Vai al contenuto
Attacchi informatici usando documenti Office, l’allerta di Microsoft

Attacchi informatici usando documenti Office, l’allerta di Microsoft

Il 7 settembre scorso Microsoft ha pubblicato un advisory che mette in guardia contro documenti Microsoft Office alterati per trasformarli in vettori di attacchi informatici. Questa tecnica di attacco viene già sfruttata attivamente dai criminali informatici per colpire gli utenti Windows.

La vulnerabilità in questione, la CVE-2021-40444, si basa su un difetto presente in MSHTML/Trident, il motore di rendering usato dall’obsoleto Internet Explorer e oggi utilizzato da Office per visualizzare i contenuti Web nei documenti Word, Excel e PowerPoint.

Se si apre con Microsoft Office su Windows un documento Office alterato in questo modo (includendovi un controllo ActiveX), l’aggressore che ha inviato il documento può prendere il controllo del computer della vittima, perché il motore di rendering esegue il codice ActiveX con gli stessi privilegi dell’utente. Il codice ActiveX usa questo potere per scaricare e installare un malware scelto dall’aggressore.

La vulnerabilità è insomma potenzialmente molto seria, ma va detto che se Microsoft Office viene usato con le sue impostazioni predefinite l’attacco non va a segno perché i documenti scaricati da Internet vengono aperti in Visualizzazione protetta o in Application Guard e quindi non possono accedere alle risorse trusted del computer attaccato. L’attacco non ha effetto su chi usa Microsoft Office su Mac ma riguarda tutte le versioni di Windows dalla 8.1 alla 10.

Defender, l’antivirus di Microsoft, già riconosce i documenti-trappola che sfruttano questa vulnerabilità, e lo stesso fanno i principali antivirus di altre marche, se li aggiornate.

Dovrebbe uscire a breve un aggiornamento di sicurezza che correggerà la falla, ma nel frattempo Microsoft consiglia a tutti non solo di aggiornare il proprio antivirus ma di disabilitare l’installazione di tutti i controlli ActiveX in Internet Explorer (nel modo spiegato nell’advisory) per contenere i danni di un eventuale attacco. Un altro consiglio è non usare un account Windows che abbia privilegi di amministratore, non disattivare la Visualizzazione protetta per nessun motivo e non aprire documenti Office inattesi, ricevuti via mail o scaricati da siti Internet non fidati.

Tutte cose ovvie, in linea di principio, ma purtroppo molti utenti non rispettano questi principi e poi finiscono per essere scottati. 

Fonti aggiuntive: The Hacker News, Cybersecurity360.it, Sophos, Tripwire.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Usate Microsoft Office? Aggiornatelo: ci sono vecchie falle da turare

Cybersecurity360.it segnala che ci sono quattro vulnerabilità di sicurezza in
Microsoft Office che “se sfruttate con successo, potrebbero consentire a
un attaccante di creare documenti Word ed Excel contenenti codici
malevoli con cui attaccare i sistemi non aggiornati.“

Le falle (CVE-2021-31174, CVE-2021-31178, CVE-2021-31179 e CVE-2021-31939)  sono state scoperte a febbraio e rese note ora, in occasione del rilascio dei rispettivi aggiornamenti correttivi. Le prime tre sono state corrette con gli aggiornamenti di maggio 2021, mentre l’ultima è stata corretta con il Patch Tuesday di giugno.

Si sospetta che queste falle siano presenti da anni in Office, perché sono state trovate nel codice legacy per Excel 95, per cui chi usa versioni vecchie di questa suite può essere a rischio. Installate quindi subito gli aggiornamenti di sicurezza di MS Office e installate la versione più recente della suite.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aggiornate immediatamente i vostri dispositivi Apple: sono usciti aggiornamenti d’emergenza

Aggiornate immediatamente i vostri dispositivi Apple: sono usciti aggiornamenti d’emergenza

Se avete un dispositivo Apple di qualunque genere (iPhone, iPad, Mac e Apple
Watch), aggiornatelo subito. Apple ha rilasciato il 13 settembre degli aggiornamenti
d’emergenza per bloccare due vulnerabilità, una delle quali consente di mettere a segno un
attacco invisibile sui suoi dispositivi senza richiedere alcuna azione da parte della vittima.

