Microsoft ha risolto una vulnerabilità nel suo sistema di autenticazione a due fattori che consentiva agli aggressori di aggirare la sicurezza e ottenere l’accesso agli account delle vittime a loro insaputa. Il problema, chiamato AuthQuake, è stato identificato dagli specialisti di Oasis Security e risolto nell’ottobre 2024.

oasis.security/resources/blog/…Il bypass è durato circa un’ora, non ha richiesto alcuna azione da parte dell’utente e non ha generato alcuna notifica di sistema, hanno riferito i ricercatori. La vulnerabilità era dovuta alla mancanza di un limite al numero di tentativi di immissione di un codice monouso e di una finestra temporale estesa per la sua verifica.

Microsoft utilizza codici a sei cifre generati dall’autenticatore validi per 30 secondi. Tuttavia, il codice è rimasto attivo fino a tre minuti grazie alla funzione di sincronizzazione dell’ora, che ha dato agli aggressori la possibilità di eseguire più tentativi di forza bruta.

Il principale meccanismo di attacco consisteva nel provare tutte le possibili combinazioni di codici (fino a un milione di opzioni) in un breve periodo di tempo. Tuttavia, la vittima non ha ricevuto alcuna notifica relativa ai tentativi di accesso non riusciti.

Microsoft ha implementato limiti più severi al numero di tentativi di input per prevenire questo tipo di attacchi. Ora, dopo diversi tentativi falliti, l’attivazione del blocco può richiedere fino a mezza giornata. Gli esperti di Oasis osservano che non solo le restrizioni, ma anche le notifiche di attività sospette rimangono misure importanti.

AuthQuake ha ricordato che anche i sistemi di sicurezza più potenti richiedono test e ottimizzazioni regolari per contrastare le minacce moderne.

L'articolo AuthQuake! Un milione di tentativi in 3 minuti per Rompere la MFA di Microsoft proviene da il blog della sicurezza informatica.

Gli attacchi di NTLM Relay non sono certo una novità nel panorama delle minacce informatiche. Questo metodo di compromissione dell’identità rappresenta da tempo uno dei principali vettori di attacco, sfruttando endpoint vulnerabili per eseguire azioni a nome della vittima. Con il recente lancio di Windows Server 2025, Microsoft ha deciso di affrontare la questione in modo deciso, introducendo mitigazioni automatiche per contrastare questi attacchi in Exchange Server, Active Directory Certificate Services (AD CS) e Lightweight Directory Access Protocol (LDAP).

Questo aggiornamento, annunciato ufficialmente tramite un post sul blog Microsoft, rappresenta un passo fondamentale per rafforzare le difese contro uno dei metodi di compromissione più persistenti dell’ecosistema IT moderno.

Cos’è un NTLM Relay Attack?

L’NTLM Relay Attack è un metodo utilizzato dai Threat Actors per compromettere credenziali e accedere a risorse aziendali. Gli attacchi NTLM Relay in genere prevedono due fasi:

1. Indurre una vittima ad autenticarsi verso un endpoint controllato dall’attaccante.
2. Reinoltrare le credenziali della vittima verso un endpoint vulnerabile.

Il risultato? L’attaccante ottiene l’accesso e agisce come la vittima, potenzialmente compromettendo interi domini. Gli attacchi relay possono avere conseguenze devastanti per la sicurezza aziendale se non vengono adottate contromisure robuste, come la protezione estesa per l’autenticazione (EPA).

Un esempio concreto: immaginate un attaccante che riesce a sfruttare un server LDAP mal configurato, usando le credenziali di un amministratore per accedere a risorse critiche. Con poche mosse, l’intero dominio potrebbe essere compromesso, mettendo a rischio dati sensibili e la continuità operativa dell’azienda.

La risposta di Microsoft: Approccio Secure by Default

Il colosso di Redmond, consapevole della natura persistente di questi attacchi, ha introdotto una serie di misure per contrastare il fenomeno con il lancio di Windows Server 2025. Le nuove funzionalità includono l’abilitazione automatica di protezioni avanzate come Extended Protection for Authentication (EPA) e Channel Binding, che mirano a rafforzare la sicurezza contro gli attacchi NTLM Relay. L’EPA rappresenta un metodo avanzato per proteggere l’autenticazione, limitando la possibilità di attacchi Relay attraverso misure più robuste. Il Channel Binding, invece, associa l’autenticazione a un canale specifico, riducendo il rischio di trasmissione non sicura delle credenziali.

