In the rush to always have the latest and greatest, it’s not uncommon that perfectly serviceable hardware ends up collecting dust in a drawer somewhere. If you’ve got an old Kindle laying around, you may be interested in this write-up from [Hemant] that shows a practical example of how the popular e-reader can be pushed into service as a weather dashboard.

The first step is to jailbreak the Kindle, providing the user with root access to the device. From there the Kindle Unified Application Launcher (KUAL) is installed along with USBNetwork which allows you to connect to the reader over SSH. With root access and a network connection, the real project of converting it to a weather dashboard begins. [Hemant] split the project into two parts here, a Node.js server that scrapes weather data from the internet and converts it into an image, and a client for the Kindle that receives this image for display.

The Kindle has a number of quirks and issues that [Hemant] covers as well, including handling image ghosting on the e-ink display as well as a problem where the device will hang if the Internet connection is lost. For those with jailbroken Kindles that want to put their devices back into useful service, this is an excellent guide for getting started and [Hemant] also provided all of the source code on the project’s GitHub page.

There has been a long tradition of using Kindles for things other than e-readers, and even devices with major hardware problems can still have useful life in them thanks to this project which allows the e-ink display to have a second life on its own.

hackaday.com/2025/02/27/shelve…

QR codes have been with us for a long time now, and after passing through their Gardenesque hype cycle of inappropriate usage, have now settled down to be an important and ubiquitous part of life. If you have ever made a QR code you’ll know all about trying to generate the most compact and easily-scannable one you can, and for that [Terence Eden] is here with an interesting quirk. Upper-case text produces smaller codes than lower-case.

His post takes us on a journey into the encoding of QR codes, not in terms of their optical pattern generation, but instead the bit stream they contain. There are different modes to denote different types of payload, and in his two examples of the same URL in upper- and lower- cases, the modes are different. Upper-case is encoded as alphanumeric, while lower-case, seemingly though also containing alphanumeric information, is encoded as bytes.

To understand why, it’s necessary to consider the QR codes’ need for efficiency, which led its designers to reduce their character set as far as possible and only define uppercase letters in their alphanumeric set. The upper-case payload is thus encoded using less bits per character than the lower-case one, which is encoded as 8-bit bytes. A satisfying explanation for a puzzle in plain sight.

Hungry for more QR hackery? This one contains more than one payload!

hackaday.com/2025/02/26/shout-…

Terence Eden’s Blog

2025-02-23 12:34:37

Why are QR Codes with capital letters smaller than QR codes with lower-case letters?

shkspr.mobi/blog/2025/02/why-a…

Take a look at these two QR codes. Scan them if you like, I promise there's nothing dodgy in them.

---

---

Left is upper-case HTTPS://EDENT.TEL/ and right is lower-case https://edent.tel/

You can clearly see that the one on the left is a "smaller" QR as it has fewer bits of data in it. Both go to the same URl, the only difference is the casing.

What's going on?

Your first thought might be that there's a different level of error-correction. QR codes can have increasing levels of redundancy in order to make sure they can be scanned when damaged. But, in this case, they both have Low error correction.

The smaller code is "Type 1" - it is 21px * 21px. The larger is "Type 2" with 25px * 25px.

The official specification describes the versions in more details. The smaller code should be able to hold 25 alphanumeric character. But https://edent.tel/ is only 18 characters long. So why is it bumped into a larger code?

Using a decoder like ZXING it is possible to see the raw bytes of each code.

UPPER

20 93 1a a6 54 63 dd 28 35 1b 50 e9 3b dc 00 ec11 ec 11
lower:

41 26 87 47 47 07 33 a2 f2 f6 56 46 56 e7 42 e746 56 c2 f0 ec 11 ec 11 ec 11 ec 11 ec 11 ec 11ec 11
You might have noticed that they both end with the same sequence: ec 11 Those are "padding bytes" because the data needs to completely fill the QR code. But - hang on! - not only does the UPPER one safely contain the text, it also has some spare padding?

The answer lies in the first couple of bytes.

Once the raw bytes have been read, a QR scanner needs to know exactly what sort of code it is dealing with. The first four bits tell it the mode. Let's convert the hex to binary and then split after the first four bits:

Type	HEX	BIN	Split
UPPER	20 93	00100000 10010011	0010 000010010011
lower	41 26	01000001 00100110	0100 000100100110

The UPPER code is 0010 which indicates it is Alphanumeric - the standard says the next 9 bits show the length of data.

The lower code is 0100 which indicates it is Byte mode - the standard says the next 8 bits show the length of data.

Type	HEX	BIN	Split
UPPER	20 93	00100000 10010011	0010 0000 10010
lower	41 26	01000001 00100110	0100 000 10010

Look at that! They both have a length of 10010 which, converted to binary, is 18 - the exact length of the text.

Alphanumeric users 11 bits for every two characters, Byte mode uses (you guessed it!) 8 bits per single character.

But why is the lower-case code pushed into Byte mode? Isn't it using letters and number?

Well, yes. But in order to store data efficiently, Alphanumeric mode only has a limited subset of characters available. Upper-case letters, and a handful of punctuation symbols: space $ % * + - . / :

Luckily, that's enough for a protocol, domain, and path. Sadly, no GET parameters.

So, there you have it. If you want the smallest possible physical size for a QR code which contains a URl, make sure the text is all in capital letters.

#qr #QRCodes

Table of Alphanumeric Values

When creating a QR code with alphanumeric mode, you need to know the alphanumeric values of the characters that you are encoding. See this table for reference.

^Thonky.com

Negli ultimi mesi, il gruppo di hacker cinese conosciuto come Salt Typhoon ha continuato a far parlare di sé grazie alle sue tattiche aggressive e persistenti nel settore della cybersicurezza.

Nonostante le sanzioni imposte dagli Stati Uniti e un’attenta sorveglianza governativa, Salt Typhoon ha dimostrato di non rallentare le proprie attività, continuando a lanciare attacchi coordinati contro istituzioni educative e infrastrutture critiche a livello globale.

Salt Typhoon (RedMike): Una Minaccia Globale

Recenti rapporti indicano che il gruppo ha mirato a diversi fornitori di telecomunicazioni e università in vari paesi, principalmente Stati Uniti, Regno Unito, Sudafrica. Queste incursioni hanno permesso agli hacker di compromettere dispositivi cruciali, estraendo informazioni sensibili come dati scientifici e tecnologia proprietaria.

Da quanto viene riportato dalle dashboard della piattaforma di intelligence di Recorded Future (Partner strategico di Red Hot Cyber), gli attacchi hanno iniziato ad aumentare in modo sensibile da febbraio di questo anni con dei picchi nelle date del 13 e del 21 di questo mese.
Trend degli attacchi di Salt Typhoon, informazioni prelevate dalla piattaforma di Recorded Future, partner tecnologico di Red Hot Cyber sulla Cyber Threat Intelligence

Lo sfruttamento delle CVE di CISCO IOS XE

Dall’inizio di dicembre 2024, Salt Typhoon (RedMike) ha tentato di sfruttare oltre 1.000 dispositivi di rete Cisco esposti su Internet in tutto il mondo, principalmente quelli associati ai provider di telecomunicazioni, utilizzando una combinazione di due vulnerabilità di escalation dei privilegi: CVE-2023-20198 e CVE-2023-20273. Una volta compromesso con successo, il gruppo utilizza il nuovo account utente privilegiato per modificare la configurazione del dispositivo e aggiunge un tunnel GRE per l’accesso persistente e l’esfiltrazione dei dati.

La vulnerabilità di escalation dei privilegi CVE-2023-20198 è stata trovata nella funzionalità Web UI del software Cisco IOS XE, versione 16 e precedenti, e pubblicata da Cisco nell’ottobre 2023. Gli aggressori sfruttano questa vulnerabilità per ottenere l’accesso iniziale al dispositivo ed emettono un comando privilege 15 per creare un utente locale e una password. In seguito, l’aggressore utilizza il nuovo account locale per accedere al dispositivo e sfrutta una vulnerabilità di escalation dei privilegi associata, CVE-2023-20273, per ottenere i privilegi di utente root.
Distribuzione geografica dei dispositivi CISCO sfruttati da Red Mike (Salt Typhoone) (Fonte Recorded Future)
Oltre la metà dei dispositivi Cisco presi di mira da RedMike si trovavano negli Stati Uniti, in Sud America e in India. I dispositivi rimanenti si estendevano su oltre 100 altri paesi. Sebbene i dispositivi selezionati siano principalmente associati a provider di telecomunicazioni, tredici erano collegati a università in Argentina, Bangladesh, Indonesia, Malesia, Messico, Paesi Bassi, Thailandia, Stati Uniti e Vietnam.

Tale comportamento mette in evidenza la minaccia continua rappresentata dagli attori sponsorizzati dagli stati e la loro capacità di compromettere la sicurezza nazionale. Particolarmente preoccupante è la strategia di Salt Typhoon di sfruttare vulnerabilità nei dispositivi Cisco.

Gli obiettivi di Salt Typhoon (RedMike)

La Cina ha sviluppato un’ampia rete di operazioni di spionaggio informatico mirate a istituzioni accademiche, aziende e governi stranieri, con l’obiettivo di ottenere vantaggi strategici in settori chiave come l’intelligenza artificiale, la crittografia e la tecnologia quantistica. Gruppi di hacker sponsorizzati dallo Stato, come Brass Typhoon APT41 e Violet Typhoon APT31, sono stati collegati a campagne di attacco sofisticate che sfruttano vulnerabilità nei sistemi informatici di università e centri di ricerca per esfiltrare dati sensibili. Queste operazioni non si limitano al cyberspazio, ma coinvolgono anche il reclutamento di ricercatori e studenti stranieri attraverso programmi di scambio accademico e collaborazioni scientifiche, che spesso fungono da copertura per il trasferimento illecito di conoscenze.

Parallelamente, il governo cinese utilizza società di copertura e joint venture con istituzioni occidentali per acquisire tecnologie emergenti senza destare sospetti. Attraverso iniziative come il programma “Thousand Talents”, Pechino ha incentivato il rientro di scienziati e ingegneri cinesi dall’estero, spesso con informazioni e brevetti ottenuti illegalmente.