L’attacco consente di attivare telecamere e microfono, registrare messaggi,
SMS, mail e chiamate vocali (comprese quelle cifrate con app come Signal). 

La versione 14.8 di iOS/iPadOS, la versione 11.6 di macOS, la versione 14.7 di
tvOS e la versione 7.6.2 di watchOS risolvono il problema. 

Apple ha informazioni sulle falle e sugli aggiornamenti correttivi presso questi URL:

La prima vulnerabilità, denominata CVE-2021-30860 e battezzata FORCEDENTRY, è stata
scoperta da Citizen Lab, un noto gruppo canadese di attivisti per la privacy e la sicurezza digitale, riguarda iMessage e viene sfruttata per esempio per iniettare un malware,
denominato Pegasus, che è stato sviluppato dalla società israeliana NSO
Group ed è già stato usato per penetrare negli iPhone di vari attivisti
politici in modo completamente invisibile.

L’attacco, spiega
Citizen Lab, viene lanciato semplicemente mandando un SMS alla vittima. L’SMS contiene
un allegato che ha l’estensione GIF ma è in realtà un PDF malformato. Questo
PDF malformato causa un crash di IMTranscoderAgent sul dispositivo
(dovuto a un integer overflow nella libreria CoreGraphics di rendering
delle immagini), e il crash consente l’esecuzione di codice malevolo sul
dispositivo attaccato. 

La seconda vulnerabilità, denominata CVE-2021-30858, riguarda WebKit, il motore di rendering di Apple, usato da Safari e da quasi tutte le app che visualizzano contenuto HTML, ed è sfruttabile per eseguire codice sul dispositivo della vittima.

Anche se non siete dissidenti o attivisti, il fatto che esistano queste
vulnerabilità è ora di dominio pubblico e quindi è presumibile che verranno
sfruttate anche dalla criminalità informatica comune per attacchi su bersagli
meno sensibili. In altre parole, per colpire anche utenti comuni.

Preparatevi a una certa attesa, perché tutti stanno scaricando gli
aggiornamenti ed è prevedibile che i server di Apple siano leggermente
sovraccarichi.

 

Fonti aggiuntive:
TechCrunch, Sophos,
Ars Technica,
New York Times

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
WhatsApp introduce le foto che si “cancellano” da sole

WhatsApp introduce le foto che si “cancellano” da sole

WhatsApp sta attivando una funzione che a suo dire permette agli utenti di condividere foto e video che si cancellano automaticamente dopo che sono state viste una sola volta. 

Chi le riceve verrà avvisato da un’apposita icona che si tratta di contenuti temporanei, simili ai messaggi temporanei che già esistono da qualche mese in WhatsApp, come in altre app di messaggistica. 

Queste foto e questi video non potranno essere inoltrati usando WhatsApp, non verranno salvati nella galleria di immagini e verranno eliminati automaticamente dopo 14 giorni se non sono stati visti.

Interessante, ma attenzione a non interpretare questa nuova funzione come una giustificazione per pensare di potere condividere disinvoltamente foto intime o personali contando sul fatto che una volta viste spariranno per sempre: come per tutte le foto “autocancellanti”, esistono modi banalissimi (dallo screenshot in su) per rendere quelle immagini assolutamente permanenti.

Ben venga, quindi, l’uso di questa funzione per eliminare automaticamente le foto che scattiamo per usi temporanei, come per esempio quelle fatte per mostrare a qualcuno un prodotto o un vestito visto in un negozio, ma niente di più. La funzione è utile per non occupare spazio inutilmente sul proprio smartphone riempiendolo di foto e video che non servono, ma prima di usare questo servizio di “cancellazione” automatica, chiedetevi che cosa succederebbe se la foto “temporanea” diventasse permanente e circolasse.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Titolo falso del Corriere e di AGI Agenzia Italia: non è vero che ci sono 285mila Tesla da ritirare o richiamare. Verranno aggiornate via Internet e basta [aggiornamento: sono già state aggiornate]

Titolo falso del Corriere e di AGI Agenzia Italia: non è vero che ci sono 285mila Tesla da ritirare o richiamare. Verranno aggiornate via Internet e basta [aggiornamento: sono già state aggiornate]

Ultimo aggiornamento: 2021/06/28 9:20.

