What color do you like your microcontroller boards? Blue? Red? Maybe white or black? Sadly, all of those are about to look old hat. Why? Well, as shared by [JLCPCB], this transparent Arduino looks amazing.

The board house produced this marvel using its transparent flexible printed circuit (FPC) material. Basically, the stuff they use for ribbon cables and flex PCBs, just made slightly differently to be see-through instead of vaguely brown.

The circuit in question is a Flexduino, an Arduino clone specifically designed to work on flexible substrates. It looks particularly good on this transparent material, with the LEDs glowing and the white silkscreen for contrast. If you like what you see, you can order your own circuits using this material directly from JLCPCB’s regular old order form.

Most of all, this project reminds us of the 1990s. Back then, you could get all kinds of games consoles and other electronics with transparent housings. There was the beloved PlayStation Crystal, while Nintendo did something similar with the N64 while adding a whole line of tinted color and charcoal versions too. Somehow seeing a bit of the inside of things is just cool. Even if, in some cases, it’s just to avoid smuggling in prisons.

It took decades before you could get custom PCBs quickly and easily. Now, board houses are competing for the enthusiast (consumer?) market, and competition is spurring development of crazy stuff like transparent and even glow in the dark PCBs. What next? We’re thinking edible, ROHS and WEEE be damned. Drop your thoughts in the comments.

Thanks to [George Graves] for the tip!

hackaday.com/2025/07/25/transp…

Le falsificazioni generate dall’intelligenza artificiale hanno ormai varcato la soglia tra realtà e fantasia. Sempre piùcredibili e insidiose, queste contraffazioni video e audio stanno assumendo una pericolosità crescente. Le loro potenzialità di nuocere sono evidenti: dalle campagne diffamatorie a sfondo politico alle imitazioni di personaggi famosi, senza tralasciare le truffe ai danni di imprese e singoli individui, tali tecnologie sono in grado di minare la credibilità delle informazioni che percepiamo sui canali online.

I legislatori danesi hanno compiuto un passo importante introducendo una normativa che si occupa direttamente di questa minaccia in aumento. La recente normativa concede agli individui il diritto di proprietà legale sul proprio volto e sulla propria voce, dichiarando illegale la creazione di deepfake dannosi. Questo provvedimento segna un progresso importante, stabilendo un modello per altri paesi dell’Unione Europea e mettendo in evidenza l’indispensabile esigenza di una strategia legale unificata per contrastare l’utilizzo distorto dell’Intelligenza Artificiale.

Anna Collard, Senior Vice President of Content Strategy ed Evangelist di KnowBe4, ha dichiarato: “I legislatori danesi stanno dando il buon esempio: è urgentemente necessaria una protezione legale contro i deepfake. Restituendo alle persone la proprietà del proprio volto e della propria voce, la Danimarca sta compiendo un passo importante nella lotta contro l’abuso dell’IA. Ma la legislazione da sola non basta. Le persone devono imparare a riconoscere i segnali dei deepfake. Oltre ai governi, anche gli istituti scolastici e le aziende tecnologiche devono investire nella resilienza digitale”.

La natura del problema è estremamente individuale e riguarda l’identità personale. Tecnologie come il deepfake sono ormai in grado di replicare in modo credibile caratteristiche distintive come la tua voce e il tuo viso, che sono unici quanto le impronte digitali.

In assenza di adeguate misure di sicurezza, il rischio è che chiunque possa essere oggetto di imitazioni digitali a scopo fraudolento, ad esempio attraverso false chiamate telefoniche attribuite al CEO per truffare le aziende, o ancora diffondendo messaggi politici falsi. La legge danese riconosce questo rischio trattando la voce e l’aspetto del volto come beni personali, legalmente protetti dallo sfruttamento. Si tratta di un limite giuridico indispensabile in un panorama in rapida evoluzione, in cui i contenuti generati dall’intelligenza artificiale stanno diventando quasi indistinguibili dalle registrazioni autentiche.

Secondo Collard, la legislazione, pur essendo fondamentale, rappresenta solo una parte della soluzione. Infatti, le tecnologie per rilevare i falsi sono ancora in via di sviluppo e non tutti posseggono le risorse o le competenze adeguate per riconoscere i contenuti contraffatti. Di conseguenza, man mano che i deepfake si fanno più accessibili e credibili, è il pubblico a dover sostenere il peso di distinguere tra realtà e finzione.

Ecco perché l’istruzione è fondamentale quanto la regolamentazione. Campagne di sensibilizzazione, programmi di alfabetizzazione digitale nelle scuole e sessioni di formazione sul posto di lavoro svolgono tutti un ruolo chiave nel rafforzare la resilienza, ha continuato. “Si tratta di insegnare alle persone a riconoscere l’inganno narrativo e a sviluppare la capacità di riconoscere la manipolazione quando si verifica”.

In definitiva, la lotta ai deepfake (come quella del phishing, persa alla grande) richiederà un approccio articolato. I governi devono definire i quadri giuridici, le aziende tecnologiche devono sviluppare strumenti di rilevamento più efficaci e dare priorità allo sviluppo responsabile dell’intelligenza artificiale, e i cittadini devono essere messi in grado di orientarsi in un mondo online in cui vedere non significa più necessariamente credere.

La Danimarca ha fatto una prima mossa coraggiosa. Ora vediamo se l’Europa seguirà l’esempio, integrando le tutele legali con gli strumenti, la formazione e la consapevolezza necessari per difendersi da questo inganno digitale.

L'articolo Deepfake: ogni cittadino ha il copyright del proprio volto e della propria voce proviene da il blog della sicurezza informatica.

Nel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qua il link onion che è finito tra le mani delle forze dell’ordine), sequestrando i loro Data Leak Site (DLS). Questa azione mirata è stata condotta per contrastare gli attacchi che negli ultimi anni hanno preso di mira e violato le reti di centinaia di organizzazioni a livello globale.

Il Dipartimento di Giustizia degli Stati Uniti ha confermato il sequestro dei domini BlackSuit, con i siti web .onion che sono stati sostituiti da un banner che annunciava la chiusura da parte delle autorità, sottolineando l’ampiezza dell’indagine coordinata a livello internazionale. Tra i siti sequestrati figurano blog per la fuga di dati e piattaforme di negoziazione utilizzate per estorcere denaro alle vittime.

