I Cyber-criminali, per la compromissione di sistemi e infrastrutture, sfruttano spesso delle vulnerabilit\u00e0 dei software e dei sistemi per ottenere un accesso, per effettuare l’escalation dei privilegi o per muoversi lateralmente nell’infrastruttura. Identificare le vulnerabilit\u00e0 pi\u00f9 critiche e porvi rimedio \u00e8 una attivit\u00e0 particolarmente importante e da non sottovalutare in quanto impedirebbe o limiterebbe i movimenti dei criminali sui propri sistemi.<\/p>\n
Applicare gli aggiornamenti di sicurezza permette di ridurre l’esposizione ad attacchi informatici. Ma non bisogna dimenticare che, molto spesso, i criminali sfruttano logiche e misconfigurazioni<\/em> per muoversi nell’infrastruttura senza l’ausilio di exploit e vulnerabilit\u00e0. L’identificazione di movimenti interni pu\u00f2 avvenire esclusivamente con attivit\u00e0 di Security Monitoring<\/strong>, Malware Analysis<\/strong> e Threat Hunting<\/strong>.<\/p>\n Come dall’analisi<\/a>, di seguito una lista delle vulnerabilit\u00e0 pi\u00f9 abusate dai criminali:<\/p>\n\n\n\n Molte di queste CVE<\/strong> sono datate, sono gi\u00e0 presenti patch per la risoluzione di quest’ultime. Dall’analisi effettuata da analisti di altre societ\u00e0, risulterebbe che le CVE pi\u00f9 discusse cambiano anche in base alla lingua utilizzata nei forum. Per quelli in russo la CVE-2019-19781, per quelli in cinese la CVE-2020-0796, per quelli in inglese CVE-2019-19781 e CVE-2020-0688, mentre per quelli in turco la CVE-2019-6340.<\/span><\/p>\n\n\n\n Vulnerabilit\u00e0 legata all’elevazione dei privilegi quando un utente malintenzionato stabilisce una connessione al domain controller<\/strong> su un canale Netlogon<\/strong>, vulnerabilit\u00e0 di Netlogon Remote Protocol<\/em>. \u200eLa vulnerabilit\u00e0 nell’esecuzione di codice in modalit\u00e0 remota \u00e8 causata dal modo con cui il protocollo SMBv3<\/strong> (Microsoft Server Message Block 3.1.1) gestisce determinate richieste. Un utente malintenzionato che abbia sfruttato correttamente la vulnerabilit\u00e0 pu\u00f2 eseguire codice sul server o sul client di destinazione.\u200e<\/p>\n\n\n\n \u200ePer sfruttare la vulnerabilit\u00e0 rispetto a un server, l’attaccante non autenticato potrebbe inviare un pacchetto appositamente creato a un server SMBv3<\/strong> di destinazione. <\/p>\n\n\n\n \u200eL’aggiornamento della protezione risolve la vulnerabilit\u00e0 correggendo il modo in cui il protocollo SMBv3 gestisce queste richieste appositamente realizzate.\u200e<\/p>\n\n\n\n Un problema in Citrix Application Delivery Controller<\/strong> (ADC) e Gateway 10.5, 11.1, 12.0, 12.1 e 13.0. La vulnerabilit\u00e0 risiede nella possibilit\u00e0 di eseguire codice sfruttando il servizio di Desktop remoto <\/strong>e l’invio di richieste create appositamente. Questa vulnerabilit\u00e0 non richiede alcuna interazione con l’utente. L’attaccante che abbia sfruttato correttamente questa vulnerabilit\u00e0 potrebbe eseguire codice arbitrario sul sistema di destinazione.<\/p>\n\n\n\n \u200eL’aggiornamento risolve la vulnerabilit\u00e0 correggendo il modo in cui Servizi Desktop remoto gestisce le richieste di connessione.\u200e<\/p>\n\n\n\n \u200eNel software Microsoft Office esiste una vulnerabilit\u00e0 di esecuzione di codice in modalit\u00e0 remota quando il software non riesce a gestire correttamente gli oggetti in memoria. Un utente malintenzionato che abbia sfruttato correttamente la vulnerabilit\u00e0 potrebbe eseguire codice arbitrario nel contesto dell’utente corrente. Gli utenti i cui account sono configurati per avere meno diritti utente sul sistema potrebbero essere meno interessati rispetto agli utenti che operano con diritti utente amministrativi.\u200e<\/p>\n\n\n\n \u200eLo sfruttamento della vulnerabilit\u00e0 richiede che un utente apra un file appositamente creato con una versione vulnerabile del software Microsoft Office<\/strong> o Microsoft WordPad<\/strong>.<\/p>\n\n\n\n \u200eEsiste una vulnerabilit\u00e0 nell’esecuzione di codice in modalit\u00e0 remota nel modo in cui Microsoft Office e WordPad analizzano file appositamente creati. Un utente malintenzionato che abbia sfruttato correttamente questa vulnerabilit\u00e0 potrebbe assumere il controllo di un sistema interessato. L’attaccante potrebbe quindi installare programmi; visualizzare, modificare o eliminare dati; o creare nuovi account con pieni diritti utente.\u200e<\/p>\n \u200eLo sfruttamento di questa vulnerabilit\u00e0 richiede che un utente apra o esilighi un file appositamente creato con una versione vulnerabile di Microsoft Office o WordPad. In uno scenario di attacco tramite posta elettronica, un utente malintenzionato potrebbe sfruttare la vulnerabilit\u00e0 inviando un file appositamente creato all’utente e quindi convincendo l’utente ad aprire il file.\u200e<\/p>\n","protected":false},"excerpt":{"rendered":" CVE-2020-1472 – Attacco protocollo SMB per Lateral Movement e perimetro CVE-2020-0796 – Attacco protocollo SMB per Lateral Movement e perimetro CVE-2019-19781 – Attacco sistemi Citrix CVE-2019-0708 – BlueKeep, attacco al servizio RDP CVE-2017-11882 – Attacco tramite e-mail e allegato CVE-2017-0199 – Attacco tramite e-mail e allegato CVE-2020-1472 CVE-2020-0796 CVE-2019-19781 CVE-2019-0708 CVE-2017-11882 CVE-2017-0199<\/p>\n","protected":false},"author":1,"featured_media":1169,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[89,212,230,231,321,322,382],"class_list":["post-2930","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security-news","tag-cve","tag-malware","tag-mitigation","tag-mitigazione","tag-smb","tag-smbghost","tag-vulnerabilita"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2930","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=2930"}],"version-history":[{"count":0,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2930\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=2930"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=2930"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=2930"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}CVE-2020-1472<\/h3>\n\n\n\n
Un attaccante che riesce a sfruttare tale vulnerabilit\u00e0 pu\u00f2 eseguire un processo appositamente realizzato su un dispositivo della rete\u200e.
\u200ePer sfruttare la vulnerabilit\u00e0, l’utente malintenzionato non autenticato dovrebbe utilizzare MS-NRPC per connettersi a un controller di dominio.\u200e<\/p>\n\n\n\nCVE-2020-0796<\/h3>\n\n\n\n
CVE-2019-19781<\/h3>\n\n\n\n
La vulnerabilit\u00e0 permette a un utente remoto e non autenticato, tramite Directory Traversal, di scrivere un file in un percorso su disco.\u200e
Se combinata con Perl Templating Toolkit<\/strong>, questa vulnerabilit\u00e0 permette l’esecuzione di codice remoto sul sistema vulnerabile.<\/p>\n\n\n\nCVE-2019-0708<\/h3>\n\n\n\n
CVE-2017-11882<\/h3>\n\n\n\n
CVE-2017-0199<\/h3>\n\n\n\n