Il Corriere della Sera ha pubblicato la notizia (falsa) che
“Tesla ritirerà oltre 285 mila auto dal mercato cinese: potrebbero causare
incidenti”
(copia permanente su Archive.is).

In realtà non c’è nessun ritiro. Le auto verranno semplicemente aggiornate via
Internet, senza neppure andare in officina [2021/06/28: anzi, sono già state aggiornate].

Il verbo “ritirare” usato dal Corriere fa pensare che le auto
debbano essere tolte dal mercato e portate materialmente alla riparazione o
siano irreparabili o invendibili, con conseguenti costi enormi per la casa
automobilistica.

La stessa
notizia falsa
è stata data da AGI Agenzia Italia:
“Tesla ritirerà più di 285mila auto dal mercato cinese”, ha titolato, aggiungendo addirittura che “il pezzo sarà sostituito”.
Il software, per AGI, è un “pezzo”

Reuters, invece, spiega correttamente e concisamente, già nel titolo, come stanno le
cose: Tesla ‘recalls’ vehicles in China for online software update.

La parola recall (richiamo, non ritiro) è fra virgolette, per
segnalare che è un richiamo solo per modo di dire, e Reuters chiarisce subito
che verrà fatto un aggiornamento software online. Nel testo della notizia,
inoltre, precisa che i proprietari non dovranno portare i propri veicoli in
officina: “owners not required to return their vehicles.”

Il Corriere e Agi hanno successivamente modificato i loro titoli (non so se a
seguito delle mie
segnalazioni pubbliche) rispettivamente in
“Tesla richiamerà oltre 285 mila auto dal mercato cinese: potrebbero
causare incidenti”
e in “Tesla “richiamerà” più di 285 mila auto in Cina a causa di problemi software”.

Le due testate hanno corretto anche il testo, aggiungendo finalmente che l’aggiornamento
“potrà essere effettuato da remoto da parte dei tecnici Tesla, senza
bisogno di recarsi in officina” (Corriere) e che “La Casa americana ha assicurato che lo aggiornerà da remoto, e gratis” (Agi).

Ma l’articolo del Corriere continua a contenere altre affermazioni false e ingannevoli.

Il quotidiano scrive infatti tuttora che ci sarebbero
“criticità a livello di software. I sistemi di assistenza alla guida dei
veicoli potrebbe
[sic] infatti causare collisioni e incidenti” e aggiunge che il
richiamo (quello che non c’è) consentirà di controllare il
“sistema di cruise control, che sembrerebbe si possa attivare da solo, con
il rischio di aumentare la velocità di crociera improvvisamente, mettendo a
repentaglio l’incolumità dei passeggeri dell’autovettura per possibili
incidenti.”

Non è vero. Il sistema di cruise control non si “attiva da solo”, così,
a caso, magari a macchina ferma. Ancora una volta, Reuters spiega invece
correttamente come stanno le cose: il sistema di guida assistita può essere
attivato accidentalmente dai conducenti, producendo un’accelerazione
improvvisa (“an assisted driving function in the electric cars, which can currently be
activated by drivers accidentally, causing sudden acceleration”).

In dettaglio, secondo le
informazioni
raccolte e tradotte dagli utenti, se l’auto è in D (drive, ossia la
normale modalità di guida in marcia in avanti) e il conducente aziona di nuovo
la leva del selettore di “marcia” (sulla destra del piantone) per cambiare
modalità, e se il veicolo deve curvare bruscamente il conducente può
accidentalmente toccare e azionare questa leva, attivando inconsapevolmente il
cruise control. Se il cruise control è impostato a una velocità
maggiore di quella attuale, l’auto accelererà per raggiungere la velocità
impostata.

Devono insomma verificarsi vari fattori concatenati in sequenza: non è affatto
un’attivazione casuale. In ogni caso è un problema da risolvere, per maggiore
sicurezza, e verrà risolto con un aggiornamento over the air. Il
Corriere ha travisato completamente la notizia, rischiando di causare
un danno economico e di reputazione a un’azienda. 

 —

2021/06/28 9:20. L’aggiornamento software è già stato realizzato e reso disponibile. Si tratta semplicemente di un avviso acustico che informa il conducente dell’attivazione, volontaria o involontaria, del cruise control.