Le Forze Coinvolte L’operazione ha visto una vasta collaborazione tra diverse agenzie di sicurezza e forze dell’ordine a livello mondiale. Tra i partecipanti chiave si annoverano:

• U.S. Homeland Security Investigations
• U.S. Secret Service
• IRS: Criminal Investigation
• Department of Justice (DOJ)
• FBI
• Europol
• Landeskriminalamt Niedersachsen (Polizia criminale dello Stato tedesco)
• National Crime Agency (NCA) del Regno Unito
• North West Regional Organised Crime Unit (NWROCU)
• Polizia Nazionale Olandese
• Polizia Cyber Ucraina
• Lietuvos Kriminalinės Policijos Biuras (Ufficio di Polizia Criminale Lituano)
• Frankfurt Public Prosecutor’s Office
• Bitdefender (società rumena di sicurezza informatica)
• Delta Police

La Storia di BlackSuit

L’operazione ransomware BlackSuit è emersa tra aprile e maggio 2023. Il gruppo è un’organizzazione estorsiva su più fronti, che crittografa ed esfiltra i dati delle vittime e ospita siti pubblici per la fuga di dati per le vittime che non ottemperano alle loro richieste. Il gruppo era noto per i suoi attacchi significativi contro enti nei settori sanitario e dell’istruzione, oltre ad altri settori critici. BlackSuit è un’operazione privata in quanto non ha affiliati pubblici. I payload di BlackSuit presentano molte somiglianze tecniche con i payload del ransomware Royal , come meccanismi di crittografia e parametri della riga di comando simili.

Sono prese di mira grandi imprese e piccole e medie imprese (PMI), sebbene non sembri esserci alcuna discriminazione specifica in termini di settore o tipo di obiettivo. Analogamente a Royal , sembra che siano escluse le entità della CSI (Comunità degli Stati Indipendenti). Ad oggi, gli attacchi di BlackSuit hanno favorito le aziende operanti nei settori sanitario, dell’istruzione, dell’informatica (IT), governativo, della vendita al dettaglio e manifatturiero.

“Operation Checkmate” rappresenta un altro significativo passo avanti nella lotta globale contro la criminalità informatica, dimostrando l’efficacia della cooperazione internazionale nel disarticolare le reti ransomware e fornire supporto alle vittime.

Negli ultimi mesi, le forze dell’ordine stanno riscuotendo moltissimi successi nelle operazioni contro i gruppi cybercriminali, e questo i criminali informatici lo sanno bene. Non è raro, infatti, trovare nei forum underground discussioni in cui gli stessi attori malevoli commentano le recenti operazioni di polizia, ammettendo che il mestiere sta diventando sempre più rischioso.

Tuttavia, i forti guadagni derivanti dal ransomware continuano a rappresentare una motivazione irresistibile, mantenendo alta l’attenzione dei criminali su questo business: il numero di attacchi subiti dalle aziende e le somme spese per fronteggiarli, infatti, non accennano a diminuire.

Il Decryptor e il Supporto alle Vittime

Come in altre situazioni analoghe di successo contro i gruppi ransomware, è stato prodotto e reso disponibile un decryptor per consentire alle aziende colpite di recuperare l’accesso ai propri dati e di uscire dalla cifratura. Questo passo cruciale mira a mitigare il danno subito dalle vittime e a supportare le organizzazioni nel ripristino delle proprie operazioni.

L'articolo Operazione Checkmate: colpo grosso delle forze dell’ordine. BlackSuit è stato fermato! proviene da il blog della sicurezza informatica.

Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un diciottesimo partecipante al caso, che aveva partecipato alla gestione di queste risorse, è stato condannato. Come osservato dal direttore dell’FBI Kash Patel, l’operazione è stata uno degli attacchi più massicci contro le reti per lo sfruttamento online dei minori. Ha sottolineato che le forze dell’ordine non solo hanno distrutto l’infrastruttura digitale, ma hanno anche ottenuto la punizione di figure chiave, dimostrando che l’anonimato in rete non esonera dalle responsabilità.

L’operazione speciale, denominata GreySkull, ha già portato a 18 condanne per un totale di oltre 300 anni di carcere. Uno dei condannati, un 52enne residente in Minnesota, è stato condannato il giorno prima a oltre vent’anni di carcere per aver partecipato alla gestione dei siti. Secondo l’agenzia, i siti chiusi presentavano contenuti particolarmente sofisticati: singole sezioni erano dedicate a neonati e bambini piccoli e includevano anche scene di violenza, azioni sadiche e torture.

Tra i condannati, una persona ha patteggiato per associazione a delinquere finalizzata alla distribuzione e alla promozione di materiale pedopornografico. Si è unito a una delle community nel 2022, diventandone poi moderatore. Tra le sue responsabilità rientravano l’applicazione delle “regole” per i post e la consulenza agli altri utenti, su come proteggersi dai controlli delle forze dell’ordine. I documenti del tribunale indicano che ha insegnato tecniche di mimetizzazione e l’uso di strumenti di anonimizzazione.

Altre otto persone sono state condannate nel Distretto Meridionale della Florida per aver coordinato il sito principale. Gli imputati tenevano riunioni interne, registri del materiale pubblicato per autore ed erano responsabili della gestione dei server. Alcuni sono stati inoltre accusati di aver partecipato a un gruppo organizzato che sfruttava sessualmente minori.

Secondo il Dipartimento di Giustizia, gli imputati provenivano da tutti gli Stati Uniti, tra cui Alabama, Indiana, Nevada, Carolina del Nord, Oklahoma e Stato di Washington. Le condanne sono andate dai cinque anni all’ergastolo e alle vittime è stato imposto un risarcimento da 7.500 a 174.500 dollari.

Oltre agli Stati Uniti, arresti nell’ambito dell’operazione hanno avuto luogo in diversi altri paesi, tra cui Regno Unito, Paesi Bassi, Italia, Germania, Belgio, Estonia e Sudafrica. Due dei presunti partecipanti sarebbero morti prima che potessero essere formulate accuse formali. Sebbene non sia stato reso noto il momento esatto in cui è iniziata l’indagine, l’iniziativa è considerata parte del programma federale Project Safe Childhood, attivo dal 2006 e finalizzato a contrastare crimini brutali di questo tipo.

