabile che le vulnerabilità e i bug vengano trovati di volta in volta", ha sottolineato Graham Cluley, senior technology consultant di Sophos e una delle persone che hanno avuto la possibilità di testare la vulnerabilità di prima mano. "Il rischio è aggravato dal fatto che ci siano così tante personali informazioni sensibili degli utenti trattenuti dal sito - mettendo potenzialmente molte persone a rischio", ha aggiunto. Noi consigliamo di prestare attenzione alle informazioni che condividete sul sito ed in particolare quando utilizzate un'applicazione. Il sito di  Facebook è già stato in passato affetto da vulnerabilità di sicurezza e per farsi un'idea è sufficiente andare a questo indirizzo.

Pericolosa falla di sicurezza in tutte le versioni di Internet Explorer

Una vulnerabilità legata all'esecuzione di codice contro le versioni 6, 7 e 8 del browser Internet Explorer,è stata annunciata di recente, e un proof-of-concept dell'exploit è già stato aggiunto ai prodotti di Metasploit. Anche la nuovissima release 9 beta di IE sarebbe interessata dalla problematica. Microsoft non ha ancora tirato fuori una patch, ma ha pubblicato una soluzione che dovrebbe proteggere da questo exploit e da altri simili.