 

Fonti aggiuntive:
Gizmodo,
CleanTechnica,
Engadget,
Bloomberg,
Tesla (in cinese),
Nikkei Asia.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle
donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere
ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o
altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Arriva Windows 11. Non abbiate fretta di installarlo

Arriva Windows 11. Non abbiate fretta di installarlo

Windows 11 offrirà una nuova interfaccia, funzioni di gioco migliorate e un
app store
che includerà sia applicazioni Windows tradizionali, sia applicazioni Android.
Sì, perché Windows 11 potrà far girare anche le applicazioni Android dello store
di Amazon. Se sentite il bisogno di avere TikTok sul vostro computer, potrete
farlo.

Non correte a cercare di installarlo: Microsoft
prevede di
offrire Windows 11 “a inizio 2022” come scaricamento gratuito e che i
PC con Windows 11 preinstallato siano disponibili
“nel corso dell’anno”, anche se sono già in
circolazione
copie molto, molto preliminari. Attenzione, come al solito, a fidarvi di
fornitori sconosciuti. 

Questo è Windows 11 nella sintesi di due minuti e 42 secondi preparata da Microsoft:

Prima di pensare di installare Windows 11 sul vostro computer attuale, usate
questa app
(Controllo Integrità) per sapere se è compatibile. Poi, se proprio non
resistete all’attesa e volete sperimentare le anteprime che saranno
disponibili tra pochi giorni, potete iscrivervi al programma
Windows Insider. Attenzione: queste anteprime sono appunto sperimentali, vanno
usate con cautela
e non sono consigliate come ambiente di lavoro. Meglio aspettare; tanto
Windows 10 resterà supportato fino al
2025

Però mi raccomando: aspettare non significa continuare a usare Windows
7.

Fonti aggiuntive:
Ars Technica, Punto Informatico.

 

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aggiornate macOS alla versione 11.3, tura una falla molto grave già in uso (e una sessantina di altre meno gravi)

Aggiornate macOS alla versione 11.3, tura una falla molto grave già in uso (e una sessantina di altre meno gravi)

Se avete un Mac, non aspettate ad aggiornarlo: la versione 11.3 di macOS
corregge una
vulnerabilità davvero
grossa, che consente di scavalcare Gatekeeper, ossia il controllo di
sicurezza del sistema operativo che in teoria dovrebbe rendere impossibile
eseguire software proveniente da fonti non attendibili.

In realtà,
spiegano
i ricercatori di sicurezza, era possibile confezionare un malware che non
veniva affatto verificato da Gatekeeper e che poteva infettare il computer
della vittima semplicemente con un doppio clic sull’icona del’app.

Questa tecnica era nota ai criminali almeno da gennaio 2021: veniva usata, per
esempio, per diffondere Shlayer, un falso aggiornamento di Flash Player che
tempestava il Mac di pubblicità (un adware, insomma, mostrato qui
sopra). Gli utenti si fidavano del fatto che Gatekeeper non protestava se si
tentava di eseguire il programma non verificato e quindi lo eseguivano,
scatenando l’infezione.

Esisteva anche un altro
modo
per eludere Gatekeeper: era sufficiente confezionare il programma ostile
all’interno di un file ZIP appositamente confezionato. Anche questo problema è
stato risolto dall’aggiornamento del Mac, insieme a una sessantina di altre vulnerabilità.

Apple ha rilasciato aggiornamenti anche per macOS Catalina e Mojave.

Fonti aggiuntive: JAMF, Ars Technica, Graham Cluley, Cybersecurity360.it.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Nuovi aggiornamenti urgenti per smartphone, tablet e computer Apple

Nuovi aggiornamenti urgenti per smartphone, tablet e computer Apple

Credit: Pinspiry.com.

Pochi giorni fa è uscito un aggiornamento massiccio per vari prodotti Apple, come ho segnalato qui, ma è già ora di installarne un altro.

È infatti disponibile la versione 14.5.1 di iOS e iPadOS, che risolve due falle che forse vengono già utilizzate dai criminali informatici: si tratta dei bug identificati come CVE-2021-30663 e -30665, descritti qui da Apple in italiano, che possono essere sfruttati semplicemente convincendo l’utente a visitare un sito web appositamente confezionato.