L'articolo I Mostri sono stati puniti! GreySkull: 18 condanne e 300 anni di carcere per i pedofili proviene da il blog della sicurezza informatica.

Il più grande costruttore navale francese per la difesa, Naval Group, sta affrontando un incidente di sicurezza informatica potenzialmente grave a seguito delle affermazioni degli autori della minaccia che riportano di aver compromesso sistemi interni critici, compresi quelli legati alle operazioni navali militari francesi.

Gli hacker hanno pubblicato la presunta violazione su un noto forum specializzato in fughe di dati, sostenendo di aver avuto accesso a materiale sensibile come il codice sorgente dei sistemi di gestione del combattimento (CMS) utilizzati nei sottomarini e nelle fregate francesi. Gli aggressori non mirano a vendere i dati rubati, ma a estorcere denaro all’appaltatore della difesa, minacciando di divulgare informazioni riservate se le loro richieste non saranno soddisfatte.

Naval Group, con sede a Parigi e oltre 15.000 dipendenti, è un importante fornitore di soluzioni navali di livello militare in tutta Europa. Con un fatturato annuo superiore a 5 miliardi di dollari (4,3 miliardi di euro), l’azienda è di proprietà congiunta del governo francese e del gigante dell’elettronica per la difesa Thales Group.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

Di seguito il post tradotto in lingua italiana presente all’interno del forum underground.
la perdita completa contiene:

- CMS top secret classificato per sottomarini e fregate disponibile con codice sorgente + guida utente per l'implementazione infrastrutturale (è necessario un server di grandi dimensioni per eseguire l'intero CMS)
- Dati di rete in base ai sottomarini e alle fregate
- Documenti tecnici DCN/DCNS/ Naval Group con diversi tipi di classificazione, "Distribuzione limitata", "Francia speciale", ecc. I documenti iniziano dal 2006, ma principalmente dal 2019 al 2024.
- VM degli sviluppatori con diversi simulatori della marina al loro interno
- Scambi riservati intercettati tramite la loro messaggistica interna HCL Notes

Naval Group ha 72 ore per contattarmi.

Dopo questa scadenza, farò trapelare tutto gratuitamente

Cosa sostengono gli hacker di aver rubato al Naval Group

Secondo il post condiviso dai criminali informatici, durante la violazione sarebbe stato effettuato l’accesso ai seguenti asset:

• Codice sorgente che alimenta il CMS di sottomarini e fregate
• Topologia della rete interna e dati di rete correlati
• Documenti tecnici etichettati con diversi livelli di sensibilità
• Ambienti di macchine virtuali per sviluppatori
• Comunicazioni interne riservate

Gli aggressori hanno anche incluso nel loro post un campione di dati di 13 GB come prova. Tra i file trapelati ci sono risorse multimediali, tra cui anche dei video.

Implicazioni per la sicurezza nazionale

La prospettiva che soggetti stranieri o gruppi criminali possano ottenere accesso al software che governa i sistemi di combattimento a bordo di navi militari operative è estremamente allarmante. Se confermata, la divulgazione del codice sorgente e della documentazione riservata del CMS (Combat Management System) non solo comprometterebbe l’integrità tecnologica di Naval Group, ma costringerebbe anche il Ministero delle Forze Armate francese a costosi interventi correttivi, tra cui audit di sicurezza, aggiornamenti dei sistemi e verifiche approfondite.

Sebbene la reale entità dei danni e la portata della violazione non siano ancora stati verificati, è noto che gli aggressori mossi da finalità estorsive tendono a sovrastimare il valore e l’impatto delle informazioni sottratte, per aumentare la pressione psicologica e finanziaria sulle vittime. Resta da capire se questo sia uno di quei casi.

Fondato nel XVII secolo e precedentemente noto come DCN (Direction des Constructions Navales), Naval Group occupa da sempre un ruolo centrale nella strategia di difesa marittima francese. L’azienda ha realizzato, tra l’altro, l’unica portaerei francese a propulsione nucleare, la Charles de Gaulle, a testimonianza della sua importanza strategica per le capacità difensive del Paese.

Una compromissione dell’infrastruttura digitale di Naval Group non si limiterebbe a esporre dati operativi sensibili, ma evidenzierebbe anche la crescente vulnerabilità degli appaltatori militari di alto profilo in Europa. L’esito di questa possibile violazione, se confermata, potrebbe avere conseguenze rilevanti e durature sulla sicurezza nazionale francese e sulla strategia industriale di cybersecurity.

L'articolo I Criminal Hacker rivendicano un attacco alla Naval Group. 72 ore per pagare il riscatto proviene da il blog della sicurezza informatica.

On July 19–20, 2025, various security companies and national CERTs published alerts about active exploitation of on-premise SharePoint servers. According to the reports, observed attacks did not require authentication, allowed attackers to gain full control over the infected servers, and were performed using an exploit chain of two vulnerabilities: CVE-2025-49704 and CVE-2025-49706, publicly named “ToolShell”. Additionally, on the same dates, Microsoft released out-of-band security patches for the vulnerabilities CVE-2025-53770 and CVE-2025-53771, aimed at addressing the security bypasses of previously issued fixes for CVE-2025-49704 and CVE-2025-49706. The release of the new, “proper” updates has caused confusion about exactly which vulnerabilities attackers are exploiting and whether they are using zero-day exploits.

Kaspersky products proactively detected and blocked malicious activity linked to these attacks, which allowed us to gather statistics about the timeframe and spread of this campaign. Our statistics show that widespread exploitation started on July 18, 2025, and attackers targeted servers across the world in Egypt, Jordan, Russia, Vietnam, and Zambia. Entities across multiple sectors were affected: government, finance, manufacturing, forestry, and agriculture.

While analyzing all artifacts related to these attacks, which were detected by our products and public information provided by external researchers, we found a dump of a POST request that was claimed to contain the malicious payload used in these attacks. After performing our own analysis, we were able to confirm that this dump indeed contained the malicious payload detected by our technologies, and that sending this single request to an affected SharePoint installation was enough to execute the malicious payload there.

