With an unusual move, Microsoft released on May critical patches for Windows Server 2003 and Windows XP. Such operating systems are long been discontinued and they don’t usually receive patches and updates besides eventual special agreements that could have been signed by customers. However, even in the past when WannaCry ransomware had been spreading in the wild and it was compromising several thousands of machines Microsoft released special patches for such old software. This time the new patches address vulnerabilities that would allow remote execution code and thus they have been deemed as critical. The flaws affect Remote Desktop Protocol (RDP) and could be mitigated by enabling NLA, a configuration that would require an user to authenticate before being able to connect to the machine. That would probably render the vulnerability uneffective. Enabling NLA for RDP connections has been long considered a must-have configuration and it is believed that most machines nowadays use such configuration.

In the meantime, Windows Server 2003 and Windows XP machines can install the new patch and users can visit this URL to get more information.

Stanno emergendo maggiori dettagli sulle vulnerabilità dei firewall di Juniper dei quali abbiamo parlato su The Server-Side Technology qualche mese fa. Sebbene non vi siano dichiarazioni ufficiali, le speculazioni che le vulnerabilità siano opera della famigerata NSA sono ovviamente abbastanza automatiche e sebbene Juniper esclusa qualsiasi responsabilità diretta, permangono dubbi molto forti come le backdoor possano essere state inserite nel codice di ScreenOS senza alcuna complicità da parte dell’azienda. Il problema, infatti, è legato anche a soprattutto a questa circostanza: non si tratta solo di vulnerabilità del codice, una cosa che capita a tutti i sistemi, ma modifiche specificamente introdotte nel codice di ScreenOS, il sistema operativo che viene usato dai firewall NetScreen di Juniper, per rendere possibile la violazione.

La prima vulnerabilità, a cui è stato assegnato codice CVE-2015-7755, consente ad un utente di ottenere l’accesso amministrativo usando una sessione SSH o TELNET ed inserendo una qualsiasi username insieme con una password specifica che è codificata all’interno del sistema operativo del firewall. E’ questa la vulnerabilità, che in sostanza è una backdoor, che più fa insospettire gli esperti perché significa avere avuto accesso alla linea di produzione del codice ed avere inserito questo caso specifico, qualcosa di molto difficile senza la collaborazione dell’azienda sebbene anche la modifica non autorizzata sia possibile. Questa vulnerabilità colpisce le revisioni 6.3.0r17, 6.3.0r18, 6.3.0r19 e 6.3.0r20 di ScreenOS e Juniper raccomanda a tutti i clienti di installare la patch che è stata rilasciata per correggere il problema. Sono state anche rilasciate indicazioni su come rilevare questi accessi non autorizzati attraverso i log e Fox-IT ha creato una serie di regole per Snort che possono rilevare gli accessi non autorizzati. Oltre a questo e stante la promessa di Juniper di effettuare una rigorosa investigazione per capire come sia stato possibile non rilevare il problema, non sono state fornite altre indicazioni dall’azienda.

Un algoritmo di crittografia è invece alla base della seconda vulnerabilità, CVE-2016-7756, che consente l’intercettazione del traffico anche quando criptato. Il problema risiede in Dual Elliptic Curve Deterministic Random Bit Generator (Dual_EC_DRBG) un algoritmo non più ritenuto sicuro e che anzi si sospetta essere stato elaborato in collaborazione con la NSA in modo che quest’ultima potesse usare la sua vulnerabilità per operazioni di sorveglianza. L’algoritmo è responsabile della generazione di numeri casuali usati poi nella crittografia dei dati ed il problema risiede nella possibilità, in determinate circostanze, di prevedere tali numeri che non sarebbero quindi più casuali. Con questa informazioni a disposizione, un utente può procedere alla decodifica dei dati in teoria cifrati. Il NIST ha già raccomandato sin da Luglio 2015 ai produttori di software di non usare più Dual_EC_DRBG nei loro prodotti ma ScreenOS ancora oggi continua ad usarlo per le comunicazioni sicure con i client.

Juniper ha già annunciato di non avere corretto il problema perché ScreenOS usa l’algoritmo in un modo differente e non sarebbe quindi soggetto alla vulnerabilità. Una analisi dettagliata condotta da Ralf-Phillip Weinmann ed altri ha tuttavia rilevato come, sebbene Juniper non usi l’algoritmo in modo standard, un bug nell’implementazione proprietaria consente comunque l’uso [...]

I dispositivi mobili e le reti di telecomunicazioni potrebbero essere a rischio di attacchi devastanti a causa di un difetto appena scoperto in un compilatore ASN.1. La vulnerabilità, scoperta in una libreria usata per programmare con lo standard di telefonia Abstract Syntax Notation One o ASN.1, è parte di un compilatore usato da moltissime aziende di telefonia. Il ricercatore Ivan Arce, che ha scoperto il difetto, ha spiegato che la vulnerabilità può consentire attacchi basati sulla memory corruption dell’heap, cosa che consentirebbe a sconosciuti di controllare le comunicazioni ed eseguire anche codice da remoto (remote code execution).

“La vulnerabilità può essere attivata senza alcuna autenticazione ed in scenari in cui il codice riceve ed analizza dati codificati con ASN.1 da sorgenti non sicure.” ha scritto Arce nel suo rapporto. Questo può includere comunicazioni tra dispositivi mobili e l’infrastruttura di telecomunicazioni, comunicazioni tra nodi dell’infrastruttura dello stesso operatore o di operatori differenti e anche comunicazioni tra endpoint non autenticati su una rete dati.

