Windows Installer Zero-Day

Individuata una nuova vulnerabilità di Windows Installer per eseguire attività di Privilege Escalation. La vulnerabilità sembrerebbe essere stata introdotta a seguito del rilascio di un’altra patch di sicurezza da parte di Microsoft per risolvere altri aspetti di sicurezza. La precedente vulnerabilità (CVE-2021-41379) di Windows Installer è stata fixata da Microsoft Leggi tutto…

Vulnerabilità MSHTML: Difesa e Threat Hunting

Attività di Threat Hunting event_platform=win event_simpleName=PeFileWritten | search FileName=”*.inf” | stats dc(aid) as uniqueSystems, count(aid) as totalWrites values(FilePath) as filePaths by FileName | sort + totalWrites event_platform=win event_simpleName=ProcessRollup2 FileName=rundll32.exe ParentBaseFileName=control.exe | search CommandLine=”*.inf*” | stats dc(CommandLine) as cmdLineVarations dc(aid) as uniqueEndpoints count(aid) as totalExecutions values(CommandLine) as commandLines by FileName, ParentBaseFileName Leggi tutto…

Nuovo attacco ai server Microsoft Exchange

Nelle ultime settimane sono state identificate nuove vulnerabilità dei server Microsoft Exchange il cui utilizzo concatenato di tre diverse vulnerabilità permette ad un attaccante di bypassare il meccanismo di autenticazione ed eseguire codice arbitrario (Remote Code Execution) sul sistema target con privilegi amministrativi. Vulnerabilità coinvolte La concatenazione di tre diverse Leggi tutto…

Le vulnerabilità più di tendenza tra i Cybercriminali

CVE-2020-1472 – Attacco protocollo SMB per Lateral Movement e perimetro CVE-2020-0796 – Attacco protocollo SMB per Lateral Movement e perimetro CVE-2019-19781 – Attacco sistemi Citrix CVE-2019-0708 – BlueKeep, attacco al servizio RDP CVE-2017-11882 – Attacco tramite e-mail e allegato CVE-2017-0199 – Attacco tramite e-mail e allegato CVE-2020-1472 CVE-2020-0796 CVE-2019-19781 CVE-2019-0708 CVE-2017-11882 CVE-2017-0199

Vulnerabilità Critica: PrintNightmare

Dettagli sulla Minaccia Mitigazione Disabilitazione del servizio Determine if the Print Spooler service is running Run the following: Get-Service -Name Spooler If the Print Spooler is running or if the service is not set to disabled, select one of the following options to either disable the Print Spooler service, or Leggi tutto…

Vulnerabilità vCenter VMWare

Sistemi vulnerabili Dettagli della vulnerabilità Dettaglio: Come potrebbe essere sfruttata: Dettaglio sistemi vulnerabili: Product Version Running On CVE Identifier CVSSv3 Severity Fixed Version Workarounds Additional Documentation vCenter Server 7.0 Any CVE-2021-21985 9.8 Critical  7.0 U2b KB83829 FAQ vCenter Server 6.7 Any CVE-2021-21985 9.8 Critical  6.7 U3n KB83829 FAQ vCenter Server Leggi tutto…

Report Italia: Microsoft Exchange

Nel Mese di Marzo, Microsoft ha pubblicato un bollettino di sicurezza per l’applicazione di patch di Microsoft Exchange. L’urgenza della patch era dovuta all’evidenza che il gruppo criminale Hafnium stesse sfruttando certe vulnerabilità per compromettere i server di diverse società nel mondo (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065). Proprio in questi giorni sono Leggi tutto…