Con Windows Server 2025, Microsoft ha adottato un approccio definito “Secure by Default”, che consente l’abilitazione automatica di queste protezioni senza che sia necessario alcun intervento manuale da parte degli amministratori. Questa scelta elimina uno dei principali fattori di rischio: la configurazione manuale, che in passato aveva lasciato numerose infrastrutture esposte ad attacchi. Le impostazioni di sicurezza, ora predefinite, aumentano significativamente la protezione senza richiedere configurazioni complesse o interventi aggiuntivi.

Oltre alle misure specifiche contro NTLM Relay, Microsoft sta anche accelerando la progressiva eliminazione di NTLM a favore di Kerberos, un protocollo più moderno e sicuro. Nel frattempo, l’azienda ha avviato la rimozione del supporto per NTLMv1 e sta pianificando di depredare gradualmente NTLMv2. L’obiettivo è spostarsi verso standard più moderni per una protezione più efficace e duratura delle infrastrutture aziendali.

Cosa significa per le Aziende?

L’introduzione automatica di protezioni rappresenta un cambiamento significativo, ma comporta anche nuove sfide per gli amministratori IT.

Principali azioni da intraprendere:

1. Audit delle infrastrutture:
   Prima di aggiornare, è fondamentale verificare la configurazione dei server e dei sistemi IT per individuare endpoint vulnerabili o impostazioni errate.
2. Test di compatibilità:
   Non tutte le applicazioni potrebbero essere compatibili con le nuove misure di protezione (EPA e Kerberos). È importante eseguire test per verificare la compatibilità prima della loro implementazione.
3. Aggiornamento della documentazione interna:
   Con l’introduzione di questi aggiornamenti automatici, è necessario aggiornare le procedure e la documentazione aziendale per riflettere le nuove impostazioni.
4. Prepararsi per la disattivazione graduale di NTLM:
   La disattivazione di NTLM potrebbe causare problemi in ambienti legacy. È essenziale pianificare l’adozione graduale dei nuovi protocolli di autenticazione.

Conclusione

Le nuove misure di protezione introdotte da Microsoft con Windows Server 2025 rappresentano una rivoluzione nell’approccio alla protezione degli ambienti IT. Eliminando la complessità delle configurazioni manuali e adottando l’approccio “Secure by Default”, Microsoft punta a rafforzare la protezione contro gli attacchi NTLM Relay.

Gli amministratori IT non devono sottovalutare l’opportunità di sfruttare queste funzionalità, aggiornando le loro infrastrutture e avviando un’analisi dettagliata per garantire la compatibilità. Affrontando questa sfida, sarà possibile ridurre in modo significativo il rischio di esposizione ad una delle minacce più persistenti del panorama IT moderno.

L'articolo Microsoft rafforza la sicurezza contro gli attacchi NTLM Relay: La rivoluzione della configurazione di Default proviene da il blog della sicurezza informatica.

During the first week of October, Kaspersky took part in the 34th Virus Bulletin International Conference, one of the longest-running cybersecurity events. There, our researchers delivered multiple presentations, and one of our talks focused on newly observed activities by the Careto threat actor, which is also known as “The Mask”. You can watch the recording of this presentation here:

youtube.com/embed/d3DSPtOZEck?…

The Mask APT is a legendary threat actor that has been performing highly sophisticated attacks since at least 2007. Their targets are usually high-profile organizations, such as governments, diplomatic entities and research institutions. To infect them, The Mask uses complex implants, often delivered through zero-day exploits. The last time we published our findings about The Mask was in early 2014, and since then, we have been unable to discover any further traces of this actor.

