Sono arrivati gli aggiornamenti dell’ultimo quadrimestre 2022 per i prodotti Oracle, il CPU (Critical Path Update) ottobre 2022. Anche questa volta gli interventi sono molti, ma non tutti i prodotti godranno di interventi sulla sicurezza. Da questo aggiornamento, infatti, vengono esclusi interventi sulla sicurezza per alcuni prodotti, benché vengano introdotti i correttivi per quelle componenti terze parti che ne facciano parte (componenti utilizzate da Oracle nella costruzione di tali prodotti), con CVE che risalgono fino al 2019 (es. la CVE-2019-10086). Le famiglie di prodotti affette da questa “esclusione” sono: Oracle Airlines Data Model, Oracle Big Data Graph, Oracle NoSQL Database, Oracle SQL Developer, Oracle TimesTen In-Memory Database. Non sembra essere un dramma: è auspicabile che la correzione delle componenti terze parti sia a tutela dell’intero prodotto. 

Il grosso degli interventi Oracle invece è stato distribuito su altre 27 famiglie di prodotti per le quali sono stati realizzati 370 aggiornamenti di sicurezza per l’eliminazione di 179 CVE. 56 delle correzioni sono classificate critiche (correggono 32 CVE critici), 144 di gravità elevata (correggono 57 CVE di gravità elevata) e 163 di medio impatto (correggono 83 CVE di gravità media). Rimangono 7 patch per altrettanti CVE di gravità bassa per il totale complessivo che dicevamo. 

La National Security Agency (NSA) degli Stati Uniti d’America ha recentemente (inizio mese) diramato un allarme di sicurezza relativo allo sfruttamento attivo di vulnerabilità da parte di attori di minaccia supportati dal governo cinese e da questo indirizzati a perseguire interessi nazionali. 

In particolare l’allarme indica come vittime di questo nuovo interesse cinese sia l’insieme di industrie e organizzazioni varie negli Statu Uniti d’America, con l’intenzione comune di sottrarre proprietà intellettuali e ottenere accessi a reti sensibili. 

L’allarme è corroborato da un rapporto che tiene conto delle valutazioni sulle debolezze sfruttate dagli agenti di minaccia così come eseguite dalla NSA stessa, dal Cybesercurity and Infrastructure Security Agency (CISA) e dal Federal Bureau of Investigation (FBI). 

Nel rapporto vengono evidenziate le principali vulnerabilità sfruttate fin dal 2020 da attori di minaccia supportati dalla Repubblica Popolare Cinese, sottolineando come lo sfruttamento continua indisturbato su vulnerabilità ormai note. 

Microsoft ha rilasciato il Patch Tueday di ottobre e al solito ha risolto molti problemi, ma non tutti. 

Tra le 84 correzioni a vulnerabilità è rumorosa l’assenza di correzioni alle vulnerabilità di cui abbiamo parlato nel precedente articolo, ossia lo zero-day denominato ProxyNotShell, per via della sua similitudine alla vulnerabilità ProxyShell del 2021. 

Niente, dunque, a correzione dei CVE-2022-41040 e CVE-2022-41082. 

L’attenzione e l’attesa era evidentemente su quanto precedentemente segnalato e visto in natura; pertanto, un po’ di delusione ci può stare, ma è evidente che lo sforzo di Microsoft non è stato mal posto, in quanto si è data da fare su differenti vulnerabilità classificate critiche, capaci di eseguire elevazione privilegi (EoP), esecuzione di codice da remoto (RCE), ma anche vulnerabilità più moderate capaci di falsificazioni (Spoofing), come la CVE-2022-41035. Soprattutto è da segnalare come Microsoft in questo caso sia riuscita a correggere altre due vulnerabilità zero-day, delle quali una è stata già vista sfruttata in natura. Si tratta delle vulnerabilità CVE-2022-41033 e CVE-2022-41043. 

Da Microsoft stessa, oltre che dalle segnalazioni di Zero Day Initiative (ZDI) di Trend Micro, arriva la conferma dell’avvistamento in natura di una variante di ProxyShell (rilevata nel 2021), una pericolosa minaccia per Microsoft Exchange Server. 

Già nella precedente variante si trattò di scoprire una vulnerabilità zero-day: anche in questo caso l’identificazione in natura ha riguardato una minaccia di cui si ignorava l’esistenza fino all’evidenza del suo agire dannoso. 

Ancora una volta la minaccia è costituita prevalentemente dall’esecuzione di codice da remoto; come per ProxyShell, anche in questo caso ciò risulta possibile qualora sia disponibile all’attaccante una PowerShell: questo è reso possibile, in sistemi in cui operano istanze di Microsoft Exchange Server 2013, 2016 e 2019, a causa di una catena di vulnerabilità identificate con CVE-2022-41040 e CVE-2022-41082. 

La prima (CVE-2022-41040), valutata con un punteggio CVSS 6.3, è una vulnerabilità di tipo Server-side Request Forgery (SSRF) presente nei server Exchange capace, ad un utente remoto autenticato, di rendere possibile la vulnerabilità successiva. 

L’ingegneria sociale è un insieme di tecniche orientate a condizionare i comportamenti di gruppi umani e singole persone. 

Il campo di azione di una simile ingegneria è vasto e può inseguire differenti finalità, anche legittime; ma nel nostro caso l’applicazione che maggiormente ci interessa è quella intesa per veicolare azioni di minaccia. 