Objective Systems, che vende il compilatore ASN.1 ASN1C, ha rilasciato una patch per la vulnerabilità alla quale il CERT ha assegnato un punteggio 9.3 (CVSS). Il CERT stesso inoltre elenca tutte le aziende che possono essere interessate dal problema perchè usano quel compilatore. Aziende come Check Point, Hewlett Packard Enterprise, Honeywell, Huawei Technologies, Qualcomm e Siemens non sono interessate dal problema ma altre 30 aziende potrebbero ancora essere vulnerabili.

HTTP/2 è il nuovo standard per le comunicazioni Web che sostituirà presto il vetusto HTTP 1.1, introducendo consistenti miglioramenti che dovrebbero portare ad una maggiore velocità e sicurezza per quello che riguarda il Web. Al Black Hat 2016 a Las Vegas, la conferenza dove annualmente si discutono i problemi di sicurezza, i ricercatori hanno esposto però quelli che sembrano difetti potenziali del nuovo protocollo. Tom Van Goethem e Mathy Vanhoef hanno descritto una vulnerabilità che chiamano HEIST (HTTP Encrypted Information can be Stolen through TCP-windows… assegnare i nomi è sempre complicato!), un attacco che consente di determinare la dimensione esatta delle risposte TCP e rende più semplici vecchie modalità di attacco perchè i protocolli SSL/TLS non fanno nulla per oscurare la lunghezza dei pacchetti.

“Concretamente, questo significa che attacchi basati sulla compressone come il CRIME o il BREACH possono essere eseguiti direttamente nel browser, da qualsiasi sito Web o script malevolo e senza che sia necessaria una posizione man-in-the-middle. Inoltre, noi dimostriamo anche come i nostri attacchi basati sulla dimensione [dei pacchetti] possano essere usati per ottenere informazioni sensibili da vittime ignare, conducendo abusi di servizi su siti Web popolari”, hanno dichiarato.

I ricercatori sono stati inoltre in grado di aumentare gli effetti dannosi degli attacchi utilizzando in modo malevolo funzionalità del nuovo protocollo HTTP/2, in particolare la sua capacità di usare una connessione TCP unica per lanciare richieste in parallelo. Mitigare questi attacchi sarebbe molto difficile ed una, se non l’unica, delle poche misure possibili è quella di disabilitare i cookie di terze parti.

Contemporaneamente, Imperva ha presentato un report che descrive vettori di attacco nel protocollo HTTP/2 che aprono vulnerabilità in cinque popolari implementazioni server del protocollo stesso, incluso IIS di Microsoft, Apache, Nginx, Jetty e nghttpd.

“Nello studio abbiamo rilevato vulnerabilità in quasi tutte le componenti del nuovo protocollo HTTP/2”, affermano. “I quattro diversi vettori d’attacco che abbiamo scoperto sono Slow Read, HPACK (compressione), Dependency DoS e Stream abuse. Nei cinque server che abbiamo messo alla prova, tutti erano vulnerabili almeno ad uno dei vettori d’attacco, con Slow Read che era decisamente quello prevalente”.

Sebbene siano stati verificate solo cinque implementazioni, Imperva ha concluso che probabilmente le vulnerabilità esistono anche in altri server HTTP/2. L’azienda ha comunque lavorato con i produttori dei server per assicurarsi che le vulnerabilità fossero state corrette prima della pubblicazione del report.

Ricercatori internazionali hanno scoperto un RAT (remote access Trojan) basato su Android che colpisce specifici telefoni rooted in Cina e Giappone. Il sistema di spionaggio avrebbe la possibilità di effettuare screenshot, ascoltare le telefonate ed inviare i dati alla centrale di controllo che è basata in Italia. Lo sostengono i ricercatori di Bitdefender, azienda specializzata in sicurezza. Tra l’altro, si stima che quasi l’80% degli utenti di smartphone cinesi sia a rischio data la prevalenza di telefoni rooted,  cioè telefoni sbloccati per l’uso di funzionalità e applicazioni aggiuntive.

Tuttavia i ricercatori affermano che il trojan non sia usato come strumento di spionaggio di massa ma che sia usato per colpire specifici telefoni attraverso il numero identificativo international mobile equipment identity (IMEI), che è unico per ogni dispositivo, come confermerebbero i test effettuati nella prima metà del 2016.

Inoltre, sebbene il software-spia funzioni solo su telefoni rooted,  analisi compiute da Bitdefender in precedenza sembrano dimostrare che alcune applicazioni-spia su Android abbiano la capacità di sbloccare lo smartphone, a prescindere dalla versione del sistema operativo. In altre circostanza, infatti, applicazioni malware sono riuscite ad usare ben 18 moduli di rooting per cercare di guadagnare il controllo del dispositivo. In questi casi, però, lo scopo era quello di installare applicazioni sui telefoni delle vittime, non quello di installare programmi di sorveglianza.

L’uso dei codici IMEI per colpire obiettivi specifici fa pensare ad un attacco più ampio che non è stato ancora scoperto nella sua interezza. Questo perchè di solito la selezione di specifici obiettivi di solito è associata con operazioni APT (advanced persistent threat).

Bitdefender afferma che il malware è distribuito con due nomi di pacchetti, “it.cyprus.client” e “it.assistenzaumts.update” che hanno la stessa funzionalità e non hanno alcun impatto sul dispositivo della vittima.