The Mask’s new unusual attacks

However, our newest research into two notable targeted attack clusters made it possible to identify several recent cyberattacks that have been, with medium to high confidence, conducted by The Mask. Specifically, we observed one of these attacks targeting an organization in Latin America in 2022. While we do not have any traces allowing us to tell how this organization became compromised, we have established that over the course of the infection, attackers gained access to its MDaemon email server. They further leveraged this server to maintain persistence inside the compromised organization with the help of a unique method involving an MDaemon webmail component called WorldClient.

Authentication panel of the WorldClient component

Implanting the MDaemon server

The persistence method used by the threat actor was based on WorldClient allowing loading of extensions that handle custom HTTP requests from clients to the email server. These extensions can be configured through the C:\MDaemon\WorldClient\WorldClient.ini file, which has the format demonstrated in the screenshot below:

Sample of the WorldClient.ini file containing plugin entries

As can be observed from the screenshot above, the information about each extension includes a relative URL controlled by the extension (specified in the CgiBase parameter), as well as the path to the extension DLL (in the parameter CgiFile).

To use WorldClient’s extension feature for obtaining persistence, the threat actor compiled their own extension and configured it by adding malicious entries for the CgiBase6 and CgiFile6 parameters, underlined in red in the screenshot. As such, the actor was able to interact with the malicious extension by making HTTP requests to the URL https://<webmail server domain name>/WorldClient/mailbox.

Spreading the FakeHMP implant inside the network

The malicious extension installed by attackers implemented a set of commands associated with reconnaissance, performing file system interactions and executing additional payloads. We observed attackers using these commands to gather information about the infected organization and then spread to other computers inside its network. While investigating the infection that occurred in Latin America in 2022, we established that the attackers used the following files to conduct lateral movement:

• sys, a legitimate driver of the HitmanPro Alert software
• dll, a malicious DLL with the payload to be delivered
• ~dfae01202c5f0dba42.cmd, a malicious .bat file
• Tpm-HASCertRetr.xml, a malicious XML file containing a scheduled task description

To spread to other machines, attackers uploaded these four files and then created scheduled tasks with the help of the Tpm-HASCertRetr.xml description file. When started, these scheduled tasks executed commands specified in the ~dfae01202c5f0dba42.cmd file, which in turn installed the hmpalert.sys driver and configured it to load on startup.

One of the functions of the hmpalert.sys driver is to load HitmanPro’s DLL, placed at C:\Windows\System32\hmpalert.dll, into running processes. However, as this driver does not verify the legitimacy of the DLLs it loads, attackers were able to place their payload DLLs at this path and thus inject them into various privileged processes, such as winlogon.exe and dwm.exe, on system startup.

What was also notable is that we observed attackers using the hmpalert.sys driver to infect a machine of an unidentified individual or organization in early 2024. However, unlike in 2022, the adversary did not use scheduled tasks to do that. Instead, they leveraged a technique involving Google Updater, described here.

The payload contained in the malicious hmpalert.dll library turned out to be a previously unknown implant that we dubbed FakeHMP. Its capabilities included retrieving files from the filesystem, logging keystrokes, taking screenshots and deploying further payloads to infected machines. Apart from this implant, we also observed attackers deploying a microphone recorder and a file stealer to compromised computers.

Same organization, hacked by the Mask in 2019

Having examined available information about the organization compromised in 2022, we found that it was also compromised with an advanced attack in 2019. That earlier attack involved the use of two malicious frameworks which we dubbed “Careto2” and “Goreto”. As for Careto2, we observed the threat actor deploying the following three files to install it:

• Framework loader (placed at %appdata%\Media Center Programs\cversions.2.db);
• Framework installer (named ~dfae01202c5f0dba42.cmd);
• Auxiliary registry file (placed at %temp%\values.reg).

We further found that, just like in the 2022 infection case, attackers used a scheduled task to launch a .cmd file, which in turn configured the framework to persist on the compromised device. The persistence method observed was COM hijacking via the {603d3801-bd81-11d0-a3a5-00c04fd706ec} CLSID.

