Tags Posts tagged with "Check Point Research"

Check Point Research

0 212

I ricercatori hanno identificato una falla di sicurezza in Windows, nei servizi DNS forniti da Microsoft per ogni sistema operativo Windows. Gli hacker potrebbero sfruttare la vulnerabilità per ottenere i privilegi admin di dominio sui server per assumere il controllo completo dell’IT di una società.

I ricercatori di Check Point Software Technologies hanno individuato una falla di sicurezza nel domain name system (DNS) di Windows, l’implementazione dei servizi DNS forniti da Microsoft nei sistemi operativi Windows.

Questa falla consentirebbe a un hacker di effettuare query DNS dannose al server DNS di Windows e di ottenere un’esecuzione arbitraria del codice che potrebbe portare alla violazione dell’intera infrastruttura. La vulnerabilità critica, denominata SigRed dai ricercatori di Check Point, riguarda le versioni dei server Windows del periodo 2003-2019. Microsoft ha identificato la falla di sicurezza e ha pubblicato una patch (CVE-2020-1350) a cui è stato assegnato il punteggio di rischio più alto possibile (CVSS:10.0).

Il DNS, spesso indicato come la “rubrica telefonica di internet”, fa parte dell’infrastruttura globale di internet che traduce i nomi più comuni dei siti web, nelle stringhe di numeri di cui i computer hanno bisogno per trovare un determinato sito web, o per inviare una e-mail.

Quando si dispone di un nome di dominio – per esempio www.checkpoint.com – si controlla a quale numero quel nome si collega, tramite un record DNS. Questi server sono presenti in ogni organizzazione e, se sfruttati, darebbero a un hacker i privilegi admin di dominio sul server, consentendogli di intercettare e manipolare le e-mail degli utenti e il traffico di rete, rendere i servizi non disponibili, raccogliere le credenziali degli utenti e altro ancora. In questo modo, l’hacker potrebbe acquisire il controllo completo di un’azienda IT.

Comunicazione responsabile

Il 19 maggio 2020, Check Point Research, la divisione Threat Intelligence di Check Point, ha comunicato in modo responsabile i risultati della ricerca a Microsoft. L’azienda ha identificato la falla di sicurezza e ha appena pubblicato una patch (CVE-2020-1350) nel suo “Patch Tuesday” – ieri, 14 luglio 2020. Microsoft ha assegnato alla vulnerabilità il punteggio di rischio più alto possibile (CVSS:10.0).

Una falla contagiosa

Microsoft descrive una vulnerabilità di questo tipo come “wormable”, il che significa che un singolo exploit può avviare una reazione a catena che permette agli attacchi di diffondersi da un dispositivo vulnerabile all’altro, senza richiedere alcuna interazione umana. Ciò significa che una singola macchina compromessa potrebbe essere un “super distributore”, consentendo all’attacco di diffondersi in tutta la rete di un’organizzazione entro pochi minuti dal primo exploit.

Scaricate la patch, ora

La patch per la vulnerabilità è già disponibile da ieri, 14 luglio 2020. Check Point esorta vivamente gli utenti Windows a patchare i loro server DNS al fine di prevenire lo sfruttamento di questa vulnerabilità. La probabilità che questa vulnerabilità venga sfruttata è alta, in quanto i ricercatori hanno trovato internamente tutti gli elementi necessari per sfruttare questo bug. Ciò significa che anche un hacker determinato potrebbe attingere alle stesse risorse.

Una violazione del server DNS è una cosa molto seria. La maggior parte delle volte, proietta l’aggressore a un passo dal violare l’intera aziendaSono pochissimi i tipi di vulnerabilità di questo tipo. Ogni impresa, grande o piccola, che utilizzi un’infrastruttura Microsoft, è esposta a grandi rischi a livello di sicurezza, se lasciata senza patch. Il rischio maggiore sarebbe una completa violazione dell’intera rete aziendale. Questa tipologia di vulnerabilità è presente nel codice Microsoft da più di 17 anni; quindi, se l’abbiamo trovata noi, non è impossibile supporre che qualcun altro l’abbia già trovata”, ha dichiarato David Gubiani, Regional Director SE EMEA Southern di Check Point.