Inoltre, le cyber-operazioni cinesi hanno preso di mira fornitori di infrastrutture critiche, tra cui aziende di telecomunicazioni e contractor della difesa, con l’intento di compromettere la sicurezza delle comunicazioni e raccogliere dati di intelligence strategici. Queste attività, sempre più sofisticate, come quelle di Salt Typhoon (RedMike), hanno portato a crescenti tensioni tra la Cina e le potenze occidentali, con sanzioni e misure di ritorsione da parte di Stati Uniti ed Europa per contrastare l’aggressiva espansione dello spionaggio informatico cinese.

Gli attacchi di Febbraio 2025

Il 15 febbraio 2025, Salt Typhoon ha sferrato moltissimi attacchi che hanno colpito 13 università e cinque fornitori di servizi Internet, inclusi quelli in Italia. Queste aggressioni segnano un notevole incremento della campagna di Salt Typhoon, considerata una delle più grandi operazioni di cyber-spionaggio condotte dalla Cina contro gli Stati Uniti. Le conseguenze di questi attacchi non si limitano a violazioni immediate dei dati, ma pongono interrogativi sugli impatti a lungo termine sulla ricerca accademica e sull’innovazione tecnologica.

E’ stata violata con successo un’affiliata statunitense di una società di telecomunicazioni del Regno Unito, vari provider di servizi Internet (ISP) e 13 università, tra cui importanti istituzioni come l’UCLA. Nel corso del mese di febbraio, Cisco ha confermato che questa falla è stata utilizzata per colpire le reti di telecomunicazione statunitensi, dimostrando la persistenza del gruppo nell’utilizzare sia le vulnerabilità consolidate che quelle più recenti per mantenere l’accesso ai sistemi compromessi.

Gli attacchi non si sono limitati agli Stati Uniti, ma si sono estesi anche a entità internazionali, tra cui ISP in Italia, Sudafrica e Thailandia. L’ampiezza di questi attacchi ha destato notevoli preoccupazioni per quanto riguarda la sicurezza dei dati sensibili e l’integrità delle infrastrutture di telecomunicazione su scala globale.

In generale le attività malevole di Salt Typhoon (Red Mike) hanno sfruttato le vulnerabilità identificate come CVE-2023-20198 e CVE-2023-20273, che hanno facilitato l’accesso non autorizzato ai router Cisco IOS XE. Ciò ha permesso agli aggressori di manipolare i dispositivi di rete e potenzialmente di esfiltrare dati sensibili.

Malware utilizzato da Salt Typhoon per compromettere le reti

Salt Typhoon (RedMike) dopo aver avuto accesso e compromesso i router CISCO, impiega una serie di sofisticati malware per infiltrarsi e compromettere le reti in vari settori.

MASOL RAT

Uno degli strumenti principali del loro arsenale è una versione personalizzata del MASOL RAT (Remote Access Trojan),che consente agli aggressori di ottenere il controllo remoto dei sistemi infetti.

Questo malware è particolarmente efficace nell’esfiltrazione di dati sensibili, nel monitoraggio delle attività degli utenti e nell’esecuzione di comandi sulle macchine compromesse. L’uso del MASOL RAT evidenzia l’attenzione strategica di Salt Typhoon per la furtività e la persistenza, che gli consentono di mantenere l’accesso a lungo termine alle reti mirate senza essere individuati.

MASOL RAT, tracciato da TrendMicro dal 2020 può essere utilizzato per prendere di mira entità governative del sud-est asiatico. In base alla stringa PDB della backdoor (E:\Masol_https190228\x64\Release\Masol.pdb), si ritiene che il Remote Access Trojan possa essere stata sviluppato già nel 2019. E’ stata osservata anche una nuova variante Linux in circolazione dopo il 2021.
La configurazione del malware MASOL RAT estratta (Fonte TrendMicro)

JumbledPath

In un rapporto pubblicato da Cisco Talos il 20 febbraio, i ricercatori hanno confermato che Salt Typhoon ha ottenuto l’accesso all’infrastruttura di rete principale tramite dispositivi Cisco e ha poi utilizzato tale infrastruttura per raccogliere una serie di informazioni.
Panoramica sulla gestione dei dati JumbledPath (Fonte Cisco Talos)
L’approccio di Salt Typhoon per ottenere l’accesso iniziale ai dispositivi Cisco è quello di ottenere le credenziali di accesso legittime della vittima utilizzando tecniche LOTL (Living-off-the-Land) sui dispositivi di rete.

Salt Typhoon (RedMike) ha utilizzato un’utilità personalizzata, denominata JumbledPath, che gli ha consentito di eseguire un’acquisizione di pacchetti su un dispositivo Cisco remoto tramite un jump-host definito dall’attore. Questo strumento ha anche tentato di cancellare i log e compromettere la registrazione lungo il jump-path e restituire l’acquisizione compressa e crittografata risultante tramite un’altra serie unica di connessioni o jump definiti dall’attore.

Ciò ha consentito all’attore della minaccia di creare una catena di connessioni ed eseguire l’acquisizione su un dispositivo remoto. L’utilizzo di questa utilità contribuirebbe a offuscare la fonte originale e la destinazione finale della richiesta e consentirebbe inoltre al suo operatore di muoversi attraverso dispositivi o infrastrutture potenzialmente altrimenti non raggiungibili pubblicamente (o instradabili).
Metodo di Salt Typhoon per Bypassare gli elenchi di controllo degli accessi (Fonte Cisco Talos)
Questa utility è stata scritta in GO e compilata come binario ELF usando un’architettura x86-64. La compilazione dell’utility usando questa architettura la rende ampiamente utilizzabile su sistemi operativi Linux, che includono anche una varietà di dispositivi di rete multi-vendor. Questa utility è stata trovata in istanze Guestshell configurate dall’attore su dispositivi Cisco Nexus.

L’autore della minaccia ha modificato ripetutamente l’indirizzo dell’interfaccia loopback su uno switch compromesso e ha utilizzato tale interfaccia come origine di connessioni SSH ad altri dispositivi all’interno dell’ambiente di destinazione, il che gli ha consentito di aggirare di fatto gli elenchi di controllo di accesso (ACL) in vigore su tali dispositivi.

Un tipico attacco di Salt Typhoon

Salt Typhoon (RedMike), spesso prevede un approccio multiforme che sfrutta vulnerabilità note in dispositivi di rete ampiamente utilizzati, in particolare quelli di Cisco.

Un altro comportamento degno di nota mostrato da Salt Typhoon consiste nello sfruttare le tecniche LOTL (Living-off-the-Land) sui dispositivi di rete, abusando dell’infrastruttura affidabile come punto di snodo per passare da una società di telecomunicazioni all’altra. Di seguito viene riportata l’infrastruttura di sfruttamento di Salt Typhoon:
Infrastruttura di sfruttamento del dispositivo di rete Cisco RedMike (Fonte: Recorded Future)

Ricognizione

Salt Typhoon inizia con un’ampia ricognizione per identificare i potenziali obiettivi all’interno delle infrastrutture critiche, come i fornitori di telecomunicazioni e le istituzioni scolastiche. Questa fase può comportare la scansione dei dispositivi vulnerabili, la raccolta di informazioni sulle configurazioni di rete e l’identificazione del personale chiave.
Tecniche, Tattiche e Procedure (TTPs) degli attacchi di Salt Typhoon, informazioni prelevate dalla piattaforma di Recorded Future, partner tecnologico di Red Hot Cyber sulla Cyber Threat Intelligence

Sfruttamento delle vulnerabilità

Il gruppo sfrutta spesso specifiche vulnerabilità nei dispositivi Cisco. Ad esempio, è noto che sfrutta vulnerabilità come CVE-2018-0171 e CVE-2023-20198. Queste vulnerabilità consentono agli aggressori di ottenere l’accesso non autorizzato ai dispositivi di rete inviando messaggi o comandi artigianali, provocando condizioni di denial-of-service o l’esecuzione di codice arbitrario.

Accesso iniziale e furto di credenziali

Una volta ottenuto l’accesso iniziale attraverso lo sfruttamento delle vulnerabilità, Salt Typhoon utilizza spesso malware come il MASOL RAT (come visto in precedenza) o kit di exploit personalizzati. Questi strumenti consentono agli aggressori di stabilire un punto d’appoggio all’interno della rete, di esfiltrare dati sensibili e di raccogliere credenziali legittime per ulteriori accessi. Il furto di credenziali è cruciale perché consente di aumentare il livello di accesso.

Come difendersi dagli attacchi di Salt Typhoon

Salt Typhoon (RedMike) ha tentato di sfruttare più di 1.000 dispositivi Cisco a livello globale. Il gruppo ha probabilmente compilato un elenco di dispositivi target in base alla loro associazione con le reti dei provider di telecomunicazioni. Insikt Group di Recorded Future ha anche osservato che RedMike stava prendendo di mira dispositivi associati a università in Argentina, Bangladesh, Indonesia, Malesia, Messico, Paesi Bassi, Thailandia, Stati Uniti (USA) e Vietnam.

Per proteggersi dagli attacchi di Salt Typhoon (RedMike), le organizzazioni devono implementare una strategia di cybersecurity completa che enfatizzi la gestione delle vulnerabilità, la sicurezza della rete e la formazione dei dipendenti. Ecco alcune misure chiave da considerare:

• Gestione delle patch: Aggiornare e applicare regolarmente le patch a tutto il software, in particolare ai dispositivi di rete come router e switch Cisco. Assicurarsi che le vulnerabilità note, come CVE-2018-0171, CVE-2023-20198 e CVE-2023-20273, vengano affrontate tempestivamente.
• Segmentazione della rete: Implementare la segmentazione della rete per limitare gli spostamenti laterali all’interno della rete. Ciò rende più difficile per gli aggressori accedere ai sistemi critici se riescono a compromettere una parte meno sicura della rete.
• Controlli di accesso: Applicare controlli di accesso rigorosi e il principio del minimo privilegio. Assicurarsi che gli utenti abbiano solo l’accesso necessario per i loro ruoli e rivedere e aggiornare regolarmente queste autorizzazioni.
• Autenticazione a più fattori (MFA): Abilitare l’autenticazione a più fattori per l’accesso a sistemi e applicazioni sensibili per aggiungere un ulteriore livello di sicurezza contro il furto di credenziali.
• Monitoraggio e rilevamento: Implementare solidi sistemi di monitoraggio e di rilevamento delle intrusioni per identificare attività insolite e potenziali violazioni. [Esaminare regolarmente i registri e gli avvisi di sicurezza per individuare eventuali segnali di comportamento sospetto.
• Piano di risposta agli incidenti: Sviluppare e aggiornare regolarmente un piano di risposta agli incidenti che delinei le procedure di risposta agli incidenti di cybersecurity. [6]

Conclusioni

Salt Typhoon è salito alla ribalta a causa della sua recente infiltrazione nell’infrastruttura delle telecomunicazioni commerciali. I senatori statunitensi hanno definito l’attacco “strabiliante”, affermando che dovrebbe fungere da “campanello d’allarme” per le aziende che si ritiene siano state violate, tra cui AT&T, Verizon e Lumen.