Regarding the framework itself, it was designed to read plugins stored in its virtual file system, located in the file %appdata%\Media Center Programs\C_12058.NLS. The name of each plugin in this filesystem turned out to be a four-byte value, such as “38568efd”. We have been able to ascertain that these four-byte values were DJB2 hashes of DLL names. This made it possible to brute-force these plugin names, some of which are provided in the table below:

Regarding the other framework, Goreto, it is a toolset coded in Golang that periodically connects to a Google Drive storage to retrieve commands. The list of supported commands is as follows:

Apart from the command execution engine, Goreto implements a keylogger and a screenshot taker.

Attribution

As mentioned above, we attribute the previously described attacks to The Mask with medium to high confidence. One of the first attribution clues that caught our attention was several file names used by the malware since 2019, alarmingly similar to the ones used by The Mask more than 10 years ago:

The brute-forced DLL names of Careto2 plugins also turned out to resemble the names of plugins used by The Mask in 2007–2013:

Finally, the campaigns conducted in 2007–2013 and 2019 have multiple overlaps in terms of TTPs, for instance the use of virtual file systems for storing plugins and leveraging of COM hijacking for persistence.

Regarding the attacks observed in 2022 and 2024, we have also attributed these to The Mask, mainly for the following reasons:

• The organization in Latin America, infected in 2022, was the one compromised by Careto2 in 2019, and by historical The Mask implants in 2007-2013
• In both 2019 and 2022 cases, the same unique file name was used to deploy implants to infected machines: ~dfae01202c5f0dba42.cmd;
• The attacks from 2019 and 2022–2024 overlap in terms of TTPs, as the malware deployed in these attacks uses cloud storages for exfiltration and propagates across system processes.

Conclusion

Ten years after we last saw Careto cyberattacks, this actor is still as powerful as before. That is because Careto is capable of inventing extraordinary infection techniques, such as persistence through the MDaemon email server or implant loading though the HitmanPro Alert driver, as well as developing complex multi-component malware. While we cannot estimate how long it will take for the community to discover the next attacks by this actor, we are confident that their next campaign will be as sophisticated as the previous ones.

If you want more technical information about Careto, please feel free to also read the research paperon this actor, published in Proceedings of the 34th Virus Bulletin International Conference.

securelist.com/careto-is-back/…

[Happy Little Diodes] built a Pi Pico logic analyzer designed by [El Dr. Gusman] using the original design. But he recently had a chance to test the newest version of the design, which is a big upgrade. You can see his take on the new design in the video below.

The original design could sample 24 channels at 100 MHz and required two different PCBs. The new version uses a single board and can operate up to 400 MHz. There’s also a provision for chaining multiple boards together to get more channels.

You can set the level shifters to use 5V, 3.3V, or an external voltage. Since [Happy] is working on a ZX Spectrum, the 5V conversion is a necessity.

One thing that a cheap logic analyzer lets you do is dedicate it to a particular purpose. In fact, by the end of the video, we see a dedicated connector to make it easier to attach the board to a ZX Spectrum.

The code is on GitHub, although it warns you there that you that version 6 — the one seen in the video — isn’t stable, so you might have to wait to make one on your own. The software looks impressive and there may be some effort to integrate with Sigrok.

If you missed our coverage of the earlier version, you can still catch up. Dead set on Sigrok support? [Pico-Coder] can help you out.

youtube.com/embed/VjSF2LWJVVU?…

hackaday.com/2024/12/12/pico-l…

Il gruppo di attivisti filorussi NoName057(16) sta conducendo una serie di attacchi DDoS mirati contro numerose istituzioni e aziende italiane, con l’intento di destabilizzare e paralizzare l’infrastruttura digitale del Paese. Questi attacchi, che fanno parte di una campagna più ampia di cyberattacchi contro i Paesi che sostengono l’Ucraina, mirano a danneggiare la reputazione e le capacità operative delle entità coinvolte, sfruttando tecniche sofisticate per compromettere la sicurezza e l’affidabilità delle reti italiane.

Motivazione

Secondo quanto riferito dal gruppo di hacker sul suo canale Telegram, NoName057(16) ha dichiarato l’intenzione di “celebrare” la nomina di Giorgia Meloni, indicata da Politico come il politico più influente d’Europa, con una serie di attacchi DDoS mirati contro l’infrastruttura internet italiana, accusandola di essere un’alleata dell’Ucraina e del presidente Zelensky.

