Microsoft ha ammesso che un gruppo di hacker ha avuto accesso alle credenziali di numerosi account Outlook personali. Nonché alle informazioni di posta elettronica; ciò, tra gennaio e marzo.

Microsoft non ha reso noto quanti profili sono stati hackerati. La società di Redmond ha però dichiarato di aver disabilitato immediatamente le credenziali compromesse. E ha dato un consiglio: cambiare la password.

Secondo una fonte vicina all’azienda, afferma Darktrace, la situazione sarebbe invece molto più grave di quanto dichiarato ufficialmente. Gli hacker avrebbero ottenuto l’accesso all’account dell’assistenza clienti di Microsoft, avendo così pieno accesso a molti indirizzi email di Outlook, MSN e Hotmail.

Il Commento di Dave Palmer di Darktrace

Dave Palmer, Director of Technology di Darktrace, a questo proposito ha dichiarato quanto segue.

Dave Palmer, Director of Technology di Darktrace

Il caso di oggi rivela ancora una volta la complessità e l’imprevedibilità delle minacce informatiche. iCloud unlock è stato progettato per migliorare la sicurezza, ma rappresenta anche un tesoro per gli hacker, perché aumenta l’interconnessione e offre un modo per passare facilmente da un account sensibile a un altro.

Con l’aumentare della complessità delle difese digitali, gli hacker scelgono di sfruttare sempre di più le tecniche di social engineering, in questo caso hanno scelto di indirizzare una persona del supporto tecnico di Microsoft in modo da abusare del suo accesso privilegiato. Da quanto abbiamo scoperto, ad alcuni utenti sono stati rubati dei metadati che riguardano il loro account di posta (ad esempio, i nomi di chi contattano) e ad alcuni sono stati letti i messaggi e-mail.

È evidente come i provider di servizi di posta elettronica non potranno dormire sonni tranquilli. I dati raccolti possono poi essere utilizzati per promuovere ulteriori attacchi, ad esempio per inviare e-mail di spear-phishing altamente mirate, quindi chi ha già subito questo tipo di violazioni dovrebbe essere più vigile, in particolare quando scarica file o clicca sui collegamenti.

In questo attacco gli account aziendali sono stati risparmiati ma lo stesso rischio si applica in realtà alle aziende che utilizzano terze parti come provider di posta elettronica. I servizi di posta elettronica sul cloud offrono una miriade di vantaggi, ma sono diventati obiettivi sempre più redditizi dato che sono utilizzati per ospitare le informazioni sensibili di migliaia di aziende.

Per questo è il momento che i leader aziendali adottino tecnologie all’avanguardia per affrontare questa sfida in evoluzione. La cyber IA va oltre l’identificazione delle minacce note perché è in grado di rilevare deviazioni estremamente sottili nell’attività digitale e combattere autonomamente i pericoli emergenti.

Kaspersky Lab ha rilevato una falla in Windows

Come se non bastassero gli hacker, Kaspersky Lab ha rilevato una vulnerabilità precedentemente sconosciuta in Microsoft Windows. Questa vulnerabilità, afferma Kaspersky Lab, è stata sfruttata da un gruppo sconosciuto di cybercriminali. I quali cercavano di ottenere il pieno controllo dei dispositivi che avevano preso di mira. L’attacco mirava al nucleo fondamentale del sistema operativo, il kernel, attraverso una backdoor costruita a partire da un elemento essenziale di Windows OS.

hacker Kaspersky LabLe backdoor, spiega Kaspersky Lab, sono un tipo di malware estremamente pericoloso. Esse consentono agli autori delle minacce di controllare le macchine infette senza farsi notare per portare avanti i loro scopi malevoli. Una “privilege escalation” di questo tipo, messa in atto da una terza parte, è difficile da nascondere alle soluzioni di sicurezza. Nonostante questo, una backdoor che sfrutta un bug precedentemente sconosciuto e presente all’interno del sistema, cioè una vulnerabilità zero-day, ha molte più possibilità di passare inosservata. Le normali soluzioni di sicurezza non possono riconoscere l’infezione del sistema, né possono proteggere gli utenti da una minaccia che deve essere ancora scoperta.

