cybersecurity

Il 13 settembre il risultato di una ricerca di Vectra AI, inizialmente mirata ad analizzare il sistema di eliminazione degli account disabilitati su MS Teams, ha mostrato una vulnerabilità nella gestione dei token di autenticazione delle app di Microsoft Teams per Windows, Mac e Linux. I ricercatori scrivono che le le applicazioni archiviano i token di autenticazione in chiaro, rendendo possibile un attacco da parte di un utente che ha un semplice accesso al medesimo sistema, senza necessariamente dover accedere con i privilegi di amministratore. Se l’attaccante dovesse arrivare a conoscere il token di autenticazione di Teams potrebbe effettuare tutte le operazioni dell’utente su Teams e aggirare il sistema di autenticazione a due fattori in alcune circostanze.
Sembra che il problema abbia origine nella logica di funzionamento di Electron, un framework di sviluppo utilizzato per le applicazioni di MS Teams e molte altre.
Il consiglio dei ricercatori è valutare l’utilizzo dell’ applicazione web di MS Teams (via browser) finché Microsoft non rilascerà un aggiornamento.

(fonte: vectra.ai)

Il SANS institute ha pubblicato la ricerca 2022 nella quale si esaminano i metodi utilizzati dai professionisti della sicurezza IT per rilevare le minacce informatiche nel modo più efficace.
Tra le altre cose, ai partecipanti e stata chiesta un’autovalutazione del grado di maturità dei sistemi di rilevazione delle minacce e una motivazione sintetica della valutazione. In molti casi le aziende si reputano non ancora completamente mature, in particolare per quanto riguarda la sensibilizzazione e la formazione del personale.
In relazione agli strumenti utilizzati, c’è una crescita dei sistemi di vulnerability management che riflette la consapevolezza del fatto che gli attaccanti possano sfruttare vulnerabilità note per introdursi nei sistemi.

I dati mostrano una collegamento tra le organizzazioni che si considerano non ancora adeguate quanto a metodi per la rilevazione e quelle insoddisfatte dei sistemi adottati. La cosa non sorprende, poiché in molti casi la scelta degli strumenti e delle tecnologie di difesa viene fatta prima di definire i processi e le metodologie relative.

In sintesi, quanto emerge sui temi principali è:

• il 51% dei partecipanti ritiene non ancora adeguati i propri sistemi di rilevazione delle minacce
• il 68% delle organizzazioni manca di adeguata formazione del personale
• il 62% utilizza strumenti di ricerca sviluppati internamente
• il 48% vorrebbero migliorare l’efficacia dei propri metodi in relazione all’uso di strumenti in cloud
• il 25% delle organizzazioni esternalizza le attività di analisi delle minacce
• il 68% delle organizzazioni che misurano le capacità di ricerca delle minacce ritengono di avere migliorato la propria “posizione” in termini di sicurezza tra il 25% e il 75%
• quasi la metà delle organizzazioni che adottano un sistema di ricerca delle minacce hanno notato un aumento dell’accuratezza nei risultati con una diminuzione dei falsi positivi

NB: Le aziende rappresentate per circa il 37% hanno meno di 1.000 dipendenti (considerate “small” in nordamerica), nel 18% dei casi hanno tra 1.000 e 5.000 dipendenti, nel 26% tra 5.000 e 50.000 e nei restanti casi più di 50.000.
Nel 31% dei casi si tratta di imprese del settore finanziario / bancario, nel 26% di imprese del settore IT o di fornitori di servizi di cybersicurezza.

GLI OSTACOLI ALLA DEFINIZIONE DI UNA STRATEGIA EFFICACE
Diversi partecipanti non ritengono di avere strategie di rilevazione delle minacce pienamente efficaci. I motivi sono:

• Mancanza di competenze all’interno dello staff (68%)
• Processi non ben definiti (48%)
• Problemi di budget (48%)
• Limiti degli strumenti disponibili (47%)
• Qualità o quantità dei dati disponibili (31%)
• Mancanza di informazioni sulle minacce (20%)
• Mancanza di dati standardizzati (19%)
• Mancanza di sostegno da parte del management (15%)

GLI STRUMENTI UTILIZZATI E IL LIVELLO DI SODDISFAZIONE
Quali sono i tools più utilizzati dai partecipanti?