Il tool usato per condurre gli attacchi: DDoSia

NoName057(16) è un gruppo hacktivista pro-Russia attivo dal 2022, noto per condurre attacchi DDoS contro istituzioni governative, aziende e infrastrutture critiche nei Paesi che sostengono l’Ucraina. Utilizzano il loro canale Telegram per rivendicare attacchi, coordinare operazioni e mobilitare la loro comunità di sostenitori. Il gruppo si distingue per l’uso del tool DDosia, un software progettato per eseguire attacchi distribuiti con efficacia crescente, e per l’adozione di tecniche avanzate per eludere le difese informatiche.

Funzionamento tecnico del tool

1. Architettura e linguaggio:
   
   • Originariamente sviluppato in Python, il tool è stato successivamente riscritto in linguaggio Go per migliorare l’efficienza e la sicurezza.
   • Utilizza il protocollo HTTP per comunicare con i server Command & Control (C2), che forniscono istruzioni e obiettivi.

   
   

2. Esecuzione e comunicazione con i server C2:
   
   • All’avvio, DDoSia effettua una richiesta di autenticazione POST al server C2 con un payload cifrato in AES-GCM.
   • Dopo l’autenticazione, il server fornisce un identificativo temporale (epoch) e l’elenco dei target da attaccare, anch’esso cifrato.
   • Le richieste includono parametri specifici, come:
     
     • “U”: un hash fornito tramite il bot Telegram del gruppo.
     • “C”: un GUID del dispositivo che esegue il tool.
     • “K”: un valore codificato in base32 per accedere alla lista dei target.

     
     

   • I target sono distribuiti in un file JSON cifrato che viene decifrato localmente per l’attacco.

   
   

3. Cifratura e sicurezza:
   
   • Il toolkit utilizza algoritmi avanzati come AES-GCM per cifrare sia le comunicazioni che i dati trasmessi.
   • La chiave di cifratura è generata dinamicamente utilizzando informazioni del sistema, come il GUID del dispositivo e il Process ID (PID).
   • L’uso di header e valori dinamici, come User-Agent casuali, rende più difficile il rilevamento da parte delle difese di rete.

   
   

4. Aggiornamenti e miglioramenti:
   
   • Nel 2023, sono stati introdotti nuovi meccanismi di autenticazione e ulteriori livelli di cifratura per nascondere meglio i target e complicare l’analisi tecnica.
   • Le risposte del server includono dati strutturati in modo da eludere i controlli statici, con variazioni regolari per evitare il blocco delle infrastrutture C2.

   
   

Conclusioni

Gli attacchi DDoS orchestrati dal gruppo hacktivista NoName057(16) rappresentano una minaccia concreta e persistente per le infrastrutture critiche e aziendali italiane. Motivati da ragioni ideologiche e politiche, i membri del gruppo sfruttano strumenti tecnicamente avanzati, come il toolkit DDoSia, per condurre operazioni di cyberwarfare contro i Paesi percepiti come ostili alla Russia.

La capacità del gruppo di adattare le proprie tecniche, migliorare la sicurezza delle comunicazioni e mobilitare una comunità di sostenitori attraverso i social media lo rende un avversario particolarmente complesso da contrastare. Gli attacchi contro l’Italia evidenziano non solo una strategia ben coordinata, ma anche l’intento di colpire simbolicamente e strategicamente un Paese considerato influente a livello europeo.

Per fronteggiare questa minaccia, è essenziale che le istituzioni e le aziende italiane rafforzino le proprie difese informatiche, investano in tecnologie di monitoraggio avanzate e promuovano una maggiore collaborazione tra pubblico e privato. Solo attraverso un approccio proattivo e condiviso sarà possibile mitigare gli impatti di questa campagna di attacchi e proteggere le infrastrutture strategiche nazionali.

L'articolo Italia Sotto Attacco: Guardia di Finanza, Porto di Taranto e altre istituzioni nella mira di NoName057(16) proviene da il blog della sicurezza informatica.

agenparl.eu/2024/12/11/millepr…

(AGENPARL) – mer 11 dicembre 2024 MILLEPROROGHE, COLUCCI (M5S): SU AUTONOMIA E LEP GOVERNO PERSEVERA E VA CONTRO CONSULTA
ROMA, 11 dic. – “Nel testo bollinato del decreto Milleproroghe all’articolo 16 il governo trasferisce presso il dipartimento per gli Affari regionali e le Autonomie, quindi al ministro Calderoli, l’attività istruttoria per la determinazione dei livelli essenziali delle prestazioni (LEP) e dei relativi costi e fabbisogni standard, fino al 31 dicembre 2025. Quindi, il Governo persevera nell’errore di avocare a sè la determinazione dei Lep, calpestando il Parlamento e soprattutto la Corte Costituzionale che, nella recente sentenza sulla legge per l’Autonomia Differenziata, ha bocciato questa possibilità. Vorremmo anche capire cosa significa che l’attività istruttoria è trasferita “presso” e non “al” dipartimento, il Comitato per la determinazione dei LEP, presieduto dal prof. Cassese, è stato licenziato o semplicemente trasferito presso il Ministero? Sarebbe doveroso il suo scioglimento, a seguito della sentenza della Corte Costituzionale che ha bocciato la legge Calderoli e le collegate norme contenute nella legge di Bilancio 2023. In ogni caso questa contenuta nel dl Milleproroghe è un’operazione a dir poco spregiudicata, tenuto conto che la legge Calderoli è stata bocciata dalla Corte in tutti i suoi pilastri portanti, e lo è ancor di più se si considera che l’attività istruttoria si riferisce alla determinazione delle sole materie Lep e non anche, come pure ha stabilito la Corte, delle materie non Lep nelle parti in cui incidano su diritti sociali e civili. E’ proprio il caso di dire che non c’è peggior sordo di chi non vuol sentire. Al governo e alla maggioranza lo hanno ricordato tantissimi cittadini che hanno firmato per cancellare l’Autonomia, poi la Consulta con la sentenza che smantella la legge Calderoli. Se vogliono perseverare, prenderanno altre batoste e purtroppo a pagare saranno i cittadini che assistono a questo scempio istituzionale che può avere drammatiche ricadute sulla loro vita quotidiana”.
Lo afferma il capigruppo M5S nella commissioni Affari Costituzionali della Camera Alfonso Colucci.
—————–
Ufficio Stampa Parlamento
Movimento 5 Stelle

MILLEPROROGHE, COLUCCI (M5S): SU AUTONOMIA E LEP GOVERNO PERSEVERA E VA CONTRO CONSULTA

(AGENPARL) - Roma, 11 Dicembre 2024(AGENPARL) – mer 11 dicembre 2024 MILLEPROROGHE, COLUCCI (M5S): SU AUTONOMIA E LEP GOVERNO PERSEVERA E VA CONTRO CONSULTA ROMA, 11 dic.

^Agenparl

"Non è possibile". Due ragazze si stringono su un telefonino, smettendo per un attimo di saltellare per difendersi dal freddo della sera di Seoul. Sul piccolo schermo, vanno in onda le immagini in diretta dei parlamentari del Partito del Potere Popolare (PPP) che se ne vanno.

Dopo aver votato contro l'istituzione di una commissione d'inchiesta speciale sulla first lady Kim Keon-hee, lasciano l'aula proprio mentre l'Assemblea nazionale è chiamata a esprimersi sul destino di Yoon Suk-yeol, il presidente che ha osato imporre la prima legge marziale dell'era democratica della Corea del Sud. Le sedie del partito di governo sono abbandonate, tranne quella di Ahn Cheol-soo, tre volte candidato alle presidenziali per il PPP, l'unico a restare. Il palazzo simbolo della democrazia sudcoreana resta mezzo vuoto.

valigiablu.it/corea-del-sud-im…

@Politica interna, europea e internazionale

La lezione della Corea del Sud: la memoria storica dei nonni sfida il potere militare e salva la democrazia

Il tentativo del presidente sudcoreano Yoon Suk-yeol di imporre la legge marziale ha evocato i traumi della dittatura militare degli anni ’80.

^{Lorenzo Lamperti (Valigia Blu)}