Our analysis of the exploit showed that it did rely on vulnerabilities fixed under CVE-2025-49704 and CVE-2025-49706, but by changing just one byte in the request, we were able to bypass those fixes.

In this post, we provide detailed information about CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771, and one related vulnerability. Since the exploit code is already published online, is very easy to use, and poses a significant risk, we encourage all organizations to install the necessary updates.

The exploit

Our research started with an analysis of a POST request dump associated with this wave of attacks on SharePoint servers.

Snippet of the exploit POST request

We can see that this POST request targets the “/_layouts/15/ToolPane.aspx” endpoint and embeds two parameters: “MSOtlPn_Uri” and “MSOtlPn_DWP”. Looking at the code of ToolPane.aspx, we can see that this file itself does not contain much functionality and most of its code is located in the ToolPane class of the Microsoft.SharePoint.WebPartPages namespace in Microsoft.SharePoint.dll. Looking at this class reveals the code that works with the two parameters present in the exploit. However, accessing this endpoint under normal conditions is not possible without bypassing authentication on the attacked SharePoint server. This is where the first Microsoft SharePoint Server Spoofing Vulnerability CVE-2025-49706 comes into play.

CVE-2025-49706

This vulnerability is present in the method PostAuthenticateRequestHandler, in Microsoft.SharePoint.dll. SharePoint requires Internet Information Services (IIS) to be configured in integrated mode. In this mode, the IIS and ASP.NET authentication stages are unified. As a result, the outcome of IIS authentication is not determined until the PostAuthenticateRequest stage, at which point both the ASP.NET and IIS authentication methods have been completed. Therefore, the PostAuthenticateRequestHandler method utilizes a series of flags to track potential authentication violations. A logic bug in this method enables an authentication bypass if the “Referrer” header of the HTTP request is equal to “/_layouts/SignOut.aspx”, “/_layouts/14/SignOut.aspx”, or “/_layouts/15/SignOut.aspx” using case insensitive comparison.

Vulnerable code in PostAuthenticateRequestHandler method (Microsoft.SharePoint.dll version 16.0.10417.20018)

The code displayed in the image above handles the sign-out request and is also triggered when the sign-out page is specified as the referrer. When flag6 is set to false and flag7 is set to true, both conditional branches that could potentially throw an “Unauthorized Access” exception are bypassed.

Unauthorized access checks bypassed by the exploit

On July 8, 2025, Microsoft released an update that addressed this vulnerability by introducing additional checks to detect the usage of the “ToolPane.aspx” endpoint with the sign-out page specified as the referrer.

CVE-2025-49706 fix (Microsoft.SharePoint.dll version 16.0.10417.20027)

The added check uses case insensitive comparison to verify if the requested path ends with “ToolPane.aspx”. Is it possible to bypass this check, say, by using a different endpoint? Our testing has shown that this check can be easily bypassed.

CVE-2025-53771

We were able to successfully bypass the patch for vulnerability CVE-2025-49706 by adding just one byte to the exploit POST request. All that was required to bypass this patch was to add a “/” (slash) to the end of the requested “ToolPane.aspx” path.

Bypass for CVE-2025-49706 fix

On July 20, 2025, Microsoft released an update that fixed this bypass as CVE-2025-53771. This fix replaces the “ToolPane.aspx” check to instead check whether the requested path is in the list of paths allowed for use with the sign-out page specified as the referrer.

CVE-2025-53771 fix (Microsoft.SharePoint.dll version 16.0.10417.20037)

This allowlist includes the following paths: “/_layouts/15/SignOut.aspx”, “/_layouts/15/1033/initstrings.js”, “/_layouts/15/init.js”, “/_layouts/15/theming.js”, “/ScriptResource.axd”, “/_layouts/15/blank.js”, “/ScriptResource.axd”, “/WebResource.axd”, “/_layouts/15/1033/styles/corev15.css”, “/_layouts/15/1033/styles/error.css”, “/_layouts/15/images/favicon.ico”, “/_layouts/15/1033/strings.js”, “/_layouts/15/core.js”, and it can contain additional paths added by the administrator.

While testing the CVE-2025-49706 bypass with the July 8, 2025 updates installed on our SharePoint debugging stand, we noticed some strange behavior. Not only did the bypass of CVE-2025-49706 work, but the entire exploit chain did! But wait! Didn’t the attackers use an additional Microsoft SharePoint Remote Code Execution Vulnerability CVE-2025-49704, which was supposed to be fixed in the same update? To understand why the entire exploit chain worked in our case, let’s take a look at the vulnerability CVE-2025-49704 and how it was fixed.

CVE-2025-49704

CVE-2025-49704 is an untrusted data deserialization vulnerability that exists due to improper validation of XML content. Looking at the exploit POST request, we can see that it contains two URL encoded parameters: “MSOtlPn_Uri” and “MSOtlPn_DWP”. We can see how they are handled by examining the code of the method GetPartPreviewAndPropertiesFromMarkup in Microsoft.SharePoint.dll. A quick analysis reveals that “MSOtlPn_Uri” is a page URL that might be pointing to an any file in the CONTROLTEMPLATES folder and the parameter “MSOtlPn_DWP” contains something known as WebPart markup. This markup contains special directives that can be used to execute safe controls on a server and has a format very similar to XML.

WebPart markup used by the attackers

While this “XML” included in the “MSOtlPn_DWP” parameter does not itself contain a vulnerability, it allows attackers to instantiate the ExcelDataSet control from Microsoft.PerformancePoint.Scorecards.Client.dll with CompressedDataTable property set to malicious payload and trigger its processing using DataTable property getter.

Code of the method that handles the contents of ExcelDataSet’s CompressedDataTable property in the DataTable property getter

Looking at the code of the ExcelDataSet’s DataTable property getter in Microsoft.PerformancePoint.Scorecards.Client.dll, we find the method GetObjectFromCompressedBase64String, responsible for deserialization of CompressedDataTable property contents. The data provided as Base64 string is decoded, unzipped, and passed to the BinarySerialization.Deserialize method from Microsoft.SharePoint.dll.