RedMike ha probabilmente preso di mira queste università per accedere alla ricerca in aree correlate a telecomunicazioni, ingegneria e tecnologia, in particolare presso istituzioni come UCLA e TU Delft. Oltre a questa attività, a metà dicembre 2024, RedMike ha anche eseguito una ricognizione di più indirizzi IP di proprietà di un provider di telecomunicazioni con sede in Myanmar, Mytel.

La continua esposizione di vulnerabilità nei dispositivi Cisco ha portato a una crescente preoccupazione tra i fornitori di servizi e le istituzioni, costringendoli a rivedere le loro strategie di sicurezza. È diventato evidente che la protezione delle reti e dei dati è di fondamentale importanza per preservare non solo la sicurezza nazionale, ma anche la fiducia del pubblico nei sistemi digitali.

Di fronte a queste minacce in evoluzione, esperti del settore e professionisti della cybersicurezza sottolineano l’importanza di misure di sicurezza robuste e difese proattive. È necessario che le organizzazioni conducano approfondite valutazioni delle loro reti, focalizzandosi in particolare sulle vulnerabilità all’interno dei dispositivi Cisco. La situazione attuale serve da monito sulla necessità di una vigilanza continua contro avversari sofisticati come Salt Typhoon e i suoi affiliati.

Mentre il gruppo continua a lanciare attacchi mirati contro infrastrutture critiche e istituzioni educative, è fondamentale che le organizzazioni di tutto il mondo migliorino le loro posture di sicurezza e collaborino per condividere informazioni, riducendo i rischi posti da tali minacce informatiche. La battaglia contro il cyber spionaggio è tutt’altro che finita, e solo attraverso uno sforzo collettivo la comunità internazionale può sperare di salvaguardare le proprie frontiere digitali.

Questo articolo è stato redatto attraverso l’utilizzo della piattaforma di Recorded Future, partner strategico di Red Hot Cyber e Leader Mondiale nell’intelligence sulle minacce informatiche, che fornisce analisi avanzate per identificare e contrastare le attività malevole nel cyberspazio.

L'articolo Salt Typhoon (RedMike): La Cyber Minaccia Cinese che Sta Scuotendo il Mondo proviene da il blog della sicurezza informatica.

Le funzionalità della nuova soluzione potenziano la gestione proattiva del rischio, il threat modeling, la previsione del percorso di attacco e mettono a disposizione insight concreti e utilizzabili.

Trend Micro, leader globale di cybersecurity trasforma il modo in cui le aziende affrontano il rischio informatico e presenta un rivoluzionario agente AI: Trend Cybertron, il primo modello LLM (Large Language Model) progettato appositamente per la cybersecurity e ideato per ottenere risultati di sicurezza proattivi. Grazie a una valutazione più precisa dei rischi a livello locale e alla intelligence globale sulle minacce più accurata del settore, il nuovo motore di intelligenza artificiale prevede e previene le minacce sull’intera superficie di attacco di un’organizzazione, in qualsiasi ambiente.

“Trend sta creando un agente AI di cybersecurity diverso da qualsiasi altro. Abbiamo raccolto un’enorme quantità di dati ad alta affidabilità da tutto il settore, per potenziare le nostre capacità e rendere più semplice che mai la gestione proattiva del rischio informatico. I nostri clienti e partner stanno già beneficiando della riduzione dei costi operativi e di un miglioramento della postura di sicurezza”. Afferma Eva Chen, CEO di Trend Micro.

Trend Cybertron è più che un semplice LLM autonomo, è un nuovo approccio all’AI per la cybersecurity che sfrutterà tutte le tecnologie principali di Trend Vision One™ – dati sulle minacce, analisi, motori e altro ancora – per fornire una soluzione veramente completa per l’intera sicurezza di un’organizzazione.

In tutto il mondo le organizzazioni affrontano sfide di sicurezza sempre più complesse. Comprendere le superfici di attacco, gestire architetture tecnologiche a silos, rispondere alle minacce, amministrare il sovraccarico di alert e integrare l’intelligenza artificiale sono tutti fattori che opprimono e affaticano i team di cybersecurity.

Trend Cybertron sfrutta sia i dati dai suoi archivi storici sia i dati in tempo reale da tutto il mondo per:

• Accelerare i risultati in termini di sicurezza anticipando le esigenze e prevedendo i rischi
• Ridurre il sovraccarico degli alert, aumentando la precisione nella definizione delle priorità e prevenendo l’affaticamento dei team di security
• Beneficiare di un maggiore valore e di informazioni più approfondite dai sensori di rischio già esistenti

Perfettamente integrata nella piattaforma di punta Trend Vision One™, Trend Cybertron è ora disponibile per i clienti in tutto il mondo.

Questo approccio alla sicurezza proattivo leader del settore consente ai team IT di anticipare e prevedere l’attività di rischio e di minaccia con estrema precisione sull’intera superficie di attacco. Questo permette di anticipare le violazioni e mitigare i rischi prima che abbiano la possibilità di materializzarsi.

“Ammettiamolo. Da qualche tempo ormai la sicurezza informatica è incentrata sul rilevamento, mentre la prevenzione è semplicemente poco alla moda. Trend sta cercando di cambiare la narrativa del mercato: non è necessario rilevare un attacco se non avviene mai. Sfruttando l’intelligenza artificiale e combinandola con la gestione dell’esposizione al rischio informatico, Trend consente alle organizzazioni di vedere le minacce dal punto di vista di un attaccante e contrastarle prima che il rischio diventi realtà. Questo genera un enorme ROI per i team di sicurezza oberati di lavoro. Nel 2025, Trend promette di rendere nuovamente alla moda la prevenzione proattiva”. Dichiara Frank Dickson, Group Vice President, Security & Trust at IDC.

Trend Cybertron sarà addestrato su una base dati senza precedenti di intelligence e competenze AI, che include:

• L’intelligence sulle minacce di Trend, alimentata da oltre 250 milioni di sensori che proteggono più di 82 milioni di risorse presso 500.000 aziende in 175 Paesi. È la più ampia del settore e nel 2023 ha bloccato 160 miliardi di minacce
• Il machine learning, che consente la classificazione dei dati, l’individuazione delle vulnerabilità e il rilevamento di deepfake, tecniche di phishing, malware, movimenti laterali, anomalie degli utenti e truffe
• Decenni di conoscenza di oltre 3.000 esperti di sicurezza, con all’attivo più di 700 brevetti nella cybersecurity
• Oltre 20 anni di ricerca su vulnerabilità avanzate e zero-day della Trend Micro Zero Day Initiative™, che protegge i clienti con una media di 70 giorni di anticipo rispetto ai competitor, nel momento in cui viene scoperta una vulnerabilità

Il risultato è un sistema altamente resiliente e in rapida evoluzione in grado di eseguire in modo indipendente attività di gestione del rischio e prendere decisioni per anticipare, comprendere e mitigare, ogni mese, miliardi di minacce informatiche in tutto il mondo. Questo permette alle aziende di prendere decisioni informate sulla sicurezza e di gestire la propria postura di sicurezza informatica, la privacy dei dati e la conformità.

“Trend Cybertron combina l’intelligenza artificiale avanzata con decenni di intelligenza umana, per questo rappresenta un cambio di paradigma nella sicurezza informatica e fornisce una sicurezza veramente proattiva. Sfruttando la nostra storica intelligence globale e quella in tempo reale, insieme a una visibilità completa su ogni superficie di attacco, consentiamo alle aziende di prevedere e prevenire le minacce, ridurre i rischi e creare un futuro più resiliente”. Commenta Rachel Jin, Chief Enterprise Platform Officer at Trend.

Trend Cybertron ridefinisce gli standard del mercato in aree chiave come:

• AI per la Security: Trend abbatte gli storici silos di sicurezza attraverso la connessione completa di tutte le informazioni disponibili, per creare una visione completa di sicurezza, intelligence e dati.

Grazie alla possibilità di accedere in modo sicuro ai dati da tutti i livelli, i team di sicurezza possono prendere decisioni informate con una profondità di comprensione che supera qualsiasi piattaforma di sicurezza informatica precedente. Il rischio di violazione dei dati è ridotto in media del 17%. Questo permette un risparmio di milioni di euro all’anno in rischi potenziali

• Security per l’AI: La rapida espansione dell’intelligenza artificiale ha sollevato preoccupazioni anche per la sicurezza dei dati. Un numero crescente di imprese e governi in tutto il mondo sta addestrando LLM proprietari per ridurre i rischi associati. Trend rende più sicuro e semplice che mai, per le organizzazioni di ogni dimensione e settore, proteggere i dati per l’addestramento, prevenire il disallineamento e fermare gli attacchi informatici contro i modelli di AI

• Insight concreti e utilizzabili: Grazie a una telemetria completa su endpoint, cloud, reti, e-mail, identità, AI e dati, Trend abilita previsioni in tempo reale e simula l’impatto e la probabilità di migliaia di potenziali percorsi di attacco. La piattaforma, inoltre, apprende e si adatta all’ambiente unico di ogni azienda per individuare e affrontare nuove vulnerabilità e vettori di attacco. La visibilità completa e la definizione automatica delle priorità forniscono alle organizzazioni una mitigazione rapida ed efficace 24 ore su 24, 7 giorni su 7

• Semplificazione dei workflow: Il nuovo modello di intelligenza artificiale è progettato per migliorare la piattaforma di punta di Trend e garantisce che le organizzazioni, in qualsiasi fase del loro percorso di cybersecurity, possano integrare perfettamente questa tecnologia con il loro stack di sicurezza esistente. I team di sicurezza beneficiano di workload ridotti e di una migliore accessibilità a tutti i livelli di competenza

• Rafforzare la leadership: Trend Vision One™ supera le altre piattaforme di sicurezza informatica e consente ai leader di cybersecurity di cambiare ruolo, da difensori reattivi ad abilitatori proattivi di business. Trasformando la sicurezza da un centro di costo a motore di innovazione, Trend consente ai leader di comunicare in modo efficace il rischio informatico in un contesto di business risk, garantendo sia la protezione operativa sia la crescita futura. Una ricerca Trend Micro ha dimostrato che questo è un problema critico per molte organizzazioni in tutto il mondo

La potenza dell’intelligenza artificiale si basa sull’efficacia dei dati su cui è addestrata e sulle capacità degli esperti che la costruiscono. Il team globale di specialisti di sicurezza e di intelligenza artificiale di Trend ha collaborato a Ottawa, in Canada, per perfezionare ogni fase di sviluppo, assicurando che il nuovo agente AI sia in grado di offrire la sicurezza proattiva più efficace.