Inoltre, le nostre scoperte dimostrano che non importa quanto crediamo di essere in sicurezza; ci sono, infatti, un’infinità di problemi in questo ambito che aspettano solo di essere scoperti. Chiamiamo questa vulnerabilità SigRed e crediamo che dovrebbe essere priorità assoluta porvi rimedio. Questa non è solo un’altra delle tante vulnerabilità: è necessario applicare la patch ora per fermare un’altra eventuale pandemia, ma di tipo informatico.”

Come rimanere protetti: 

  1. Applicare la patch Microsoft disponibile – Patch Tuesday (14 luglio 2020)
  2. Utilizzare un fornitore di terze parti per proteggere l’infrastruttura IT aziendale
  3. Utilizzare il seguente workaround per bloccare l’attacco. Digitare in “CMD”:
    reg add

“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters” /v “TcpReceivePacketSize” /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS

0 342

Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies, ha individuato diverse falle all’interno dell’infrastruttura di TikTok, dimostrando come anche l’app popolare tra i giovani sia vulnerabile agli hacker. I ricercatori hanno utilizzato il sistema SMS di TikTok per dimostrare come queste vulnerabilità possano essere facilmente diffuse e sfruttate.

Negli ultimi mesi, i ricercatori di Check Point hanno trovato molteplici vulnerabilità in TikTok e nel suo backend,dimostrando che una delle app in maggiore crescita al mondo non fosse impermeabile allo sfruttamento da parte degli hacker.

Alcuni giorni fa l’esercito americano ne ha vietato l’uso ai propri soldati, reputandola una cyber-minaccia. Check Point Research ha rivelato che il sistema SMS di TikTok potrebbe essere utilizzato per distribuire e innescare facilmente queste vulnerabilità, che includono:

  1. Caricamento di video non autorizzati e cancellazione di video
  2. Cambio della privacy dei video di un utente, da privati a pubblici
  3. Estrazione di dati personali sensibili, come nome e cognome, indirizzo e-mail e data di nascita

Come è stato possibile?

Per scaricare TikTok, i nuovi utenti ricevono un link di download via SMS dopo aver inserito il proprio numero di cellulare sul sito. Un hacker potrebbe potenzialmente manipolare e inviare messaggi a qualunque numero di cellulare, fingendosi TikTok – inviando ed eseguendo codici maligni per mettere in atto operazioni indesiderate come la cancellazione di video, il caricamento non autorizzato di video, e il cambiamento delle impostazioni di privacy dei video da privato a pubblico.

Inoltre, i ricercatori di Check Point sono venuti a conoscenza del fatto che un hacker possa spostare forzatamente un utente TikTok su un server controllato, abilitandosi all’invio di richieste indesiderate da parte dell’utente. L’hacker potrebbe utilizzare la medesima tecnica per dirottare la propria vittima su un sito web pericoloso sotto le sembianze di Tiktok.com. Il dirottamento apre alla possibilità di compiere attacchi di Cross-Site Request Forgery (CSRF), Cross-Site Scripting (XSS), and Sensitive Data Exposure, senza il consenso dell’utente.

Comunicazione Responsabile

Check Point Research ha informato ByteDance, lo sviluppatore di TikTok, di queste vulnerabilità a fine novembre 2019 e una soluzione è stata implementata in meno di un mese per garantire che gli utenti TikTok potessero continuare ad utilizzare l’app in modo sicuro.