DataSet with XML content exploiting CVE-2025-49704 (deserialized)

Attackers use this method to provide a malicious DataSet whose deserialized content is shown in the image above. It contains an XML with an element of dangerous type "System.Collections.Generic.List`1[[System.Data.Services.Internal.ExpandedWrapper`2[...], System.Data.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089]]" , which allows attackers to execute arbitrary methods with the help of the well-known ExpandedWrapper technique aimed at exploitation of unsafe XML deserialization in applications based on the .NET framework. In fact, this shouldn’t be possible, since BinarySerialization.Deserialize in Microsoft.SharePoint.dll uses a special XmlValidator designed to protect against this technique by checking the types of all elements present in the provided XML and ensuring that they are on the list of allowed types. However, the exploit bypasses this check by placing the ExpandedWrapper object into the list.

Now, to find out why the exploit worked on our SharePoint debugging stand with the July 8, 2025 updates installed, let’s take a look at how this vulnerability was fixed. In this patch, Microsoft did not really fix the vulnerability but only mitigated it by adding the new AddExcelDataSetToSafeControls class to the Microsoft.SharePoint.Upgrade namespace. This class contains new code that modifies the web.config file and marks the Microsoft.PerformancePoint.Scorecards.ExcelDataSet control as unsafe. Because SharePoint does not execute this code on its own after installing updates, the only way to achieve the security effect was to manually run a configuration upgrade using the SharePoint Products Configuration Wizard tool. Notably, the security guidance for CVE-2025-49704 does not mention the need for this step, which means at least some SharePoint administrators may skip it. Meanwhile, anyone who installed this update but did not manually perform a configuration upgrade remained vulnerable.

CVE-2025-53770

On July 20, 2025, Microsoft released an update with a proper fix for the CVE-2025-49704 vulnerability. This patch introduces an updated XmlValidator that now properly validates element types in XML, preventing exploitation of this vulnerability without requiring a configuration upgrade and, more importantly, addressing the root cause and preventing exploitation of the same vulnerability through controls other than Microsoft.PerformancePoint.Scorecards.ExcelDataSet.

Code of new type verifier in updated XmlValidator

CVE-2020-1147

Readers familiar with previous SharePoint exploits might feel that the vulnerability CVE-2025-49704/CVE-2025-53770 and the exploit used by the attackers looks very familiar and very similar to the older .NET Framework, SharePoint Server, and Visual Studio Remote Code Execution Vulnerability CVE-2020-1147. In fact, if we compare the exploit for CVE-2020-1147 and an exploit for CVE-2025-49704/CVE-2025-53770, we can see that they are almost identical. The only difference is that in the exploit for CVE-2025-49704/CVE-2025-53770, the dangerous ExpandedWrapper object is placed in the list. This makes CVE-2025-53770 an updated fix for CVE-2020-1147.

DataSet with XML content exploiting CVE-2020-1147

Conclusions

Despite the fact that patches for the ToolShell vulnerabilities are now available for deployment, we assess that this chain of exploits will continue being used by attackers for a long time. We have been observing the same situation with other notorious vulnerabilities, such as ProxyLogon, PrintNightmare, or EternalBlue. While they have been known for years, many threat actors still continue leveraging them in their attacks to compromise unpatched systems. We expect the ToolShell vulnerabilities to follow the same fate, as they can be exploited with extremely low effort and allow full control over the vulnerable server.

To stay better protected against threats like ToolShell, we as a community should learn lessons from previous events in the industry related to critical vulnerabilities. Specifically, the speed of applying security patches nowadays is the most important factor when it comes to fighting such vulnerabilities. Since public exploits for these dangerous vulnerabilities appear very soon after vulnerability announcements, it is paramount to install patches as soon as possible, as a gap of even a few hours can make a critical difference.

At the same time, it is important to protect enterprise networks against zero-day exploits, which can be leveraged when there is no available public patch for vulnerabilities. In this regard, it is critical to equip machines with reliable cybersecurity solutions that have proven effective in combatting ToolShell attacks before they were publicly disclosed.

Kaspersky Next with its Behaviour detection component proactively protects against exploitation of these vulnerabilities. Additionally, it is able to detect exploitation and the subsequent malicious activity.

Kaspersky products detect the exploits and malware used in these attacks with the following verdicts:

• UDS:DangerousObject.Multi.Generic
• PDM:Exploit.Win32.Generic
• PDM:Trojan.Win32.Generic
• HEUR:Trojan.MSIL.Agent.gen
• ASP.Agent.*
• PowerShell.Agent.*

securelist.com/toolshell-expla…

Reachy Mini is a kit for a compact, open-source robot designed explicitly for AI experimentation and human interaction. The kit is available from Hugging Face, which is itself a repository and hosting service for machine learning models. Reachy seems to be one of their efforts at branching out from pure software.
Our guess is that some form of Stewart Platform handles the head movement.
Reachy Mini is intended as a development platform, allowing people to make and share models for different behaviors, hence the Hugging Face integration to make that easier. On the inside of the full version is a Raspberry Pi, and we suspect some form of Stewart Platform is responsible for the movement of the head. There’s also a cheaper (299 USD) “lite” version intended for tethered use, and a planned simulator to allow development and testing without access to a physical Reachy at all.

Reachy has a distinctive head and face, so if you’re thinking it looks familiar that’s probably because we first covered Reachy the humanoid robot as a project from Pollen Robotics (Hugging Face acquired Pollen Robotics in April 2025.)

The idea behind the smaller Reachy Mini seems to be to provide a platform to experiment with expressive human communication via cameras and audio, rather than to be the kind of robot that moves around and manipulates objects.

It’s still early in the project, so if you want to know more you can find a bit more information about Reachy Mini at Pollen’s site and you can see Reachy Mini move in a short video, embedded just below.

youtube.com/embed/JvdBJZ-qR18?…

hackaday.com/2025/07/25/reachy…

La guerra elettronica sta assumendo un ruolo sempre più strategico nei moderni scenari bellici, diventando un elemento cruciale per proteggere infrastrutture, truppe e mezzi dalle minacce aeree e digitali. In questo contesto, l’azienda ucraina Kvertus ha annunciato l’avvio della produzione in serie del nuovo robot da guerra elettronica “AD Berserk”, come dichiarato dal CEO Yaroslav Filimonov tramite Facebook.