Gli analisti del settore riconoscono che Trend è leader in categorie critiche di sicurezza, come protezione degli endpoint, gestione delle superfici di attacco, piattaforme per la protezione di applicazioni cloud native, analisi e visibilità della rete, rilevamento e risposta della rete e altro ancora. Trend è anche un pioniere nell’implementazione dell’intelligenza artificiale nell’ambito della cybersecurity, con entrate annuali ricorrenti che provengono da tecnologie di AI che hanno superato i 200 milioni di dollari alla fine del terzo trimestre del 2024.

Trend Cybertron combina le capacità di ragionamento dell’AI agentica con 35 anni di dati, informazioni sulle minacce e competenze umane, per creare un agente di sicurezza informatica estremamente capace.

L'articolo Trend Micro presenta Cybertron: la prima soluzione AI per la sicurezza proattiva proviene da il blog della sicurezza informatica.

Gli hacker cinesi hanno avuto accesso al sistema di posta elettronica del Comitato nazionale repubblicano per mesi prima che l’intrusione venisse scoperta. Il Wall Street Journal ha riferito che all’inizio di luglio 2024 Microsoft aveva avvisato i repubblicani di un attacco informatico avvenuto poco prima della convention nazionale del partito.

Gli esperti ipotizzano che le spie cercassero informazioni su come i repubblicani, una volta tornati al potere, avrebbero gestito la questione di Taiwan. A quanto pare, nei documenti del partito non c’è alcun accenno all’isola, cosa che avrebbe potuto interessare l’intelligence cinese. Nella precedente piattaforma del 2016, il Partito Repubblicano sosteneva un accordo di libero scambio con Taiwan, ma nella nuova versione questo punto mancava.

Secondo il WSJ, i politici hanno saputo dell’attacco solo pochi giorni prima dei tentativi di assassinio di Donald Trump , ma non venne contattata l’FBI a causa delle preoccupazioni circa la fuga di informazioni alla stampa. Nello stesso periodo, il governo degli Stati Uniti ha lanciato l’allarme sui possibili attacchi informatici cinesi alle infrastrutture critiche del Paese. La discussione verteva sull’introduzione di malware nei sistemi di approvvigionamento idrico, energetico e di comunicazione. Gli esperti ritengono che, in caso di conflitto su Taiwan, Pechino potrebbe attivare programmi dannosi, provocando il caos negli Stati Uniti.

Un mese prima, uno simile incidente è accaduto con le e-mail della campagna di Trump: gli hacker iraniani hanno rubato la corrispondenza e l’hanno fatta trapelare ai media.

L’FBI ha rifiutato di commentare la questione e i rappresentanti di Microsoft e del Partito Repubblicano non hanno ancora risposto alle richieste di commento. Non è ancora chiaro se questi attacchi siano collegati al gruppo Salt Typhoon, che precedentemente hackerato Le reti di telecomunicazioni americane avendo accesso a telefonate intercettate, messaggi di testo e altri dati sensibili.

Secondo le informazioni disponibili, tra le vittime dell’attacco potrebbero esserci Donald Trump e il suo vicepresidente J.D. Vance.

L'articolo Gli Hacker Cinesi erano nei Server dei Repubblicani Statunitensi per mesi proviene da il blog della sicurezza informatica.

L’aggregatore di fughe di dati Have I Been Pwned (HIBP) ha aggiunto al suo database più di 284 milioni di account rubati da infostealer e diffusi tramite Telegram. Il fondatore di HIBP, Troy Hunt, ha riferito di aver trovato 284.132.969 account compromessi analizzando 1,5 TB di registri di stealer, apparentemente raccolti da più fonti e pubblicati sul canale Telegram ALIEN TXTBASE.

“Questi registri contengono 23 miliardi di righe e 493 milioni di coppie sito web/email univoche, che interessano 284 milioni di indirizzi email univoci”, ha scritto Hunt in un post sul blog. “Abbiamo anche aggiunto 244 milioni di password mai viste prima al database Pwned Passwords e aggiornato i dati di altre 199 milioni di password che erano già presenti nel nostro database.”

Dato l’elevato numero di account in questo dump, si ritiene che la raccolta possa contenere credenziali vecchie e nuove rubate tramite attacchi di credential stuffing e varie fughe di dati. Prima di aggiungere le informazioni al database HIBP, Hunt ne ha verificato l’autenticità tentando di reimpostare le password di vari servizi utilizzando gli indirizzi e-mail presenti nel dump.

Ora, utilizzando le API appena aggiunte (che consentono di cercare 1.000 indirizzi e-mail al minuto e di cercare nei registri degli stealer), i proprietari di domini e gli operatori di siti che si abbonano a HIBP possono identificare i propri clienti le cui credenziali sono state rubate controllando i registri degli stealer più recenti per dominio e-mail o dominio del sito.

Anche gli utenti stessi potranno scoprire se i loro account sono stati trovati nei registri degli stealer di ALIEN TXTBASE, ma per questo dovranno abbonarsi alle notifiche di HIBP. “Questo mostrerà in quali siti sono state trovate le credenziali, ma solo se l’utente utilizza il servizio di notifica per verificare il proprio indirizzo email. “Non volevo rendere pubblica questa informazione perché avrebbe potuto rendere pubbliche informazioni sull’uso di servizi riservati”, spiega Hunt.

Ricordiamo che non è la prima volta che il database HIBP viene integrato con dati raccolti dai canali Telegram. Ad esempio, l’anno scorso, l’aggregatore di informazioni ha aggiunto un grosso dump al suo database contenente 361 milioni di indirizzi e-mail, nonché credenziali raccolte da numerosi canali Telegram di hacker, dove le informazioni rubate vengono spesso fornite gratuitamente agli abbonati come combo per aumentare la loro reputazione.

L'articolo Hai un account compromesso? 284 milioni di credenziali rubate aggiunte su HIBP! proviene da il blog della sicurezza informatica.

Google ha annunciato che intende eliminare gradualmente l’uso dei messaggi di testo SMS per l’autenticazione a più fattori in favore di metodi più sicuri. L’autenticazione a più fattori (MFA) tramite codici monouso e SMS è stata introdotta in Gmail nel febbraio 2011 e nel 2021 Google ha reso obbligatoria l’autenticazione a più fattori per la maggior parte dei suoi servizi.

Gli SMS nel contesto dell’MFA hanno perso da tempo la loro rilevanza a causa della loro intrinseca insicurezza. Va notato che il National Institute of Standards and Technology (NIST) aveva già lanciato l’allarme sui possibili rischi già dal 2016.

Negli ultimi nove anni la situazione non ha fatto che peggiorare, con un aumento dei casi di frode, scambio di SIM e persino vulnerabilità in SS7. Di conseguenza, lo scorso anno la CISA ha raccomandato ufficialmente di abbandonare l’autenticazione tramite SMS in favore di metodi più sicuri.

Come annunciato ora da Google, l’azienda ha deciso di eliminare gradualmente l’invio di password monouso tramite SMS. “Nei prossimi mesi riconsidereremo il modo in cui verifichiamo i numeri di telefono”, ha dichiarato ai media il portavoce per la privacy di Google, Ross Richendrfer. “In particolare, invece di inserire un numero e ricevere un codice di 6 cifre, sullo schermo verrà visualizzato un codice QR, che dovrà essere scansionato utilizzando l’app della fotocamera del telefono.”

Tuttavia, l’azienda non ha ancora eliminato completamente i messaggi SMS e a volte li utilizza per confermare l’identità. Tuttavia, per effettuare l’accesso, gli utenti dovranno scansionare i codici QR (a meno che non utilizzino chiavi di sicurezza, token e altre soluzioni).

“I codici SMS rappresentano un’area ad alto rischio per gli utenti e siamo entusiasti di presentare un nuovo approccio innovativo per ridurre la superficie di attacco per gli aggressori e proteggere gli utenti da attività dannose”, ha affermato Richendrafer.

L’azienda promette di fornire presto maggiori dettagli sulle modifiche. L’azienda non ha ancora annunciato date specifiche per l’implementazione delle modifiche per i titolari di account Google e gli utenti Gmail.

L'articolo Google dice addio agli SMS per l’MFA! Ecco cosa cambia per la tua sicurezza proviene da il blog della sicurezza informatica.

Un presunto exploit zero-day per VMware ESXi è apparso nei forum underground, offerto da un criminale informatico noto come “Vanger“.

Secondo le informazioni trapelate, l’exploit consentirebbe l’evasione dalla macchina virtuale (VM Escape), una delle minacce più critiche per gli ambienti virtualizzati. Il prezzo? 150.000 dollari. Ma è reale o un ennesimo tentativo di frode?

Il pericolo del VM Escape

Se autentico, questo exploit potrebbe consentire agli attaccanti di bypassare il livello di isolamento garantito dall’hypervisor ESXi, compromettendo il sistema host e le altre VM in esecuzione sullo stesso server. Ciò significa accesso non autorizzato ai dati sensibili, diffusione di malware e possibilità di movimento laterale all’interno della rete aziendale.

Le versioni affette sarebbero comprese tra la 5.5 e la 8.0, inclusi aggiornamenti specifici come ESXi 8.0 Update 3c e versioni precedenti. L’inserzione di Vanger elenca dettagliati numeri di build, suggerendo una conoscenza approfondita dell’ecosistema VMware.

Affare reale o ennesima truffa nei forum underground?

Non è la prima volta che sui marketplace del dark web vengono messi in vendita exploit con promesse da capogiro. Tuttavia, il venditore non vanta una reputazione solida nel settore degli exploit: le sue precedenti attività si limitavano alla vendita di credenziali di accesso aziendali compromesse.

Questo solleva forti dubbi sull’autenticità dell’exploit e sull’affidabilità della fonte. Potrebbe trattarsi di una frode? Assolutamente sì, ma il rischio che sia reale non può essere sottovalutato.

Le contromisure: come proteggersi da un possibile attacco

Indipendentemente dalla veridicità di questa minaccia, il solo fatto che venga pubblicizzata dimostra come le infrastrutture virtualizzate siano nel mirino del cybercrime. Le aziende devono adottare un approccio di sicurezza a più livelli per proteggere i propri ambienti:

• Patch Management: aggiornare regolarmente VMware ESXi e gli strumenti associati per chiudere le vulnerabilità note.
• Isolamento: limitare le funzionalità di condivisione tra VM e host, come clipboard e cartelle condivise.
• Monitoraggio: implementare soluzioni di sicurezza avanzate per rilevare attività sospette sia sulle VM che sull’host.
• Access Control: restringere i privilegi amministrativi e applicare l’autenticazione a più fattori per l’accesso agli hypervisor.

Conclusione

Che sia un inganno o meno, questo presunto exploit zero-day mette in luce una realtà inconfutabile: gli attori delle minacce stanno puntando sempre più aggressivamente alle infrastrutture virtualizzate.

La sicurezza non è un’opzione, ma una necessità. Mantenere i sistemi aggiornati e implementare misure di protezione robuste è l’unica difesa contro un panorama di minacce in continua evoluzione.

L'articolo Exploit Zeroday per VMware ESXi in vendita sul Dark Web per 150.000 dollari proviene da il blog della sicurezza informatica.

#History #China #PersianEmpire #TurkicEmpire #MongolEmpire #RussianEmpire #SilkRoute #Eurasia #Transoxiana #FerganaValley #Uzbekistan #Tajikistan #Turkmenistan #Kazakhstan #Kyrgyzstan #Islam #MilitantIslamism #Jihad #CentralAsia #URSS #SovietUnion

from: Jihad : the rise of militant Islam in Central Asia
by: Ahmed Rashid

2 Conquerors and Saints: The Past as Present

The ethnic, political, and religious factions now vying for control in Central Asia have a history almost as old as the Central Asian civilizations themselves. Since around 500 B.C., when Darius I added the region known as Transoxiana (present-day Uzbekistan and Tajikistan) to the Persian Empire, to the 1920s, when Stalin forcefully divided the region into the five socialist republics that correspond to the current independent republics, Central Asia has been a center for war and empire, art and culture, religion and commerce.
Much of the reason for Central Asia's rich history is geographical: its huge landmass lies at the heart of the Eurasian continent. In ancient times it was considered the center of the world, linking China with Europe by means of the famous Silk Route. In reality this consisted of several routes, forged to allow merchants to carry goods by camel caravan across the two continents. But the travelers transported more than silk or spices; they also spread new technologies—such as papermaking, gunpowder, and silk weaving— new ideas, and new religions. The religion of the ancient Greeks, Buddhism, Judaism, Zoroastrianism, Nestorian Christianity, Hinduism, Manichaeanism, and most of the major ideas of Islam have at one time or another found a home in Central Asia. It is the prevalence of the various ideas on Islam, in particular, and how they have been received by the various rulers of the Central Asian landmass, that are essential to an understanding of the conflicts that threaten the region today.

The Importance of Geography

Central Asia's greatest strength in the past— and its greatest problem today— is that it is landlocked, bordering Iran and Afghanistan to the south, China to the east, and Russia to the north and west. The vast Central Asian steppe is bounded by the Caspian Sea in the west, the Hindu Kush and the Pamir Mountain ranges in the south, and the Tian Shan Mountains in the -est along the border with China. There are no clear geographical boundaries in the. north, where the Kazakh steppe merges into Siberia.
Central Asia was once known as "the land between the two rivers'' for the two major rivers, the Amu Darya (Oxus) and the Syr Darya (Jaxartes), that bounded much of its territory before emptying into the Aral Sea. These two rivers have created formidable geographical, cultural, and political boundaries that separated Central Asia from the rest of the world even as the Silk Route connected it.
The Amu Darya, for example, divided the nomadic Turkic and Mongol empires in Central Asia from the Persian Empire to the south, and helped act as a buffer— along with an independent Afghanistan— between the British Empire in India and tsarist Russia. Recently it has marked the border between Taliban-ruled Afghanistan and Central Asia.
The Syr Darya has protected Central Asian kingdoms from periodic invasions from Mongolia, Siberia, and the Gobi Desert. Rivers are not the only natural boundaries.
Central Asia lies at the crossroads of the world's highest mountain ranges: the Pamir Mountains, which cover 93 percent of today's Tajikistan; the Tian Shan Mountains, stretching to the east and north of the Pamirs; the Himalayas to the southeast; and the Hindu Kush to the south.
The legendary traveler Marco Polo crossed the Pamirs in 1273 on his way to China, dubbing the range the Roof of the World. "Ascending mountain after mountain, you at length arrive at a point, where you might suppose the surrounding summits to be the highest lands in the world. ... So great is the height of the mountains, that no birds are to be seen near their summits. Here there live a tribe of savage, ill disposed and idolatrous people, who subsist upon the animals they can destroy and clothe themselves with the skins," wrote Polo in his memoirs.
In the center of this vast, magnificent landscape of mountains and steppe are two of the largest deserts in the world.
In the south, covering much of Turkmenistan, is the Kara-Kum (black sands) Desert: more than 135,000 square miles where rain falls approximately once a decade.
To the north, in Uzbekistan, lies the Kyzyl Kum (red sands) Desert.
But between these bleak wastes lush, well-irrigated valleys provide oases around which settlements and cities have grown, each oasis a self-contained economic community whose citizens traded with the local nomads and caravans that passed through. The harsh, sparsely populated landscape made Central Asia ripe for conquest but difficult to rule: empires rose and fell periodically throughout its history.
The geographical face of Central Asia remained largely untouched until the late nineteenth and twentieth centuries, when the region became part of the Russian Empire and then the Soviet Union. The Russians and later the Soviets changed the landscape, building massive irrigation networks flowing from huge reservoirs to support cotton agriculture between the Amu and Syr Darya rivers. Although in the process they created irretrievable environmental damage and pollution that have eventually resulted in acute water shortages, the drying up of lakes and rivers, and further desertification, the water routes were for many years essential sources of agriculture and food. Today those irrigation networks lie broken, hostage to the political battles that divide the region.
Central Asia currently comprises five independent republics: Kazakhstan, Uzbekistan, Turkmenistan, Kyrgyzstan, and Tajikistan, whose fiercely disputed boundaries were drawn by Stalin as part of his divide-and-rule campaign. Its landmass of 1,542,200 square miles hosts a population of just 52 million people, representing more than one hundred ethnic groups, from the predominant Uzbeks, Kazakhs, and Tajiks to Germans, Koreans, and Tibetans. The largest ethnic group is the Uzbeks, who make up 72 percent of Uzbekistan's 22 million people as well as substantial minorities in all the other Central Asian republics. Before the breakup of the Soyiet Union, there were also some 10 million Russians, comprising one-fifth of the population, many the result of forced relocation by Stalin, as another means of weakening the power of the region's ethnic groups. A large number of these Russians have migrated to Russia since 1991.
But the heart of Central Asia has always been the Fergana Valley. Just two hundred miles long and seventy miles across at its widest point, the fertile valley has for centuries been the home for the largest concentration of people. Today it has 10 million inhabitants, 20 percent of the total population of Central Asia.
The emperor Babur, who conquered Afghanistan and founded the Mogul Empire in India in the fifteenth century, was born in the Fergana Valley, describing it in his memoirs as the closest place to Paradise on earth. From his splendid palaces in Delhi, Babur would recall the 140 varieties of grapes and watermelons produced in Fergana. Valley horses were prized as cavalry mounts by nomadic tribes and empire builders as far away as China.
More than crops and livestock flourished in the Fergana Valley. Fergana has also traditionally been the center of Central Asia's political and cultural Islam, producing saints, scholars, mystics, and warriors whose knowledge and learning spread across the Muslim world.
The bordering city of Osh, today the second-largest city in Kyrgyzstan, was a seat of Islamic learning in the tenth century. Legend has it that the large mountain in the center of the town was blessed by King Solomon; it still bears the name Takht-i-Sulaiman (Seat of Solomon) and was long a site of Muslim pilgrimage. To the west lie the ancient Muslim capitals of Bukhara and Samarkand. The 360 mosques and 113 madrassahs (Islamic religious schools) of medieval Bukhara produced scholars who spread their faith throughout Russia, China, South Asia, and the Middle East. In the words of a medieval proverb: "The sun does not shine on Bukhara, it is Bukhara that shines on the sun." Even after Bukhara became a Russian protectorate in 1868 there were still 100 madrassahs in Bukhara, with some 10,000 students.

History of Conquest

The history of Central Asia is a tale of conquest, of Mongol "hordes" and Arab holy warriors who swept across its steppes and crossed its mountains and, for a time, enfolded it within the largest empires in the world. Alexander, Tamerlane, Genghis Khan: at one time each of these conquerors added the territories of Central Asia to his vast empire, founding dynasties that survived for centuries— until the next invader arrived.
Early Central Asian history is dominated by the rivalry between the Persians to the south and the Turkic tribes to the north, who vied for control of the rich oasis cities. The Persian Empire under Darius I added Transoxiana to its territory around 500 B.C. but the Persians were ousted for a time by Turkic nomadic invasions from Siberia and Mongolia. These tribes had originally (beginning in about 1000 B.C.) inhabited the Alatau Mountains in eastern Central Asia. (The Chinese began using the word Tur or Turkic to identify all the nomadic tribes who posed a threat to their empire— the ancient origins of the word Turkistan [home of the Turks], used even today to identify Central Asia.) The resurgent Persians next fell victim to Alexander the Great, who conquered Bactria and Sogdiana (ancient Uzbekistan, Tajikistan, and Afghanistan) between 329 and 327 B.C., founding the modern-day city of Khujand. Alexander consolidated his control by urging his men to marry local women; he himself married a Sogdian princess, Roxana. Alexander's Greco-Sogdian heirs created the Bactrian Empire, which governed a large part of Central Asia and Afghanistan between 300 and 140 B.C. The western region of Central Asia (presentday Turkmenistan) was ruled by the Parthians, a tribal dynasty based on the Saka tribes, whose empire lasted until A.D. 226, when they were defeated by the Persian Sassanids. Meanwhile, the north of Central Asia was invaded in the last century B.C. by successive waves of Sakas, who in time were driven out by another tribal group of nomads from the Gobi Desert: the Hsiung-nu, the forefathers of the Mongols. The Hsiung-nu had spread west after defeating the Uighurs, another tribal confederation who at that time ruled present-day Xinjiang Province and western China. Continuing their westward march across Central Asia, the Huns, as they were now called, reached the Volga River by a.d. 400. Their empire— the first nomadic Mongol empire— now stretched from Korea to the Volga.
In the fifth century the Huns invaded Europe under their chief Attila and marched on Rome. As the Huns moved westwards the vacuum in eastern Central Asia was once again filled by invading Turkic tribes, who continued their incursions for several centuries. These nomadic invasions from Mongolia and western China have left behind few traces of their empires or culture, and little is known about the political system they erected to rule their vast landmass. Invariably, they would arrive to conquer and then move on eastwards whilst other tribes arrived to take their place.
One nomadic empire did leave some impressive traces: the Kushan Empire, which dates from the first and second centuries A.D. and also included northern India, Iran, and present-day Xinjiang Province in China. In the second century the great Kushan king Kanishka became a patron of the Mahayana school of Buddhism, which was the first to humanize the figure of Buddha. (Previously Buddha had been depicted only by symbols, such as the prayer wheel.) Massive and beautiful stylized Kushan Buddha statues have been unearthed in archaeological digs in the twentieth century in Afghanistan and Tajikistan. It is also noteworthy that in keeping with the religious tolerance that has always characterized Central Asia, the Kushans allowed Zoroastrianism and Hinduism to flourish alongside Buddhism.
For the first several centuries A.D., then, various groups contended over Central Asia: Huns, Sassanians, Turks, and Chinese, who invaded the Fergana Valley. But the next important series of incursions began around 650, when the Arabs came, bringing with them the new faith of Islam. During the next hundred years they sent invading forces into Transoxiana, capturing Bukhara and Samarkand. In 751 an Arab army defeated a Chinese army at Talas, in present-day Kyrgyzstan, decisively ending Chinese ambitions and establishing Islam in Central Asia, although the Arabs themselves did not remain to found substantial kingdoms in the region.
Independent Muslim kingdoms sprang up in the oasis cities. The most significant of these was the empire of the Persian Samanids (874-999), who made their capital at Bukhara. With a well-organized bureaucracy and army the Samanids regulated and expanded the Silk Route, spreading the Persian language and making Bukhara a trade, transport, and cultural center of the Islamic world. Physicians such as Ibn Sina, mathematicians like Al Biruni, and poets such as Firdausi ensured that the Samanid court would leave an indelible mark on the development of the Persian language and culture, an importance that would not be eroded in Central Asia for centuries.
The Samanid Empire came to an end with the arrival of a new wave of Turkic tribes. The Ghaznavids (based in Ghazni, Afghanistan) took over Khurasand, the Qarakhanids captured Bukhara, and later the Seljuks arrived to defeat them and conquer Central Asia and Turkey.
By 1055 the Seljuk chief Turhril was standing outside the gates of Baghdad. For the next two hundred years the Seljuks ruled the area from the Pamir Mountains and the borders of China to Iraq, uniting Central Asia with the Persian and Arab worlds for the first time under Turkic hegemony.
The Mongol hordes (ordas) were the next to sweep through the region. In 1218 the Seljuks had executed an envoy of the Mongol ruler Genghis Khan and murdered 450 merchants who had been trading with the Mongols. The infuriated Mongols set out to conquer the Seljuks, and historians have subsequently blamed Seljuk high-handedness for the Mongol onslaught that followed. Under Genghis Khan the Mongols captured Bukhara in 1220, killing thirty thousand people. Standing before a pile of heads in Bukhara, Genghis Khan declared, "You ask who I am, who speaks this to you. Know, then, that I am the scourge of God. If you had not sinned God would not have sent me hither to punish you." The Mongols continued eastwards, adding Russia and parts of Eastern Europe to their empire. Then, having conquered this vast area, they settled down to exploit it. They developed the Silk Route, which had broken down during the incessant invasions, building resthouses along the way and instituting a postal service. Under the Mongols it was possible for caravans to travel in safety from Istanbul to present-day Beijing. For the first time since the conquests of Alexander the Great, Europe was linked with Asia. After the death of Genghis Khan, Central Asia was ruled by his son Chagatai, whose descendants divided the region into two khanates: Transoxiana in the west and Turkistan in the east.
The last great explosion out of Central Asia was to leave the most significant cultural influence in the region. Timur (Tamerlane), who did not begin his conquests until he was forty years old, created the first indigenous empire in Central Asia. Timur was a Barlas Turk who had been born near Samarkand, and he made the city his capital in 1369. After he had conquered Central Asia, he added India, Persia, Arabia, and parts of Russia to his empire. Samarkand was already one of the largest cities in the world, with a population of 150,000, and under Timur it became one of the architectural marvels of the world as well, for Timur brought in artisans and architects from all the conquered regions. By now, after almost four hundred years of Turkic rule, the region had become established as the center for Turkic influence in Central Asia and of resistance to Persian cultural and political domination. Timur even replaced Persian with the Jagatai dialect of Turkish as the court language. The Shaybani Uzbeks, who traced their genealogy back to Uzbek Khan, a grandson of Genghis Khan, created the last of the great nomadic empires in Central Asia. In 1500 they defeated the Timurids (descendants of Timur) and set up their capital in Bukhara. Under Shaybani rule Turkic (Uzbek) language and literature flourished. The great Uzbek poet Mir Alisher Navai (1441-1501) created the first Turkic script, which replaced Persian.
After the sixteenth century, weakened by the decline of the Silk Route as sea routes opened linking Europe to Africa and India, the Shaybani Empire began to erode. Large empires and strong rulers were no longer needed to ensure the safety of the Silk Route, whilst the dramatic loss of income from the traffic in trade meant that rulers were no longer capable of keeping large standing armies and expanding their kingdoms. In addition, the conservative ulema (Islamic scholars, who had enormous influence over daily life) banned innovations in education and science, further marginalizing Central Asia. The Shaybani Empire gradually degenerated into a collection of small, squabbling, city-based fiefdoms. In the seventeenth and eighteenth centuries these emerged as three separate but weak khanates— Khiva, Kokand, and Bukhara — in which the khans (rulers) later established dynasties: the Kungrad in Khiva, the Mangyt in Bukhara, and the Ming in Kokand. The impoverished khans survived by the slave trade and the imposition of exorbitant taxes on the population.
It was inevitable that the tsars, seeking to expand their Russian empire, should eventually look to Central Asia. By 1650 the Russians had annexed Siberia and reached the Pacific Ocean. In the next two centuries Russia moved to conquer the Caucasus and Central Asia. Peter the Great invaded the Kazakh steppe in 1715 and began building Russian forts, the first at Omsk in 1716. By 1750 all the Kazakh khans, who saw the Russians as their best security against the marauding Uzbeks, had signed treaties with Moscow. The Russian expansion was fueled by the empire's vast military bureaucratic apparatus, which had subdued the Caucasus and was now without a role even as the tsars eyed the potential resources of Central Asia: minerals and cotton. When the American Civil War (1861-65) cut off vital cotton supplies to Russian factories, the urge to conquer Central Asia was irresistible. At the same time Russia was watching with apprehension the steady expansion of the British Empire in India from Bengal towards Afghanistan. This was the era of the Great Game —the vast power struggle between Russia and Great Britain for control of Asia that used Central Asia and Afghanistan as pawns in their efforts to outmaneuver each other, building influence. At the end of the nineteenth century, Afghanistan was established as buffer between the two empires of Russia and Britain.
In the brief period between and 1876, Russian armies captured Tashkent and much of modern-day Uzbekistan, Turkmenistan, and Tajikistan, although the border between Afghanistan and Tajikistan remained open, and tribal leaders and bandits frequently took refuge in one another's territories— a tradition that is being revived today amongst the Islamic extremists of Central Asia and the Taliban. The Russians established the province of Turkestan, whose capital was Tashkent and which was ruled by a governor general appointed by Moscow. They left the khanates of Bukhara and Khiva as autonomous political units, dependent on Russia. Whilst the settled regions were easily conquered, the nomadic tribes continued to resist for several decades, and periodic revolts broke out in the Fergana Valley. In 1885 Russian troops crushed a revolt in the valley towns of Osh, Margilan, and Andijan led by a Sun Dervish, Khan Tura. The most serious threat to Russian rule arose in May 1898, when twenty-two Russian soldiers were killed in Andijan by Islamic rebels. The revolt spread to other towns before Russian troops arrived and brutally quashed the rebellion.
As a way of controlling the region, the Russians began resettling Central Asia with ethnic Russians and Cossacks and turning the rest of the land over to cotton production; in 1891 alone more than a million Russian and Cossack farmers were settled on Kazakh lands adjoining Siberia. The Russians developed large cotton plantations by means of vast irrigation projects. New industries manned by Russian workers were also introduced, and Central Asia was linked with Russia through a railway network that for the first time brought the Russian Empire up to the borders of Afghanistan, Iran, China, and British India. Tsarist rule ended in a holocaust of suffering for the peoples of Central Asia. In 1916, with the region facing a massive famine, a revolt broke out after Moscow tried to draft Central Asians to fight for the tsarist army in World War I. The government also increased taxes and forcefully appropriated wheat from the region. The Kazakh and Kyrgyz nomads, who saw no reason why they should fight in Europe for the tsar, were the first to rebel, and the revolt soon spread across Central Asia. But as with previous rebellions, tsarist troops brutally suppressed it, killing tens of thousands of people in the process. In the Tian Shan Mountains a Cossack army carried out reprisals against the Kyrgyz, slaughtering flocks, burning down villages, and forcing huge numbers of Kyrgyz to flee across the border into Chinese Turkestan. Even today the Kyrgyz identify the 1916-17 repression as the worst period in their history, in which as much as a quarter of the Kyrgyz population was slaughtered or forced to flee.
But when the Russian Revolution broke out in 1917, Central Asia had no desire to become part of the new Soviet Union. Central Asians resisted Sovietization more fiercely than most other regions, with the Muslim Basmachis ("bandits"), as the Bolsheviks termed them, leading the struggle. By 1929, however, when the Basmachis were finally defeated, the map of Central Asia had been forcibly redrawn into five soviet republics, and the centuries of wars for control of the region seemed to have come to an end. That too was to change.

Islam in Central Asia

The people of Central Asia are predominantly Sunni Muslims of the Hannafi sect. Shia Muslims make up a small minority in some of the great trading cities, like Bukhara and Samarkand, as well as in Tajikistan, where the Ismaeli sect, whose spiritual leader is the Aga Khan, can be found in the Gorno-Badakhshan region of the Pamir Mountains. (The Ismaelis also occupy adjacent areas south of the Pamirs in modern-day Afghanistan and Pakistan.) Since 1991 Central Asia has also seen a meteoric rise of militant Islamic sects, each with its own brand of orthodoxy and sharia (Islamic law), and this phenomenon has obscured one of the most important aspects of traditional Central Asian Islam— its tolerance. Characterized by major advances in philosophy, ethics, legal codes, and scientific research under largely liberal political rulers, and spread through a vast region by Arabs, Mongols, and Turks, the Islam of Central Asia took many forms. Early Central Asian Muslims coexisted in relative peace not only with one another but also with the Jews, Buddhists, Hindus, Zoroastrians, and Nestorian Christians who had established pockets of civilization in the region.
Perhaps the most important Islamic movement to arise in Central Asia was Sufism: a form of Islamic mysticism that preached direct communion with God and tolerance towards all other forms of worship. Sufism originated in Central Asia and Persia soon after the Arab invasions. The name derives from the rough woolen cloaks worn by the early Sufi brothers (sufi means "wool" in Arabic), who inherited some of the symbols of pre-Islamic nomadic mystics. The Sufis encouraged popular participation in Islam through their opposition to authority, intellectualism, and the mullahs (clergy).
Sufis urged all Muslims to experience God directly, without the intervention of priests or scholars— an important factor in the spread of Islam amongst Central Asia's sparse, nomadic population. The Sufi orders, or tariqas ("the way"), are best defined as "brotherhood[s] of Sufis who have a common pedigree of spiritual masters, ... in which elders initiate disciples and grant them formal permission to continue a common school of thought and practice."
Sufis invoke God through the zikr, vocal (or sometimes silent) prayers, Dervishes—another Sufi sect— perfected into an art form. Many of the tariqas evolved into secret societies with their own codes of behavior and prayer. The tariqas played a major role in reviving Islam in the thirteenth century after the Mongol destruction, and they continued to sustain Islamic faith and practice centuries later in the Soviet era, when Islam was driven underground by the authorities.
The most important tariqas are Naqshbandiyya, Qadiriyya, Yasawiyya, and Kubrawiyya.
The Qadiriyya, probably the oldest extant order, was founded by Abd al-Qadir. A minor tariqa in Baghdad in the twelfth century, the Qadiriyya moved to Central Asia, becoming particularly strong during the thirteenth century, and then spread to Afghanistan and India. Central Asian Qadiris were centered mainly in the cities of Transoxiana.
Kubra, the founder of Kubrawiyya, was martyred in the Mongol massacres in Central Asia in 1221. The Kubrawiyya order took strong hold in Khorezm (present-day Uzbekistan).
The Yasawiyya order was founded by the poet and mystic Ahmed Yasawi, who died in 1166 and is buried in southern Kazakhstan. Their main influence was in the Fergana Valley and amongst the southern Turkic tribes.
Muhammad ibn Baha ad-Din Naqshband (1317-89), the founder of the Naqshbandiyya tariqa, is still the most revered mystic and saint in Central Asia and Afghanistan. Even today his tomb outside Bukhara is the most important place of pilgrimage in Central Asia.
Unlike other Sufi sects the Naqshbandis, though mystics, believe in active missionary work and political activism; many led revolts against the tsar and the Communists. The leader of the 1898 revolt in Andijan was a Naqshbandi.
The Sufi orders spread their message to China via the Fergana Valley and to India and the Arab world through Afghanistan. Sufi spiritual leaders, especially the Naqshbandis, vied with the traditional ulema, who tended to be fiercely opposed to them, for influence amongst local rulers. And influence they had: the rulers of the Turkic dynasties would seek validation for their rule from the leading Sufi saints. The relationship of ruler and mystic, in the words of Islamic scholar Bruce Lawrence, tended to be "fraught with tension," for Sufi mystics saw themselves as eternal rulers, more powerful than the most autocratic temporal ruler.
In the eighteenth and nineteenth centuries the leading Naqshbandi families (leadership in the sect was frequently passed down from father to son) served as political advisers and spiritual guides to many of the khans who governed the increasingly fragmented Central Asia. Some of these Sufi families became rulers themselves. Many became rich and corrupt in the process, one of the reasons for the Jadid reforms in the nineteenth century. In the twentieth century Naqshbandi political activism played a major role in influencing militant Islamic movements in Afghanistan, Chechnya, and most recently the Fergana Valley.
But beyond the oasis towns and valleys, the spread of Islam on the Central Asian steppe was slow and sporadic. Islam did not come to the Kazakh steppe until the seventeenth century, and even then the predominant Sufism incorporated ancient shamanistic traditions of the nomadic culture, such as the veneration of animals and nature. Although Zoroastrianism, the religion of the Persian kings, was discouraged by the Islamic invaders, elements continued to thrive on the steppe, taking on an Islamic coloring, as well as in Iran and India.
Thus, early on in the history of Islam two branches of the religion emerged in Central Asia: the traditional, conservative, scholarly Islam of the settled areas and the oasis cultures that was dominated by local rulers and the ulema, and the much looser, less restrictive Islam of the nomads that still favored Sufism and pre-Islamic traditions.
As historian Fernand Braudel noted, "Islam is essentially an urban religion. So Islam consists of a few densely populated regions, separated by vast stretches of empty space."
Even today the nomadic Kazakh, Kyrgyz, and Turkmen tribes are far less Islamicized— and much less susceptible to Islamic radicalism— than their ethnic counterparts in the settled oasis areas.
The Arabs who brought Islam Central were soon displaced by Persian and Turkic tribes, each of whom adopted Islam. Of the two, for many centuries Persian was the dominant influence, lasting until the Safavid dynasty came to power in Persia around 1500. The Safavids changed Persia's state religion from Sunni to Shia Islam— step that considerably reduced Persian influence in Central Asia. In addition, Persia became preoccupied with combating the challenge of the Ottoman power in Turkey on its western borders, and Persian leaders therefore paid less attention to Central Asia.
Nevertheless, the earlier Persian empires had left an enormous legacy in Central Asia in the arts, language, poetry, and sciences. Not until the Shaybani Uzbeks, who aggressively made their empire more Turkic, did Persian control and influence in Central Asia wane. The only vestiges of Persian ethnicity remaining in Central Asia today are the Tajiks, who speak Persian and are proud of their Persian culture and heritage. But the tension between Persian and Turkic culture continues, both in the competition for influence in Central Asia between Iran and Turkey and in the ongoing disputes between Tajikistan and Turkic Uzbekistan over Tajiks in Uzbekistan and Uzbeks in Tajikistan, and over borders. Many Tajiks assert that the cities of Bukhara and Samarkand, which Stalin handed over to Uzbekistan, should rightfully belong to Tajikistan. For they are Tajik cultural and historical centers.
Central Asian Islam became less dynamic under the tsars, not because Central Asia's new Russian masters tried to interfere with the Islamic clergy, law, or practices but because they wooed them with modern advances: industry, education, technology. The Russians also supported the ultra-conservative ulema, whilst at the same time settling millions of ethnic Russians in the region to try and make good Russians out of Central Asians.
But the new colonial masters were only partly successful. The introduction of Western ideas and sciences paved the way for a modernist reinterpretation of Islam by the Jadids, a reform sect of Tartars whose inspiration was Ismail Bay Gasprinski (1851-1914), founder of the influential Tartar-language newspaper Tercuman in 1883. Based on Usul-i-jadid (new educational principles), Jadidism was one of the many intellectual Islamic reform movements that swept the colonized Muslim world in the late nineteenth century. All sought in varying degrees to reconcile the problems associated with exposure to Western modernism with Muslim religion and culture, particularly for Muslims who lived in colonies ruled by non-Muslims. These movements, in India, Egypt, Turkey, and Afghanistan, were primarily anticolonial and pan-Islamic, but they also advocated religious reform, modern education, and an understanding of the sciences.
Jadid teachers and scholars in Tashkent and the Fergana Valley founded new schools with modern curricula: math, the sciences, theater, poetry, and Russian and Turkic literature, as well as traditional Islamic subjects. They staged plays and operas and published a number of newspapers that helped revive the Turkic languages and develop a modern Turkic culture. The literature they generated analyzed local history, culture, and politics in a modern way for the first time. This embrace of modernism brought the Jadids into conflict not just with the Russians but also with the ulema, whom they considered reactionary and obscurantist. For their part the Russians had encouraged the ulema to continue their practice of a conservative interpretation of the sharia as a way of countering anti-Russian Islamic and nationalist movements.
For all their success the Jadids remained an intellectual rather than a mass movement, divided over ideology and politics. When the 1917 revolution came, some Jadids backed the Bolsheviks because they sought to throw over the tsarist empire and saw in the Communist ideology a chance of greater freedom, the adoption of modern ideas, and education whilst others resisted them because of their lack of respect for Islam. The Jadids who joined the Communist Party after 1917 played a critical role in helping build indigenous Communist parties in Central Asia, but it did them little good. The Soviets termed the Jadids bourgeois reformers and banned their literature. When Stalin came to power he began a steady purge of Jadids; the last Jadids were eliminated in the massacres of 1937. During the brief cultural flowering after independence in 1991, Uzbek intellectuals attempted to republish and popularize Jadid writings, but they were quickly suppressed. Uzbek President Islam Karimov discourages all attempts to renew interest in Jadidism, although the movement has immense relevance in today's discussion of the way Islam, nationalism, and democracy can coexist in Central Asia.

Sembra che Paolo Zampolli abbia ricevuto la nomina direttamente da Trump, ma nessuna istituzione italiana ne sa niente, e non si sa neanche cosa viene a fare

Questo “inviato speciale” degli Stati Uniti in Italia è un caso strano: ilpost.it/2025/02/27/zampolli-…

Q4 2024 saw fewer published exploits for Windows and Linux compared to the first three quarters. Although the number of registered vulnerabilities continued to rise, the total number of Proof of Concept (PoC) instances decreased compared to 2023. Among notable techniques in Q4, attackers leveraged undocumented RPC interfaces and targeted the Windows authentication mechanism.

Statistics on registered vulnerabilities

This section contains statistics on registered vulnerabilities. Data is sourced from the CVE portal: cve.org.

Total number of registered vulnerabilities and number of critical ones, Q4 2023 vs. Q4 2024 (download)

In Q4 2024, the trend of documenting software flaws that create vulnerabilities continued to gain momentum. The share of vulnerabilities labeled as critical was slightly higher than in Q4 2023. In general, more and more vulnerabilities are being assigned CVE identifiers through Bug Bounty programs and general software security research. Let’s also examine the number of public exploits.

Number of vulnerabilities, the share of critical ones, and those for which exploits exist, 2019–2024 (download)

As shown in the graph, the number of published exploits for vulnerabilities ended up at around 6%, which is 4 p.p. lower than in 2023. This decline may be due to vendors’ requirements not to disclose information about exploitation methods for discovered vulnerabilities and corresponding exploits—we believe researchers are increasingly encountering such requests. Thus, the main trends of 2024 were the growth in the number of registered vulnerabilities, the decrease in the number of PoCs, and the share of critical vulnerabilities remaining at 2023 levels.

Let’s examine the most popular types of vulnerabilities exploited in real attacks in 2023 and 2024.

Number of vulnerabilities by the most prevalent CWEs used in attacks on users in 2023 (download)

Number of vulnerabilities by the most prevalent CWEs used in attacks on users in 2024 (download)

As in 2023, the top three in the list are the following software issues:

• CWE-78—Improper or insufficient neutralization of command-line inputs (OS Command Injection);
• CWE-20—Improper input filtering and validation. This includes most vulnerabilities that allow attackers to take control of applications;
• CWE-787—Memory corruption vulnerabilities (Out-of-bounds Write).

These types of flaws have been known for a long time and remain actively exploited by attackers. The number of associated vulnerabilities has remained at the same level over the past two years.

Next are software flaws that are less common but no less critical. In 2024, some of the most popular CWEs included the following:

• CWE-416—Improper use of dynamic memory resources (Use After Free);
• CWE-22—Improper handling of file system path formats (Path Traversal);
• CWE-94—Improper control of code generation (Code Injection);
• CWE-502—Deserialization of untrusted data;
• CWE-843—Improper handling of data types (Type Confusion);
• CWE-79—Improper neutralization of input during web page generation (Cross-site Scripting);
• CWE-122—Heap-based Buffer Overflow.

Compared to 2023, CWE-119—associated with performing operations outside buffer bounds—was the only one to drop out of the TOP 10. However, it was replaced by a similar type, CWE-122, associated with buffer overflow—so memory corruption vulnerabilities remained on the list. This confirms that the landscape of software flaws leading to exploitable vulnerabilities has remained unchanged over the past two years.

Exploitation statistics

This section contains statistics on the use of exploits in Q4 2024. The data is based on open sources and our telemetry.

Windows and Linux vulnerability exploitation

Among the exploits detected by Kaspersky solutions for Windows, the most popular throughout 2024, including Q4, were vulnerabilities in Microsoft Office applications:

• CVE-2018-0802—Remote code execution vulnerability in the Equation Editor component;
• CVE-2017-11882—Another remote code execution vulnerability also affecting the Equation Editor;
• CVE-2017-0199—A vulnerability in Microsoft Office and WordPad that allows an attacker to take control of the system.

Following these, the most common vulnerabilities in Q4 included those in WinRAR and various Windows subsystems:

• CVE-2023-38831—A vulnerability in WinRAR related to improper handling of objects contained in an archive;
• CVE-2024-38100—A vulnerability known as Leaked Wallpaper, which allows an attacker to obtain a NetNTLM hash used in user authentication protocols;
• CVE-2024-21447—A vulnerability in improper link handling within the file system. It resides in the UserManager service and, if exploited, allows privilege escalation;
• CVE-2024-28916—A vulnerability similar to CVE-2024-21447 in the Xbox Gaming Service.

Each of the above vulnerabilities can be used to compromise the system and gain the highest possible privileges, so we recommend regularly updating the corresponding software.

Dynamics of the number of Windows users encountering exploits, Q1 2023—Q4 2024. The number of users who encountered exploits in Q1 2023 is taken as 100% (download)

Kaspersky products for the Linux operating system triggered on exploits for the following vulnerabilities:

• CVE-2024-1086—Improper resource handling vulnerability in the nf_tables component of the kernel. Exploiting it allows privilege escalation in the system;
• CVE-2024-0582—A memory leak vulnerability in the io_uring component, which can be used to escalate privileges on the vulnerable system;
• CVE-2022-0847—A widespread vulnerability known as Dirty Pipe, allowing privilege escalation and control over running applications;
• CVE-2022-34918—Improper handling of kernel objects related to the netfilter component. Exploiting the vulnerability allows privilege escalation in the system.

Dynamics of the number of Linux users encountering exploits, Q1 2023—Q4 2024. The number of users who encountered exploits in Q1 2023 is taken as 100% (download)

For the Linux operating system, it is critically important to keep kernel components up to date, as well as any software used.

Most common published exploits

The distribution of published exploits for vulnerabilities by platform, Q3 2024 (download)

The distribution of published exploits for vulnerabilities by platform, Q4 2024 (download)

In Q4 2024, operating systems remained the most popular category of software in terms of the number of publicly available working exploits. At the same time, the share of exploits targeting Microsoft Office tools decreased, and no exploits for SharePoint vulnerabilities were published.

The distribution of published exploits for vulnerabilities by platform, 2024 (download)

Data for 2024 shows that the overall trend of attacks on operating systems continues to grow, increasingly displacing other categories of software. Researchers and attackers are finding new operating system components that still contain potentially exploitable vulnerabilities.

Vulnerability exploitation in APT attacks

We analyzed which vulnerabilities were most commonly used in APT attacks in Q4 2024. The ranking below is based on our telemetry, research, and open sources.

TOP 10 vulnerabilities exploited in APT attacks, Q4 2024 (download)

The list of vulnerabilities commonly used in APT attacks shows changes in the software exploited by attackers. Microsoft Office applications, whose vulnerabilities were not used as much in 2023, have returned to the top ten most frequently exploited types of software. In addition, vulnerabilities for PAN-OS appeared on the list for the first time. Moreover, remote access systems and corporate data processing solutions once again appeared among the vulnerable applications. These statistics highlight the issue of delayed patch installation, which attackers quickly exploit. We strongly recommend promptly updating the software listed.

Interesting vulnerabilities

This section contains the most interesting vulnerabilities published in Q4 2024.

CVE-2024-43572—Remote code execution vulnerability in Microsoft Management Console

The Windows operating system has many useful features and mechanisms that allow users to customize it for their convenience. One such feature is the Microsoft Management Console (MMC)—an interface for running applications that contain strictly structured information. These applications are called “snap-ins.” The operating system provides a number of built-in tools for working with MMC, such as
services.msc—an interface for managing services. This is an XML file that interacts with individual COM objects and allows you to set parameters for them in the management console.
According to Microsoft documentation, .msc files can be used for system administration. Attackers exploited this functionality to run commands on user systems: inside the .msc file, they specified the URI
urn:schemas-microsoft-com:xslt and commands in JavaScript and VBScript. These files were distributed as email attachments.

Header of the main .msc file

CVE-2024-43451—NetNTLM hash disclosure vulnerability

This vulnerability is also related to the functionality of the Windows operating system, specifically to the NTLM authentication mechanism with the SSPI interface, which is automatically launched in all versions of the OS up to and including Windows 10. During the transmission of the NetNTLM hash, an attacker can intercept it or redirect it to another service, resulting in the compromise of the victim’s credentials. In common legitimate Windows scenarios, users frequently need to authenticate using the NTLM protocol, which may attract attackers. In 2024, we observed the active use of files of various formats with the .url extension in attacks: these files contained links to resources that triggered authentication using NTLM mechanisms.

CVE-2024-49039—Elevation of privilege vulnerability in Windows Task Scheduler

Our 2024 reports mainly included vulnerabilities that were used either solely for privilege escalation or for initial system access. However, CVE-2024-49039 stands out because it allows stealthy persistence within the system, privilege escalation, and command execution.

This vulnerability exploits an undocumented RPC endpoint on the server side, which contains interfaces with a misconfigured security descriptor, enabling privilege escalation.

In recent versions of Windows, when a scheduled task is registered, applications can run in AppContainer, which generally limits their privileges. To exploit the vulnerability, an attacker needs to create a scheduled task that, upon execution, calls the undocumented RPC endpoint. The Task Scheduler contains a vulnerable application launch algorithm, and as a result of the RPC call, the application will be relaunched without AppContainer with the privileges of a regular or system user.

Conclusion and advice

The total number of vulnerabilities registered in the Q4 2024 continues to grow compared to 2023, but the number of published exploits decreased. This may be due to the fact that software vendors have not yet released patches because of the traditional lull during the holiday period. Notably, attackers continue to invent new methods of privilege escalation, as seen in the Task Scheduler vulnerability.

To stay safe, it is essential to respond promptly to the evolving threat landscape. Also, make sure that you:

• Ensure round-the-clock monitoring of your infrastructure, paying special attention to the perimeter;
• Maintain a patch management process: promptly apply security fixes. To configure and automate vulnerability and patch management, you can use solutions like Vulnerability Assessment and Patch Management and Kaspersky Vulnerability Data Feed;
• Use reliable solutions that can detect and block malware on corporate devices, and comprehensive tools that include incident response scenarios and up-to-date cyberthreat databases.

securelist.com/vulnerabilities…