L’aggiornamento è disponibile per “iPhone 6s e modelli successivi, iPad Pro (tutti i modelli), iPad Air 2 e
modelli successivi, iPad 5a generazione e modelli successivi,
iPad mini 4 e modelli successivi e iPod touch (7a generazione)”.

Oltre a eliminare questo rischio di attacco, l’aggiornamento corregge
anche delle magagne nel suo sistema App Tracking Transparency che limita
il tracciamento pubblicitario.

C’è un aggiornamento di sicurezza apposito anche per chi è rimasto al vecchio iOS 12, che inoltre risolve una falla separata e porta iOS 12 alla versione 12.5.3.

Anche macOS va aggiornato alla versione 11.3.1 allo scopo di correggere questi stessi bug. Fatelo. I malviventi online contano sul fatto che non lo farete.

Fonte aggiuntiva: Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aggiornamento urgente per iPhone e iPad

Aggiornamento urgente per iPhone e iPad

Ultimo aggiornamento: 2021/04/01 13:45.

Apple ha rilasciato la
versione 14.4.2 di iOS e iPadOS per correggere una falla che viene già
sfruttata concretamente dai criminali informatici: un problema di
universal cross-site scripting. In altre parole, un guaio grosso.

L’azienda ha
rilasciato un
aggiornamento correttivo per la stessa falla anche per iOS 12.5.2, ossia per i
vecchi iPhone 5s, 6 e 6 Plus e sui vecchi iPad. Il problema tocca anche gli
Apple Watch, che vanno portati alla versione 7.3.3 di watchOS.

La falla è stata classificata con il riferimento CVE-2021-1879.

Il cross-site scripting (XSS) è un tipo di vulnerabilità nel quale un
sito può intercettare e manipolare il contenuto di un altro sito se entrambi
sono aperti contemporaneamente sul dispositivo della vittima. Per esempio, se
state visitando un negozio online, avete trovato un prodotto che vi interessa
e nel frattempo state cercando in Google lo stesso prodotto a un prezzo
migliore, può capitare di finire in un sito di truffatori che usa il
cross-site scripting per leggere o prendere il controllo della vostra attività
nel negozio legittimo.

Normalmente un XSS richiede che la pagina legittima abbia dei difetti tecnici;
lo universal XSS, invece, agisce anche senza difetti nella pagina
legittima, per cui può colpire anche siti bancari e altri siti ad elevata
sicurezza. Il difetto, infatti, non sta nei siti, ma nel software del
dispositivo usato. Per questo viene considerato un guaio grosso e viene
corretto in fretta.

Fate quindi gli aggiornamenti appena possibile:
Impostazioni – Generali – Aggiornamento software.

Nel frattempo, tenete presente un
trucchetto
che riduce il problema: visitate un solo sito per volta e riavviate
periodicamente il vostro dispositivo. La persistenza degli attacchi
informatici è infatti molto difficile da ottenere, per cui questo
comportamento è consigliabile sempre e dovrebbe far parte delle buone
abitudini di igiene informatica.

Fonte aggiuntiva:
Ars Technica,
Acunetix.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aggiornate il vostro iPhone. Subito

Aggiornate il vostro iPhone. Subito

Credit:
HWupgrade.it.

È disponibile da pochi giorni iOS 14.4, accompagnato dalla versione per iPad,
ossia iPadOS 14.4. 

Va installato subito, se il vostro iCoso lo
consente, perché oltre alle consuete novità e migliorie (descritte qui da Apple
e
qui da HWupgrade.it), contiene aggiornamenti di sicurezza molto importanti (descritti da Apple qui) che risolvono varie falle (CVE-2021-1782, CVE-2021-1871 e CVE-2021-1870).

Una di queste falle, la 1870, è sfruttabile semplicemente convincendo la
vittima a visitare un sito Web dal proprio iPhone o iPad non aggiornato usando
Safari e permetterebbe di prendere il controllo parziale o totale del
dispositivo.

Il rischio non è teorico, come avviene solitamente con questi aggiornamenti: in questo caso la falla viene già
sfruttata dai malintenzionati, secondo gli
avvisi
degli esperti.

Come consueto, l’aggiornamento si esegue andando in
Impostazioni – Generali – Aggiornamento Software. Fatelo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.