• Sistemi di alert o prevenzione automatizzati quali IDS/IPS, SIEM, Endpoint detection and response (83%)
• Piattaforme di terze parti che sviluppano sistemi di ricerca delle minacce (66%)
• Strumenti personalizzabili sviluppati internamente (script, PowerShell, WMI, ecc…) (62%)
• Piattaforme specializzate acquistate da terze parti (53%)
• Sistemi di AI o machine learning per il miglioramento delle capacità di rilevazione delle minacce (50%)
• Sistemi di rilevazione open source (SIFT, SOF-ELK, Rekall, Plaso, ecc) (40%)

Qual è il livello di soddisfazione nell’utilizzo degli stumenti scelti?

(fonte: SANS Institute, Threat Hunting Survey)

Un imponente attacco di tipo “supply chain” ha compromesso 93 temi e plugin per WordPress inserendo una backdoor che può dare il controllo completo dei siti ad un attaccante. In totale sono stati compromessi 40 temi e 53 plugin di AccessPress, un fornitore di prodotti per WordPress utilizzati in oltre 360.000 installazioni attive.

L’attacco è stato scoperto dai ricercatori di Jetpack, azienda che sviluppa un tool di ottimizzazione per la piattaforma WordPress, i quali si sono accorti che una backdoor php è stata aggiunta ai temi e ai plugin in questione I ricercatori ritengono che i criminali abbiano attaccato AccessPress per poi infettare altri siti.

Una backdoor per prendere il controllo completo

L’obiettivo dell’attacco è l’installazione di una webshell che l’attaccante potrà utilizzare per prendere il controllo completo del sito. Installando uno dei prodotti compromessi, l’attaccante aggiunge un nuovo file “initial.php” nella diretcory principale del tema in uso e lo include nel file “functions.php”. Questo nuovo file contiene un payload in codifica base64 che scrive la webshell nel file “./wp-includes/vars.php”. Il malware completa l’opera decodificando i dati e inserendoli nel file “vars.php”, fornendo così all’attaccante il controllo remoto sul sito “infetto”.

Secondo Jetpack l’unico modo per identificare questa minaccia è l’utilizzo di una soluzione di “File Integrity Monitoring”, ovvero un processo o una tecnologia in grado di verificare se alcuni file “core” del sistema (in questo caso l’installazione WordPress) sono stati manomessi dopo l’installazione, poiché il malware cancella il file “initial.php” con cui parte l’attacco.

I ricercatori di Sucuri (società che fornisce sistemi di sicurezza per siti) hanno analizzato il malware e ritengono che l’obiettivo dell’attacco sia reindirizzare i visitatori verso siti truffa o siti distribuiscono malware. Sotto questo profilo l’attacco non sembra molto sofisticato, tuttavia è anche possibile che gli attaccanti vendano le backdoor di accesso ai siti compromessi nel dark web, cosa che potrebbe portare a vantaggi economici più concreti e immediati.

Cosa fare?

Nel caso in cui sia stato installato un tema / plugin compromesso, la semplice rimozione del tema o del plugin non riesce a eliminare il problema e l’amministratore del sito dovrebbe fare valutazioni tecniche più approfondite per trovare segni dell’attacco come, ad esempio:

• controllare il file “vars.php” nella directory “wp-includes” attorno alle righe 146-148. Se si visualizza una funzione “wp_is_mobile_fix” con del codice nascosto (obfuscated code), il sito è compromesso
• cercare nel file system del sito “wp_is_mobile_fix” oppure “wp-theme-connect” per identificare un eventuale file infetto
• sostituire i file principali del sito WordPress con delle nuove copie
• aggiornare il plugin infetto e cambiare tema
• cambiare le password della dashboard WP e del database

Jetpack ha pubblicato una regola YARA per controllare se il sito è stato attaccato e per identificare sia il codice malevolo iniziale che la nuova webshell.

Attacco rilevato in settembre

Jetpack ha identificato l’attacco nel settembre 2021 e, poco dopo, ha verificato come i plugin gratuiti di AccessPress fossero stati tutti compromessi. Non sono stati analizzati i plugin a pagamento. La maggior parte dei prodotti sembra essere stata attaccata nei primi giorni di settembre. Ad ottobre il produttore ha rimosso le estensioni dal portale ufficiale e, il 17 gennaio 2022, ha pubblicato le nuove versioni “pulite” dei plugin.

Per quanto riguarda i temi, al momento non sono disponibili le versioni “pulite”, quindi l’unica soluzione è utilizzare un tema diverso.

Nel post di Jetpack del 18 gennaio si trova l’elenco dei temi a rischio di attacco.

(fonte: https://www.bleepingcomputer.com/news/security/over-90-wordpress-themes-plugins-backdoored-in-supply-chain-attack/)