L’AD Berserk è progettato per operare in prima linea con un’autonomia fino a 12 ore e un raggio operativo di 20 km, caratteristiche che lo rendono adatto a missioni prolungate e distribuite sul territorio. Il raggio di controllo, anch’esso di 20 km, consente agli operatori di manovrare il robot mantenendo una distanza di sicurezza dalle aree più pericolose.

Secondo quanto riportato da Kvertus, questo sistema di guerra elettronica è in grado di generare interferenze sulle frequenze utilizzate da droni kamikaze, droni multirotore e droni da bombardamento, compromettendone il controllo remoto o il segnale GPS. In un conflitto dove i droni commerciali e militari sono diventati strumenti essenziali per ricognizione e attacchi, la capacità di “accecamento” elettronico rappresenta una difesa fondamentale.

I compiti operativi del “Berserk”

Il “Berserk” non è solo un jammer mobile: tra le sue funzioni operative principali troviamo:

• evacuazione e copertura dei feriti in zone esposte;
• protezione e supporto durante operazioni di sminamento;
• supporto alle truppe nelle operazioni d’assalto;
• difesa dei corridoi logistici, proteggendo linee di rifornimento e trasporto.

Questo approccio multi-ruolo dimostra come la guerra elettronica non sia più solo una disciplina passiva di disturbo, ma stia evolvendo in sistemi mobili, autonomi e sempre più integrati nel campo di battaglia.

Innovazione continua e sviluppo tecnologico

Il CEO di Kvertus ha sottolineato che le tecnologie vengono aggiornate ogni mese, con miglioramenti costanti per affrontare un nemico che evolve rapidamente. “L’obiettivo è sempre lo stesso: proteggere dai droni, salvare vite umane, preservare attrezzature e posizioni”, ha affermato Filimonov.

L’azienda sta già gestendo decine di ordini per il “Berserk”, segnale del crescente interesse verso soluzioni che combinano mobilità, autonomia e potenza di guerra elettronica.

L'articolo Guerra elettronica e robotica: l’Ucraina punta su “AD Berserk” per contrastare i droni nemici proviene da il blog della sicurezza informatica.

When you think of a tape recorder, you might think of a cassette tape. However, [Michael Simpson] has an old Star-Lite small reel-to-reel tape machine. It isn’t a repair so much as a rework to make it work better. These cheap machines were never the best, although a $19 tape player back then was a luxury.

Part of the problem is that the design of the tape player wasn’t all that good to begin with. The motor runs off two C cells in parallel. When these were new in the 1960s, that would have meant conventional carbon-zinc batteries, so the voltage would have varied wildly. Didn’t matter, though, because the drive was directly to the tape reel, so the speed also varied based on how much tape was left on the reel.

The amplifier has four transistors. [Michael] decided to replace the capacitors on the unit. He noticed, too, that the volume control is in line with the microphone when recording, so even though the recording was supposedly in need of repair, it turned out to be simply a case of the volume control being turned down. Pretty impressive for a six-decade-old piece of consumer electronics.

The capacitor change-out was simple enough. Some cleaning and lubing was also in order. Did it help? You’ll have to listen and decide for yourself.

So, no real repair was in the works, but it is an interesting look back at an iconic piece of consumer tech. Tape recorders like this were an early form of social media. No kidding. If you’d rather not buy a tape recorder, you could roll your own.

youtube.com/embed/xhlOx0g2Abg?…

hackaday.com/2025/07/24/not-re…

The switch from analog telephone exchanges to a purely digital network meant a revolution in just about any way imaginable. Gone were the bulky physical switches and associated system limitations. In the UK this change happened in the early 1980s, with what the Post Office Telecommunications (later British Telecom) and associated companies called System X. Along with the system’s rollout, promotional videos like this 1983 one were meant to educate the public and likely any investors on what a smashing idea the whole system was.

Although for the average person in the UK the introduction of the new digital telephone network probably didn’t mean a major change beyond a few new features like group calls, the same wasn’t true for the network operator whose exchanges and networks got much smaller and more efficient, as explained in the video. To this day System X remains the backbone of the telephone network in the UK.

To get an idea of the immense scale of the old analog system, this 1982 video (also embedded below) shows the system as it existed before System X began to replace it. The latter part of the video provides significant detail of System X and its implementation at the time, although when this video was produced much of the system was still being developed.

Thanks to [James Bowman] for the tip.

youtube.com/embed/xy_6DL4haJA?…

youtube.com/embed/Ni5NMlMOxG4?…

hackaday.com/2025/07/24/when-t…

Remember the 80286? It was the sequel to the 8086, the chip that started it all, and it powered a great number of machines in the early years of the personal computing revolution. It might not be as relevant today, but regardless, [Daniel Balsom] has now released a comprehensive test suite for the ancient chip. (via The Register)

The complete battery of tests are available on Github, and were produced using a Harris N80C286-12 from 1986. “The real mode test suite contains 326 instruction forms, containing nearly 1.5 million instruction executions with over 32 million cycle states captured,” Daniel explains. “This is fewer tests than the previous 8088 test suite, but test coverage is better overall due to improved instruction generation methods.” For now, the tests focus on the 286 running in real mode. There are no “unreal” or protected mode tests, but [Daniel] aims to deliver the in the future.

[Daniel] uses the tests with the ArduinoX86, a platform that uses the microcontroller to control and test old-school CPUs. The tests aid with development of emulators like [Daniel’s] own MartyPC, by verifying the CPU’s behavior in a cycle-accurate way.

We’ve explored some secrets of the 286 before, too. If you’ve been doing your own digging into Intel’s old processors, or anyone else’s for that matter, don’t hesitate to notify the tipsline.

[Thanks to Stephen Walters for the tip!]

hackaday.com/2025/07/24/compre…

L’azienda di sicurezza cloud Wiz ha identificato una vulnerabilità critica in NVIDIA Container Toolkit, identificata come CVE-2025-23266 e con un punteggio CVSS di 9.0. La vulnerabilità, denominata NVIDIAScape, potrebbe rappresentare una seria minaccia per i servizi cloud che utilizzano l’intelligenza artificiale e la containerizzazione basata su GPU.

Il bug riguarda tutte le versioni di NVIDIA Container Toolkit fino alla 1.17.7 inclusa, nonché NVIDIA GPU Operator fino alla versione 25.3.0. La vulnerabilità è già stata risolta rispettivamente nelle nuove versioni 1.17.8 e 25.3.1.

Il problema è legato all’utilizzo dei cosiddetti hook OCI, progettati per inizializzare i container. Uno di questi hook, “createContainer“, viene utilizzato con una configurazione errata, che consente a un aggressore di caricare una libreria dannosa all’avvio del container.

Il problema è che gli hook vengono eseguiti con privilegi elevati e nel contesto del file system del contenitore, consentendo all’attaccante di iniettare codice con il minimo sforzo. I ricercatori di Wiz hanno sottolineato che l’attacco può essere eseguito con sole tre righe nel Dockerfile, che impostano la variabile LD_PRELOAD e caricano la libreria dannosa. Di conseguenza, l’attaccante può non solo uscire dal contenitore, ma anche prendere il controllo del sistema host.

Ciò che è particolarmente allarmante è che la vulnerabilità interessa circa il 37% degli ambienti cloud che utilizzano l’intelligenza artificiale. Ciò significa che un singolo contenitore compromesso può essere utilizzato per accedere a dati e modelli di altri client ospitati sugli stessi server fisici. L’attacco potrebbe quindi portare a furti di proprietà intellettuale, interruzioni del flusso di lavoro e diniego di servizio.

Wiz aveva già segnalato due problemi simili nel toolkit di NVIDIA, CVE-2024-0132 e CVE-2025-23359 , entrambi con possibilità di acquisizione completa del sistema. La nuova vulnerabilità ha dimostrato ancora una volta quanto sia debole il meccanismo di isolamento nei container. Secondo il team, l’utilizzo esclusivo dei container come misura di sicurezza è inaccettabile: sono necessarie barriere aggiuntive come la virtualizzazione, soprattutto nelle infrastrutture multi-tenant.

La situazione di NVIDIAScape solleva interrogativi urgenti sulla resilienza delle infrastrutture moderne agli attacchi, dove vettori di hacking noti e legacy potrebbero essere più efficaci di ipotetiche minacce basate sull’intelligenza artificiale. Le problematiche a livello di componenti di base, come i container hook, dimostrano che l’attenzione ai dettagli e gli aggiornamenti regolari rimangono elementi chiave della difesa.

L'articolo L’isolamento dei container è a rischio. Solo 3 righe di codice per violare gli ambienti AI di NVIDIA proviene da il blog della sicurezza informatica.

Most research on electroplating tries to find ways to make it plate parts more uniformly. [Ajc150] took the opposite direction, though, with his selective electroplating project, which uses an electrode mounted on a CNC motion system to electrochemically print images onto a metal sheet (GitHub repository).

Normally, selective electroplating would use a mask, but masks don’t allow gradients to be deposited. However, electroplating tends to occur most heavily at the point closest to the anode, and the effect gets stronger the closer the anode is. To take advantage of this effect, [ajc150] replaced the router of an inexpensive 3018 CNC machine with a nickel anode, mounted an electrolyte bath in the workspace, and laid a flat steel cathode in it. When the anode moves close to a certain point on the steel cathode, most of the plating takes place there.

To actually print an image with this setup, [ajc150] wrote a Python program to convert an image into set of G-code instructions for the CNC. The darker a pixel of the image was, the longer the electrode would spend over the corresponding part of the metal sheet. Since darkness wasn’t linearly proportional to plating time, the program used a gamma correction function to adjust times, though this did require [ajc150] to recalibrate the setup after each change. The system works well enough to print recognizable images, but still has room for improvement. In particular, [ajc150] would like to extend this to a faster multi-nozzle system, and have the algorithm take into account spillover between the pixel being plated and its neighbors.

This general technique is reminiscent of a metal 3D printing method we’ve seen before. We more frequently see this process run in reverse to cut metal.

hackaday.com/2025/07/24/painti…

One of the categories we chose for the One Hertz Challenge is “Could Have Used a 555.” What about when you couldn’t have, but did anyway? The 555 is famously easy to use, but not exactly the most accurate timer out there — one “ticking” at 1 Hz will pulse just about once per second (probably to within a millisecond, depending on the rest of the circuit), but when you need more precise timing, the 555 just won’t cut it. Not on its own, anyway.
Allan Deviation can be a bit confusing, but generally — lower is more accurate
This entry by [burble] shows us how the humble 555 can hold its own in more demanding systems with some help from a GPS receiver. He used the One Pulse per Second (1PPS) output from a GPS module to discipline the 1 Hz output from a 555 by modulating the control voltage with a microcontroller.

Okay, this sounds a bit like baking a cake by buying a cake, scraping all the icing off, then icing it yourself, but what better way to learn how to ice a cake? The GPS-disciplined 555 is way more accurate than a free running one — just check out that Allan Deviation plot. While the accuracy of the standard 555 begins to decrease as oscillator drift dominates, the GPS-disciplined version just keeps getting better (up to a point — it would also eventually begin to increase, if the data were recorded for long enough). Compared to other high-end oscillators though, [burble] describes the project’s accuracy in one word: “Badly.”

That’s okay though — it really is a fantastic investigation into how GPS-disciplined oscillators work, and does a fantastic job illustrating the accuracy of different types of clocks, and some possible sources of error. This project is a great addition to some of the other precision timekeeping projects we’ve seen here at Hackaday, and a very fitting entry to the competition. Think you can do better? Or much, much worse? You’ve got a few weeks left to enter!

hackaday.com/2025/07/24/2025-o…

Microsoft continua a spingere l’intelligenza artificiale in Windows 11 , come se cercasse di capire quali funzionalità rimarranno e quali causeranno una nuova ondata di scetticismo. L’ultimo aggiornamento ha introdotto una serie di strumenti di intelligenza artificiale, tra cui una nuova variante del già famigerato Recall.

Si chiama Copilot Vision ed è uno strumento con trasmissione attiva dello schermo a server remoti, dove l’immagine viene analizzata in tempo reale da una rete neurale. A parole, tutto questo sembra un passo verso un “assistente intelligente“, ma in realtà assomiglia a un fastidioso osservatore che ti guarda alle spalle senza bussare.

A differenza di Recall, che elaborava i dati localmente e quindi, almeno in teoria, consentiva all’utente di controllare la propria privacy, Copilot Vision invia un flusso di screenshot a server Microsoft remoti. Lì, vengono elaborati tramite riconoscimento ottico dei caratteri e un modello linguistico per ottenere una “comprensione” di ciò che accade sullo schermo e suggerire all’utente cosa fare successivamente. Nonostante l’azienda affermi che le immagini risultanti non vengono conservate a lungo e non vengono utilizzate per addestrare modelli o per pubblicità personalizzata, l’idea stessa di trasmettere il contenuto dello schermo al mondo esterno sta già creando tensioni.

Copilot Vision è attualmente disponibile solo negli Stati Uniti e, come sottolinea Microsoft, sarà disponibile anche in “Paesi extraeuropei“, una dicitura che allude chiaramente a un’incompatibilità legale con il nuovo AI Act nell’UE. Allo stesso tempo, Windows 11 stesso, l’unico sistema desktop ufficialmente supportato da Microsoft, ha ricevuto una serie di innovazioni AI locali. Una di queste è il cosiddetto “agente” basato su un modello linguistico locale chiamato Mu. Questo modello è attualmente disponibile solo su dispositivi con Qualcomm Snapdragon, sebbene l’azienda prometta di estendere il supporto a Intel e AMD.

Mu è un “assistente” integrato nell’interfaccia di Windows 11 che non si limita a rispondere alle richieste, ma offre anche la possibilità di eseguire azioni in modo indipendente. L’utente può, ad esempio, digitare nella barra di ricerca: “collega cuffie Bluetooth” e l’agente non mostrerà un elenco di istruzioni, ma tenterà immediatamente di eseguire il comando. A differenza delle versioni precedenti, in cui l’interazione con il sistema era limitata alle funzioni di riferimento, il nuovo agente è in grado di modificare direttamente le impostazioni, tuttavia solo se comprende ciò che gli viene richiesto.

Gli ingegneri Microsoft ammettono che implementare tali funzionalità non è stato facile. Un esempio è il controllo della luminosità. Se un utente ha due monitor, quale è considerato quello principale? Come interpretare frasi vaghe? Per ridurre il numero di errori, gli sviluppatori si sono concentrati sugli scenari più comuni e hanno gradualmente ampliato il supporto per query più complesse. Tuttavia, il rischio principale di tutti i LLM rimane irrisolto: le cosiddette “allucinazioni“, quando il sistema produce un risultato convincente ma completamente errato. Finora, Microsoft non ha spiegato quali misure siano state adottate per ridurre al minimo i danni derivanti da tali errori, soprattutto nel contesto dell’intelligenza artificiale, che non si limita a fornire consigli, ma agisce per conto dell’utente.

Un altro componente dell’aggiornamento è lo strumento “Clicca per fare”, attualmente in anteprima. Include diverse funzionalità contemporaneamente: riconosce la lettura vocale e aiuta a migliorare le capacità vocali, può attivare la modalità di generazione del testo in Word in base al frammento selezionato, include una modalità di lettura “immersiva” con font regolabili e la possibilità di suddividere le parole in sillabe, e consente inoltre di avviare messaggi e creare richieste in Microsoft Teams direttamente dall’interfaccia.

Anche le applicazioni integrate sono state aggiornate. L’editor di foto ora include la funzione Relight, che simula la retroilluminazione di un oggetto in una foto utilizzando fonti di luce virtuali. Paint ora include un generatore di adesivi basato su una descrizione testuale e un sistema migliorato per la selezione degli oggetti in un’immagine. Anche lo Strumento di Cattura è stato aggiornato: ora può adattare automaticamente la cornice al contenuto dello schermo e include un selettore colore. Tuttavia, è improbabile che quest’ultimo richieda l’apprendimento automatico.

Oltre all’intelligenza artificiale, l’aggiornamento di Windows 11 ha introdotto un’altra innovazione degna di nota: la scomparsa della classica schermata blu di errore. Ora, in caso di errore critico, all’utente viene presentata una schermata nera: formalmente, si tratta della stessa schermata blu di errore, ma con uno sfondo diverso. La nuova versione della schermata di errore differisce non solo nel colore, ma anche nel contenuto: al posto del gergo tecnico, ci sono messaggi brevi e più comprensibili. Al posto del precedente Ripristino all’avvio, ora è presente un sistema di diagnostica automatica rapida, Quick Machine Recovery, che, tramite l’ambiente di ripristino di Windows RE, può riparare da remoto errori di massa senza l’intervento dell’utente.

Tutte le innovazioni vengono distribuite tramite un meccanismo di aggiornamento graduale: il Controlled Feature Rollout. Questo evita situazioni in cui un aggiornamento non preparato raggiunge simultaneamente milioni di utenti, causando problemi su larga scala. Chi desidera ottenere le nuove funzionalità più rapidamente può attivare l’opzione “Scarica gli aggiornamenti non appena disponibili” nel sistema. Gli altri possono solo aspettare, o cercare un’alternativa se il ruolo crescente dell’IA nei sistemi operativi non sembra tanto incoraggiante quanto allarmante.

Insieme alle modifiche software, Microsoft ha introdotto il nuovo Surface Laptop 5G, il primo modello della serie con supporto completo per Copilot+ . Il dispositivo è costruito attorno a uno schermo da 13,8 pollici e sarà dotato di chip Intel Core Ultra di seconda generazione, ciascuno dei quali con un processore neurale da 40 TOPS (trilioni di operazioni al secondo). Viene inoltre annunciato il supporto per un modem 5G integrato, che sarà disponibile entro la fine del 2025. L’azienda stessa sottolinea che questa soluzione fornisce una connessione costante ai servizi di intelligenza artificiale nel cloud, incluso Copilot in Microsoft 365.

L'articolo Windows 11, Microsoft spinge sull’intelligenza artificiale con Copilot Vision proviene da il blog della sicurezza informatica.