Gli attori di minaccia che impieghino queste tecniche sono naturalmente dotati di caratteristiche non solo tecnologiche, ma piuttosto psicologiche, attoriali: la loro arte è l’arte dell’inganno. 

La chiave è la cattura dell’attenzione della vittima, la comprensione dei punti sensibili e la stimolazione di questi al fine di imporre un comportamento utile per l’agente di minaccia a che la vittima riveli informazioni utili oppure agisca in linea con il progetto di attacco dell’esperto di social engineering. 

No, no parliamo delle innumerevoli crisi che affliggono il nostro continente, ma solo dell’insorgere di una nuova variante del famigerato malware denominato “Kaiji”, una variante modulare battezzata “Chaos” (che però non ha alcun riferimento o connessione con ransomware che ha il medesimo nome), una versione che potremmo a tutti gli effetti considerare un aggiornamento del precedente. 

L’obiettivo di questa nuova variante è per ora l’Europa. 

Come descritto da vari ricercatori, questa variante prende di mira non solo obiettivi nel territorio Europeo, ma estende il suo interesse sia a vittime operanti con sistema Windows che Linux, che siano in ambiente industriale oppure no (utenza casalinga). 

Chaos è capace di comunicare con una C2 (da cui ottiene comandi ma anche nuovi moduli) per l’esecuzione di tutta una serie di attività, ivi compreso il lancio di campagne DDoS (Distribuited Denial of Service) e mining di cryptovalute. 

Chiunque si interessi di ethical hacking sarà venuto a contatto con uno strumento di estremo interesse quale Impacket, progetto open source di SecureAuth (dal 2017 fusa con Core Security e dal 2019 entrambe in HelpSystem, produttrice di Cobalt Strike, discusso software di penetration test, apparentemente molto amato anche dagli agenti di minaccia). 

Ebbene, lo stesso destino di critiche può essere intravisto anche per lo strumento più primitivo quale Impacket, ad oggi sempre più visibile nelle tracce lasciate da agenti di minaccia durante le loro scorribande. 

Ma cosa è Impacket. Come premesso si tratta di un progetto open source, ovvero essenzialmente una raccolta di moduli Python, capace di agire su un considerevole insieme di protocolli di rete. Nulla di particolarmente interessante se non fosse per tutti quei protocolli che invece consentono attività su sistema remoto quali esecuzione codice, scarico delle credenziali, sniffing di pacchetti e la manipolazione di protocolli di autenticazione come Kerberos.

L’affermazione è un po’ forte, certamente, ma è frutto delle osservazioni di un nuovo rapporto di threat intelligence redatto da CrowdStrike, o meglio dal suo team di threat hunting “Falcon OverWatch”, il “Nowhere to Hide: 2022 Falcon OverWatch Threat Hunting Report”. 

Dal punto di vista del gruppo di difesa, per un periodo di un intero anno, si è reso evidente una crescente tendenza da parte degli aggressori all’utilizzo di strategie di attacco frontali e laterali per le reti eventualmente compromesse. Si tratta evidentemente di una opportunità tattica indotta dall’enorme mole di vulnerabilità che sommergono le infrastrutture delle organizzazioni oggetto di minaccia. 

Il malware non cade certo in disuso per inefficienza o per altri motivi strategici: è più un motivo tattico, indotto dalla semplicità di approfittare delle condizioni di inferiorità dell’obiettivo attraverso altre strategie di attacco più immediate: è questo che contribuisce alla decrescita nell’uso del malware. Basta considerare il prolifico mondo della compravendita su forum criminali di credenziali di accesso perfettamente funzionanti. 

Con la Patch Tuesday di settembre, Microsoft ha posto rimedio a ben 62 vulnerabilità molto gravi, 57 importanti e 5 critiche, senza considerare il più generico problema derivante dalla CVE-2022-23960 relativa ai processori ARM (Cortex e Neoverse), un problema derivante dal mancato limite imposto alla speculazione della cache in queste CPU (Spectre-BHB), cosa che consente ad un utente malintenzionato di sfruttare la cronologia nel ramo condiviso nel Branch History Buffer, ottenendone così informazioni riservate, Si tratta comunque di una vulnerabilità dalla gravità media (CVSS 5.6) che può affliggere indirettamente sistemi Windows non aggiornati quando eseguiti su tali CPU. 

Tornando ai problemi strettamente di casa Microsoft, questi colpiscono, come è solito, un gran numero di software e prodotti della casa di Redmond. 

I laboratori Alien Labs di AT&T hanno recentemente scoperto un nuovo malware che prende di mira dispositivi IoT basati su sistema operativo Linux (e la maggioranza dei sistemi IoT lo sono). 

Il malware è stato denominato “Shikitega”: opera attraverso una catena di infezioni, ognuna attuata da moduli che occupano solo poche centinaia di bytes, e dunque tali da passare inosservati. 

Il primo stage del malware appare come un payload di soli 370 byte, frutto della codifica “shikata ga nai”, l’encoder polimorfico basato su XOR molto popolare in quanto presente nella suite di attacco di Rapid 7 Metasploit. 

Il codice di questo primo stage non dipende da alcuna libreria, ed utilizza semplicemente le primitive di sistema (Linux) invocandole mediante istruzione assembly INT (invocazione di un interrupt) con argomento 80h (esadecimale, ossia 128, che è l’interrupt di chiamata a sistema Unix).