La tecnologia Exploit Prevention di Kaspersky Lab è però riuscita a rilevare il tentato sfruttamento di una vulnerabilità sconosciuta all’interno del sistema operativo Microsoft Windows. Kaspersky Lab ha quindi illustrato lo scenario di attacco scoperto.

Come avviene l’attacco

Dopo il lancio del file .exe malevolo, spiega Kaspersky Lab, veniva avviata l’installazione del malware. L’infezione sfruttava una vulnerabilità zero-day, ottenendo i privilegi necessari per rimanere con successo all’interno della macchina della vittima. Il malware dava quindi il via al lancio di una backdoor, sviluppata con un elemento legittimo di Windows, presente su tutti i computer che si basano su questo sistema operativo. Si tratta di una shell in linea di comando, un linguaggio di scripting e un framework per l’automazione chiamato Windows PowerShell.

Questo ha permesso agli autori della minaccia di muoversi in modo furtivo all’interno del sistema e di evitare il rilevamento. Risparmiando tempo nella scrittura del codice per tool malevoli. Il malware avviava quindi da un popolare servizio legittimo di text storage il download di un’altra backdoor. Che, a sua volta, dava ai criminali il pieno controllo del sistema infetto.

In questo tipo di attacco, abbiamo osservato le due tendenze principali che spesso vediamo quando analizziamo delle Advanced Persistent Threat (APT). Prima di tutto, l’utilizzo degli exploit per avviare una ’privilege escalation’ in locale in modo da ottenere una presenza costante sul computer della vittima. In secondo luogo, l’uso di framework legittimi come Windows PowerShell per attività malevole sul computer della vittima. Questa combinazione di fattori permette agli autori della minaccia di bypassare le soluzioni di sicurezza standard. Per rilevare questo tipo di tecniche, la soluzione di sicurezza deve utilizzare tecnologie di ’Exploit Prevention’ e motori di rilevamento basati sull’analisi comportamentale.” Ha spiegato Anton Ivanov, Security Expert presso Kaspersky Lab.

I prodotti di Kaspersky Lab hanno rilevato questo exploit come:

• HEUR:Exploit.Win32.Generic

• HEUR:Trojan.Win32.Generic

• PDM:Exploit.Win32.Generic

La vulnerabilità, informa Kaspersky Lab, è stata segnalata a Microsoft ed è stata risolta il 10 aprile.

I consigli di Kaspersky Lab

Per impedire l’eventuale installazione di backdoor sfruttando possibili vulnerabilità zero-day all’interno di Windows, Kaspersky Lab consiglia di adottare le seguenti misure di sicurezza.

  • Una volta che la vulnerabilità è stata risolta e che la patch è stata scaricata, gli autori delle minacce perdono l’opportunità di utilizzarla. È importante, quindi, procedere con l’installazione della patch di Microsoft per far fronte alla nuova vulnerabilità il prima possibile.
  • In caso di preoccupazione per lo stato di sicurezza della propria organizzazione, assicurarsi di procedere regolarmente con l’aggiornamento di tutti i software ogni volta che viene rilasciata una nuova patch per la sicurezza. È importante usare soluzioni di sicurezza con funzionalità di gestione delle patch, così da assicurarsi che questi processi vengano eseguiti automaticamente.
  • Utilizzare una soluzione di sicurezza di provata efficacia con capacità di rilevamento behavior-based per la protezione dalle minacce sconosciute, come Kaspersky Endpoint Security.
  • Assicurarsi che il team di sicurezza abbia accesso all’intelligence delle minacce più recente. Report privati riguardo gli ultimi sviluppi dello scenario delle minacce sono disponibili per gli iscritti al Kaspersky Intelligence Reporting.
  • Ultima cosa, ma non meno importante: assicurarsi che il proprio staff sia formato per quanto riguarda le conoscenze di base della “cybersecurity hygiene”.

Maggiori informazioni sul nuovo exploit scoperto da Kaspersky Lab sono disponibili nel report completo presente sul blog Securelist.

Maggiori informazioni su Kaspersky Lab sono disponibili sul sito dell’azienda, a questo link.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome