Giovedì 29 Gennaio 2015
Yarix Security Team - News

E’ stato un gennaio sicuramente intenso per gli avvenimenti relativi alla sicurezza informatica e invitiamo tutti a leggere con molta attenzione l’aggiornamento che segue, relativo a tre nuove minacce informatiche particolarmente gravi.
 

CVE-2015-0235: bug GHOST

I ricercatori di sicurezza di Qualys hanno individuato una vulnerabilità estremamente grave nella versione 2.2 della GNU C Library, glibc, implementazione della libreria C standard e parte fondamentale del sistema operativo Linux.

Il bug, di gravità paragonabile a Heartbleed e Shellshock, può infatti essere facilmente sfruttato da remoto, consentendo a utenti malintenzionati di assumere il controllo completo del sistema compromesso, pur senza conoscere le credenziali di sistema. Nel dettaglio, il PoC (non ancora pubblico fortunatamente) funziona inviando una mail ad un mail server, che fa ottenere una shell sul sistema remoto.

La vulnerabilità, soprannominata GHOST perché sfruttabile tramite le funzioni GetHOST, è pericolosa perché particolarmente facile da sfruttare.

Le patch sono già disponibili e in via di distribuzione; risulta dunque essenziale provvedere a installarle quanto prima.

Attacco Man-in-the-E-Mail

Un gruppo di hacker, forse nigeriano secondo quanto emerge dalle prime indagini svolte, sta frodando molte aziende italiane con un attacco di tipo “Man-in-the-E-Mail”.

L’attacco consiste nel prendere di mira aziende che si occupano di compravendita, violandone le caselle di posta elettronica e intromettendosi nella trattativa. Il venditore viene sostituito con falsi account mail, simili all’originale, attraverso cui viene chiesto di inviare il bonifico su conti offshore o comunque difficilmente rintracciabili.

La tecnica è molto sofisticata e difficile da scoprire.

Le cause della violazione delle caselle di posta elettronica sono da ravvisare nell’uso di password semplici o comunque sostituite di rado, oppure di un trojan installato nel pc della vittima.

Invitiamo i clienti a cambiare le password almeno una volta al mese, a mantenere aggiornato l’antivirus e il sistema operativo, oltre ad attivare un sistema di autenticazione a 2 fattori, come ad esempio password+sms o altro strumento simile.

Nuova variante CryptoLocker

Una nuova variante di CryptoLocker si sta propagando nelle ultime ore, eludendo il controllo della maggior parte degli antivirus.  

Il meccanismo è conforme a tutti i Cryptolocker: cripta i dati della vittima, chiedendo il versamento di una somma a titolo di riscatto.
Il ransomware viene veicolato tramite email contenente un messaggio simile a questo:

Buongiorno,
Ti ringraziamo per l'ordine effettuato di recente e confermiamo di aver ricevuto i prodotti restituiti.
Il tuo numero di riferimento…

e l’invito ad aprire un allegato per  maggiori informazioni.
L’allegato in questione appare col nome bolla*******.cab, e al suo interno un file di estensione bolla****.scr, un file eseguibile a tutti gli effetti, contenente codice malevolo chescansiona l'intero filesystem, comprese le condivisioni di rete, e ne cripta il contenuto.

Il rischio è elevato, in quanto la variante viene rilevata allo stato attuale soltanto da pochissimi antivirus.
E’ dunque della massima importanza prestare attenzione alle email con allegato provenienti da fonti sconosciute.

Per proteggersi è essenziale, oltre a tenere aggiornato l’antivirus, verificare il corretto funzionamento del backup, così da avere una copia dei dati su un supporto disconnesso e non raggiungibile dal ransomware.

Azioni suggerite:

  • Blocco degli allegati delle email con estensioni pericolose (in questo caso .scr e .cab), controllando anche i file compressi. 
  • Antivirus costantemente aggiornato.
  • Check sulle share di rete della presenza di file cab,exe,scr,rtf. Potrebbe copiarsi in rete per farsi eseguire da qualche altro utente 
Vedi anche: