Dei bug di sicurezza soni state individuati nella comunicazione di rete tra i servizi cloud di Microsoft Defender for Endpoint (DFE), le quali permettono a malintenzionati, a seguito di una violazione, di eludere l’autenticazione, di manipolare i dati, di rilasciare informazioni sensibili e addirittura di caricare file dannosi all’interno dei pacchetti di indagine.
Una recente analisi condotta da InfoGuard Labs ha dettagliatamente descritto tali vulnerabilità, le quali sottolineano i rischi ancora presenti all’interno dei sistemi EDR (Endpoint Detection and Response), potendo così minare gli sforzi profusi nella gestione degli incidenti.
La principale preoccupazione, come rilevato da InfoGuard Labs, riguarda le richieste inviate dall’agente agli endpoint, ad esempio https://[location-specific-host]/edr/commands/cnc, al fine di eseguire comandi specifici, tra cui isolamento, raccolta di dati forensi o effettuazione di scansioni. La ricerca si basa su precedenti esplorazioni delle superfici di attacco EDR, concentrandosi sull’interazione dell’agente con i backend cloud. Intercettando il traffico utilizzando strumenti come Burp Suite e bypassando il pinning dei certificati tramite patch di memoria in WinDbg, l’analisi ha rivelato come il processo MsSense.exe di DFE gestisce i comandi e il caricamento dei dati.
Il pinning del certificato, una comune misura di sicurezza, è stato aggirato modificando la funzione CRYPT32!CertVerifyCertificateChainPolicy in modo che restituisca sempre un risultato valido, consentendo l’ispezione del testo normale del traffico HTTPS. Patch simili sono state applicate a SenseIR.exe per l’intercettazione completa, inclusi i caricamenti di Azure Blob.
Un utente con privilegi modesti può ottenere facilmente l’ID macchina e l’ID tenant mediante la lettura dei registri, consentendo ad un aggressore di impersonare l’agente e di intercettare le risposte. Ad esempio, uno strumento anti-intrusione come Burp’s Intruder può interrogare continuamente l’endpoint, rubando i comandi disponibili prima che l’agente legittimo li riceva. Una vulnerabilità parallela riguarda gli endpoint /senseir/v1/actions/ per Live Response e Automated Investigations. In questo caso, i token CloudLR vengono ignorati in modo analogo e possono essere ottenuti senza autenticazione utilizzando solo l’ID macchina.
Gli aggressori possono decodificare i payload delle azioni con script personalizzati sfruttando modelli linguistici di grandi dimensioni per la deserializzazione e caricare dati fabbricati negli URI di Azure Blob forniti tramite token SAS, che rimangono validi per mesi. L’accesso non autenticato si estende alle esclusioni della risposta agli incidenti (IR) tramite l’endpoint di registrazione, richiedendo solo l’ID dell’organizzazione dal registro.
Ancora più allarmante è il fatto che l’interrogazione di /edr/commands/cnc senza credenziali produce un dump di configurazione di 8 MB, che include RegistryMonitoringConfiguration, DriverReadWriteAccessProcessList e le regole ASR. Sebbene non siano specifici del tenant, questi dati rivelano una logica di rilevamento preziosa per l’elusione.
Dopo la violazione, gli aggressori possono enumerare i pacchetti di indagine sul file system, leggibili da qualsiasi utente, contenenti programmi autorun, programmi installati e connessioni di rete. Per le indagini in corso, i caricamenti falsificati su questi pacchetti consentono di incorporare file dannosi con nomi innocui, inducendo gli analisti a eseguire l’operazione durante la revisione.
Cattive notizie per i diritti civili digitali. [...] Nella trentennale storia della digitalizzazione del nostro paese spiccano ben quattro storie di successo. Alcune addirittura di livello mondiale. Senza scherzi!
In ordine cronologico:
l’istituzione della firma digitale con valore legale parificato a quella autografa, primo paese al mondo;
la creazione della Posta Elettronica Certificata, che permette di inviare messaggi con valore di raccomandata con ricevuta di ritorno, in maniera istantanea e sostanzialmente gratuita, invece che a botte di sette o più Euri;
l’implementazione del Processo Civile Telematico, che solo chi frequenta da operatore i tribunali può apprezzare in tutto il suo valore;
la realizzazione della SPID, un sistema di rilascio di credenziali con valore nazionale (no, non è un sistema di verifica dell’identità, checché se ne dica, e no, non ha nessuna vulnerabilità particolare).
4 casi di successo della informatizzazione delle PP.AA. che decine di milioni di italiani ormai utilizzano quotidianamente, a cui, solo per diffusione, se ne aggiunge un quinto, la CIE, Carta di Identità Elettronica.
C’è da dire che il “successo” della CIE è stato decretato ope legis come adempimento obbligatorio, supportato in maniera efficacissima dall’abolizione dell’alternativa cartacea, e solo dopo una trentennale ed iterativa gestazione sperimentale, che chi l’ha vissuta ancora ricorda nei propri incubi.
Senza altra volontà oltre quella di essere oggettivi, possiamo ricordare che Firma Digitale, CIE, CNS (Carta Nazionale dei Servizi), TSE (Tessera Sanitaria Elettronica) sono tutti tecnicamente in grado di fornire le funzionalità di identificazione, autenticazione e firma elettronica. La sola CIE possiede tuttavia lo status legale di documento di identità, che consente l’utilizzo come formale accertamento di identità.
Ora, potrebbe sembrare una cosa logica “accorpare” in un solo oggetto, la CIE, tutte le altre funzionalità, accentrando e “semplificando” una situazione che oggi, per quanto funzionante e largamente utilizzata, può apparire inutilmente complessa.
Sarebbe un errore; si tratta di una falsa semplificazione che, come tutte le soluzioni semplici di problemi complessi, è sbagliata. Cerchiamo di capire perché.
Chiunque abbia operato professionalmente nell’informatica sa perfettamente che la centralizzazione di qualsiasi cosa, se non fatta con estrema cura e professionalità e senza badare a spese, porta a vulnerabilità pericolose e potenziali, nuovi e gravi disservizi.
La storia recente ed anche meno, dell’informatica nella pubblica amministrazione ci ha insegnato che il collasso di un intero sistema è cosa non potenziale ma reale, ed anche molto frequente.
Sistemi separati, quando cadono, tirano giù “solo” la loro funzionalità, senza compromettere tutti gli altri servizi. Se poi sono stati realizzati ridondati o federati, come la tanto vituperata ma ben progettata SPID, riescono a mantenere la propria funzionalità almeno in parte.
Cosa succederebbe invece se un ipotetico sistema “tuttologico”, che fornisca firma, credenziali, autenticazione ed identità avesse un problema bloccante? E se, in questi tempi di guerra, questo problema bloccante fosse un atto criminale, oppure addirittura ostile?
Questo lungo antefatto ci è servito solo per arrivare finalmente alla cronaca di oggi.
Nel giro di pochi mesi, si è improvvisamente scoperto che la SPID è un sistema bacato e pericoloso, malgrado che 30 milioni di italiani la utilizzino quotidianamente al posto del più famoso e meno sicuro “1234”, e che sia praticamente gratuita per le casse dello stato.
Si tratta anche qui di una notizia errata. Il rilascio di SPID multiple, quindi di credenziali multiple, non rappresenta di per sé un pericolo, anzi può essere utile per compartimentare le attività di una persona, separando ad esempio il privato ed il lavoro.
Il problema del rilascio di SPID ad impersonatori dipende invece dalle procedure di identificazione, che devono essere efficaci, che sono normate puntualmente e su cui lo Stato, per suo stesso regolamento, deve vigilare.
Contemporaneamente si è “scoperto” che la CIE può essere utilizzata, oltre che come documento di identità, anche come firma elettronica di tipo intermedio, e come credenziale di accesso.
Improvvisamente l’esecutivo, con un inusuale atto di decisionismo tecnologico, annunciato pubblicamente e ripetutamente, ha deciso di dismettere quello che è stato realizzato solo pochi anni fa e funziona, sostituendolo con qualcosa di ancora indefinito, di cui sappiamo solo che si appoggerà alla CIE, tutto da realizzare e far adottare, ricominciando da capo un storia dolorosa, ma che era stata finalmente conclusa.
A Cassandra è venuta in mente la storiella dei frati che fecero pipì sulle mele piccole e brutte del loro albero, perché erano certi che ne sarebbero arrivate altre grandi e bellissime, e che quando queste non arrivarono dovettero mangiarsi quelle piccole e brutte.
Ecco, sembra proprio la storia della SPID, che una campagna di stampa poco informata, se non addirittura strumentale, ha definito “troppo complessa e poco sicura”, raccontando che sarà presto sostituita dalla CIE inattaccabile e potente.
In tutto questo, cosa mai potrebbe andare storto?
Ci sono (purtroppo) altre chiavi di lettura che possono spiegare una vicenda apparentemente insensata sia tecnicamente che amministrativamente, riunirla all’improvvisa ed ineludibile necessità del pornocontrollo di stato, anzi a a livello europeo, e spiegare razionalmente tutto quanto.
Bastano due concetti chiave “centralizzazione dei dati” e “tecnocontrollo dei cittadini” per disegnare un panorama, anzi un vero progetto di controllo sociale, in cui la inspiegabile dimissione della SPID in favore della CIE diventa un elemento logico, razionale e necessario.
Infatti, se quello che si vuole ottenere è centralizzare il più possibile la gestione dei dati e degli accessi dei cittadini, con la conseguente possibilità di monitorare il loro operato, ed aprendo a teoriche ma terrificanti possibilità come quella di revocare completamente qualsiasi autorizzazione ad un individuo, allora sostituire un sistema federato e decentralizzato come la SPID con una gestione centralizzata, e dipendente da un documento emesso dallo Stato, è esattamente quello che serve. [...]
Dato il panorama “digitale” di oggi, di cui fa parte sostanziale l’indifferenza del pubblico, non c’è davvero di che essere ottimisti.
Cassandra Crossing 627/ Dal pornocontrollo al tecnocontrollo
L’identificazione della maggiore età dei fruitori del porno inizia a diventare legge senza che questo abbia creato reazioni significative. La SPID è stata dichiarata defunta dall’esecutivo, per essere sostituita dalla CIE. Sono fatti correlati tra loro? Certamente sono cattive notizie per i diritti civili digitali.
L’identificazione della maggiore età dei fruitori del porno inizia a diventare legge senza che questo abbia creato reazioni significative. La SPID è stata dichiarata defunta dall'esecutivo, per essere sostituita dalla CIE.
@Giornalismo e disordine informativo articolo21.org/2025/10/perugia… Mi domando dove sia quest’umanità il resto dell’anno. Dove siano questi giovani che invocano pace e fraternità, solidarietà, giustizia, tenerezza. E mi rispondo che non è colpa loro ma nostra. Siamo noi, infatti, che non diamo spazio al meglio delle nuove