Check Point Research scopre che alcune applicazioni di alto profilo presentano delle vulnerabilità sul Play Store di Google, in particolare:

  • È impossibile eseguire gli update e installare correttamente le patch
  • Gli hacker riescono ad acquisire i dati di localizzazione da Instagram, modificare i post su Facebook e leggere i messaggi su WeChat
  • I ricercatori affermano che la mancanza di azione di Google è un problema

È impossibili eseguire gli update

Comunemente si pensa aggiornando costantemente un’applicazione alla versione più recente, sarà possibile rendersi immuni agli attacchi degli hacker. Non è vero. I ricercatori di Check Point hanno dimostrato che le patch di alcune importanti applicazioni di alto profilo – Facebook, Instagram, WeChat – non erano presenti nel Play Store di Google. In uno studio della durata di un mese, i ricercatori di Check Point hanno analizzato le ultime versioni di alcune delle più famose applicazioni mobili per verificare l’esistenza di vulnerabilità precedentemente note. I risultati sono allarmanti.

Controllo amministrativo di Facebook, Instagram e WeChat da parte degli hacker

La ricerca dimostra che gli attori della minaccia possono ancora eseguire codice sulle ultime versioni delle applicazioni mobili presenti su Play Store, nonostante gli aggiornamenti. In breve, questi sono in grado di ottenere il controllo amministrativo delle applicazioni mobili studiate da Check Point Research. Teoricamente, gli attori della minaccia possono impossessarsi e modificare i post su Facebook, estrarre i dati di localizzazione da Instagram e leggere i messaggi SMS in WeChat.

Il processo di ricerca

In particolare, Check Point Research ha riesaminato le ultime versioni di queste app mobile di alto profilo in cerca di tre vulnerabilità note per l’esecuzione del controllo da remoto (RCE) risalenti al 2014, 2015 e 2016. Ad ogni vulnerabilità sono state assegnate due firme. Poi, Check Point Research ha utilizzato il proprio motore statico per esaminare centinaia di applicazioni mobili nel Play Store di Google per vedere se il vecchio codice vulnerabile era ancora presente nell’ultima versione dell’applicazione. Check Point Research ha trovato alcuni codici vulnerabili nelle ultime versioni di applicazioni mobili popolari, nonostante fosse stato affermato il contrario.

La staticità di Google è un problema

Questa ricerca fa sorgere un’altra domanda: perché Google non controlla gli aggiornamenti degli sviluppatori delle applicazioni? Oggi, Google offre semplicemente agli sviluppatori la possibilità di aggiornare le applicazioni. Per noi, questo è estremamente pericoloso e fuorviante per il grande pubblico. Riteniamo che Google dovrebbe obbligare gli sviluppatori di applicazioni mobili ad aggiornare le loro applicazioni, codice di terze parti incluso. In fondo, Google è parzialmente responsabile del monitoraggio dei malware e dei codici vulnerabile.

Divulgazione responsabile

Check Point Research ha informato sia le aziende delle applicazioni che Google delle vulnerabilità riscontrate.

Instagram ha notificato di aver confusamente creato due diverse patch per una delle vulnerabilità. È importante notare che la nostra ricerca si è concentrata sullo stato della sicurezza delle applicazioni presenti nel Play Store di Google e non su specifiche vulnerabilità di specifiche applicazioni.

Cosa dovrebbero fare gli utenti

Per ora, Check Point invita le persone a installare un’applicazione antivirus per monitorare le applicazioni vulnerabili presenti sul telefono. La speranza è che la nostra ricerca modifichi il processo e le procedure di rilevamento di Google.

Finora, il “Secure World” di Qualcomm è stato ritenuto come qualcosa di impenetrabile. Di conseguenza, tutte le informazioni sulle nostre carte di credito/debito, insieme ad altre informazioni sensibili e personali, conservate sui nostri smartphone vengono salvate direttamente nel cosiddetto “Secure World”. Dopo uno studio della durata di 4 mesi, Check Point Research, la divisione Threat Intelligence di Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, ha smontato la convinzione che “Secure World” di Qualcomm, definito dagli esperti del settore come il comparto più sicuro dei nostri smartphone, sia a prova di violazione da parte degli hacker. La ricerca di Check Point rivela l’esistenza di una falla che consente unicamente agli hacker di rubare le nostre informazioni relative ai pagamenti mobile.

Quasi la metà degli smartphone a livello globale si affida Qualcomm
È risaputo che le soluzioni software “pure” hanno dei limiti di sicurezza. I sistemi di archiviazione protetta basati su meccanismi software puri mancano, infatti, di importanti specifiche di sicurezza hardware e, pertanto, espongono i dati a una gamma più ampia di minacce. Il software Android di per sé ha le stesse limitazioni di sicurezza, che Qualcomm affronta attraverso caratteristiche basate su hardware. Per superare questo limite, il runtime di Android deve essere protetto sia dagli aggressori che dagli utenti. Questo viene generalmente ottenuto spostando il software di storage protetto in un TEE (Trusted Execution Environment) supportato dall’hardware.

I sistemi operativi mobile, come Android, offrono un Rich Execution Environment (REE), che fornisce un ambiente runtime estremamente esteso e versatile. Pur apportando flessibilità e capacità, il REE rende i dispositivi vulnerabili a un’ampia gamma di minacce alla sicurezza. Il TEE è progettato per risiedere accanto al REE e fornire un’area sicura sul dispositivo per proteggere le risorse ed eseguire codice sicuro.

Il TEE di Qualcomm è basato sulla tecnologia ARM TrustZone. TrustZone è un insieme di estensioni di sicurezza su processori con architettura ARM che forniscono un processore virtuale sicuro supportato da un controllo degli accessi basato su hardware. Questo processore virtuale sicuro è spesso indicato come il “Secure World”, rispetto al “non-secure world”, dove risiede il REE. Nel 2018, è stato documentato che Qualcomm ha guidato il mercato dei processori con una quota del 45%.

Check Point ha scoperto la falla aperta
In un progetto di ricerca della durata di 4 mesi, i ricercatori di Check Point hanno tentato e sono riusciti a fare ingegneria inversa del sistema operativo “Secure World” di Qualcomm. I ricercatori hanno sfruttato la tecnica del “fuzzing” per esporre la falla. Il fuzzing (o fuzz testing) è una tecnica usata per individuare errori di codifica e falle di sicurezza nel software, nei sistemi operativi o nelle reti. Si tratta di inviare enormi quantità di dati casuali, chiamati fuzz, al sistema oggetto del test allo scopo di causarne il crash.

Disclosure responsabile
Check Point Research
ha divulgato responsabilmente i propri risultati. Qualcomm ha riconosciuto i risultati dello studio e ha corretto la vulnerabilità (CVE-2019-10574).

0 760

Nella celeberrima trilogia di Matrix, Agent Smith descrive la razza umana come una specie che si moltiplica fino a consumare ogni risorsa. Nella realtà, “Agent Smith” è un vero e proprio malware mobile che si sta diffondendo a ritmi allarmanti.

Check Point Research ha recentemente scoperto una nuova variante del malware mobile che ha già infettato circa 25 milioni di dispositivi, mentre l’utente rimane completamente ignaro. Camuffata come un’applicazione collegata a Google, la parte centrale del malware sfrutta varie vulnerabilità Android già note e sostituisce automaticamente le applicazioni installate sul dispositivo con versioni dannose senza che l’utente faccia nulla.

Soprannominato Agent Smith, il malware attualmente utilizza il suo ampio accesso alle risorse del dispositivo per mostrare annunci a scopo di lucro, naturalmente falsi. Questa attività assomiglia a precedenti campagne malware quali GooliganHummingbad e CopyCat e può infettare tutti gli smartphone aggiornati anche oltre Android v.7.

Tuttavia, potrebbe essere facilmente utilizzato per scopi molto più delicati e dannosi, come il furto delle credenziali bancarie e le intercettazioni. Infatti, grazie alla sua capacità di nascondersi e di impersonare le app più popolari, ci sono infinite possibilità che questo tipo di malware danneggi il dispositivo di un utente.

Nel panorama delle minacce mobile, la migliore protezione contro gli attacchi invasivi di malware mobile come Agent Smith consiste nell’utilizzare tecnologie avanzate di threat prevention, basate su informazioni avanzate sulle minacce, combinate con un approccio hygiene first per proteggere le risorse digitali.

Per rimuovere le app dannose, probabilmente colpite da Agent Smith, Check Point consiglia di seguire i seguenti passaggi:

Per Android:

  • Menù Impostazioni
  • Cliccare su App o Application Manager
  • Spostarsi sull’app sospetta e disinstallarla
  • Se non si trova, rimuovere tutte le applicazioni installate di recente

Per iPhone:

  • Menù Impostazioni
  • Scorrere fino a Safari
  • Nell’elenco delle opzioni, assicurarsi che sia selezionato “Block Pop-ups”
  • Poi proseguire su Avanzate -> Dati del sito web
  • Per tutti i siti elencati non riconosciuti, effettuare la cancellazione

Joomla! è uno dei Content Management System più famosi ed è utilizzato da centinaia di migliaia di organizzazioni in tutto il mondo.

Nel corso degli anni, il CMS è stato al centro di molte vulnerabilità, come l’escalation dei privilegi del filtro per il cross-site scripting Joomla Core Sterilizer (CVE-2017-7985) e l’esecuzione di comandi remoti di Joomla Object Injection (CVE-2015-8562).

Recentemente Check Point Research, il team di ricerca di Check Point Software Technologies, ha scoperto una nuova campagna di attacchi a opera di un noto attore di minacce informatiche che sta sfruttando ovviamente a scopo di lucro una vulnerabilità presente in JMail, il servizio email di Joomla!.

JMail è il servizio di posta di Joomla, che consente all’utente di inviare posta attraverso la piattaforma. In mancanza di sistemi di sicurezza appropriati, il servizio può essere manipolato facilmente per essere utilizzato per il phishing, lo spam o addirittura per implementare un’infrastruttura backdoor all’interno della piattaforma. Infatti, alterando l’intestazione User-Agent nelle richieste HTTP, un criminale può manipolare la piattaforma e sovrascrivere il servizio JMail esistente.

Check Point Software Technologies segnala come l’attore della minaccia, Alarg53, è consapevole di questo e lo sta attualmente sfruttando per realizzare una campagna di spam davvero proficua. Secondo i ricercatori, Alarg53 non è nuovo in queste avventure. I dati dimostrano che Alarg53 è colpevole di ben 15.000 attacchi hacker, incluso quello che aveva coinvolto i server della Stanford University sfruttando una vulnerabilità di WordPress. In questa campagna, però, Alarg53 si è superato, includendo addirittura un’infrastruttura di backdoor e phishing significativa e su vasta scala.

L’annuncio della campagna di phishing che sta interessando Joomla! è stato comunicato dall’azienda durante il RSA Trade Show di San Francisco che si sta svolgendo in questi giorni.

Check Point® Software Technologies Ltd. presenta la nuova piattaforma on-lineCheck Point Research, pensata per fornire intelligence e maggiore comprensione sulle minacce informatiche alla comunità.

Check Point Research è una piattaforma per informare la comunità impegnata contro le minacce informatiche riguardo le ricerche originali di Check Point, le principali tendenze nell’ambito della sicurezza informatica, e i dettagli sul panorama delle minacce odierne.

In concomitanza con il lancio di questa nuova piattaforma on-line di ricerca, Check Point annuncia inoltre il Cyber Attack Trends: Mid-Year Report.

Il rapporto fornisce una panoramica completa dei malware nelle principali categorie dei ransomware e delle minacce bancarie e mobili – sulla base dei dati di threat intelligence rilevati dal ThreatCloud World Cyber Threat Map di Check Point tra gennaio e giugno 2017.