A nome dell’Associazione Luca Coscioni, esprimiamo il nostro profondo cordoglio per la morte di un giurista straordinario e di un uomo che ha saputo mettere la sua competenza e il suo rigore al servizio della libertà e dei diritti fondamentali.

La sua voce è stata per noi un riferimento morale e culturale in molte battaglie per l’affermazione dello Stato di diritto e la tutela della dignità della persona. Con sensibilità e coraggio, ha saputo unire il pensiero giuridico più alto a un impegno civile concreto, sempre dalla parte delle persone più vulnerabili.

Per noi Vladimiro è stato anche un amico, generoso e attento, con cui abbiamo condiviso riflessioni profonde e momenti cruciali di confronto, sempre guidati da valori comuni: la laicità delle istituzioni, il rispetto dell’autonomia individuale, la difesa dei diritti civili.

Ci mancherà la sua intelligenza limpida, la sua ironia sottile, la sua determinazione gentile.

Con Marco Cappato e l’Associazione Luca Coscioni tutta, lo ricorderemo con affetto, stima e gratitudine.

Un abbraccio affettuoso alla sua famiglia.

L'articolo È morto Vladimiro Zagrebelsky proviene da Associazione Luca Coscioni.

Dichiarazione di Chiara Lalli, Mirella Parachini e Anna Pompili, responsabili della campagna Aborto senza ricovero

La vicenda siciliana ripropone la questione della garanzia di un servizio medico essenziale, quale l’interruzione volontaria della gravidanza (IVG), anche laddove ci siano alte percentuali di obiezione di coscienza tra i ginecologi.

L’articolo 9 della legge 194, quello che permette al personale sanitario di sollevare obiezione di coscienza, è certamente il più applicato, ma non – guardacaso – nella sua interezza. La seconda parte, infatti, impone agli “enti ospedalieri” e alle “case di cura autorizzate” di assicurare “in ogni caso l’espletamento delle procedure previste dall’articolo 7 e l’effettuazione degli interventi di interruzione della gravidanza richiesti secondo le modalità previste dagli articoli 5, 7 e 8. La regione ne controlla e garantisce l’attuazione”.

La legge stessa, dunque, fornisce gli strumenti per garantire alle donne l’accesso all’IVG. Basterebbe applicarla, il che vale anche per le strutture sanitarie con il 100% di obiettori di coscienza, che sono comunque tenute ad assicurare il percorso per l’IVG.

C’è poi l’aggiornamento delle linee di indirizzo ministeriali sulla IVG farmacologica che permettono la deospedalizzazione della procedura. Sono passati ben 5 anni, e solo in due Regioni è ammessa, con la possibilità di autosomministrazione del misoprostolo a domicilio. È evidente che, anche se non risolutiva, la deospedalizzazione limiterebbe enormemente il peso dell’obiezione di coscienza sull’accesso all’IVG. C’è da chiedersi come mai proprio nelle Regioni – come la Sicilia – dove questi ostacoli sono più pesanti e dove i bilanci della sanità sono più problematici, non si sia pensato a questa semplice soluzione.

Ecco perché abbiamo lanciato la campagna Aborto senza ricovero. Per garantire a tutte le donne di scegliere, per non sprecare risorse preziose e per chiedere ai consigli regionali di approvare procedure chiare e uniformi per l’aborto farmacologico in modalità ambulatoriale e senza ricovero.

L’aborto con il metodo farmacologico è sicuro ed efficace e il ricovero non ne aumenta la sicurezza, ma ne decuplica i costi. È il principio dell’appropriatezza delle procedure: a parità di efficacia e di sicurezza, se la persona che deve esservi sottoposta la richiede, deve essere privilegiata la modalità assistenziale che comporta minore spreco di risorse per la sanità pubblica.

È un dovere non solo per evitare lo spreco di risorse, ma anche – in questo caso – per garantire il diritto di scelta delle donne, un principio irrinunciabile e che dovrebbe essere sempre garantito.

Si può firmare QUI

L'articolo Applicare la legge 194, garantire un servizio essenziale proviene da Associazione Luca Coscioni.

Introduction

In a recent incident response case in Brazil, we spotted intriguing new antivirus (AV) killer software that has been circulating in the wild since at least October 2024. This malicious artifact abuses the ThrottleStop.sys driver, delivered together with the malware, to terminate numerous antivirus processes and lower the system’s defenses as part of a technique known as BYOVD (Bring Your Own Vulnerable Driver). AV killers that rely on various vulnerable drivers are a known problem. We have recently seen an uptick in cyberattacks involving this type of malware.

It is important to note that Kaspersky products, such as Kaspersky Endpoint Security (KES), have built-in self-defense mechanisms that prevent the alteration or termination of memory processes, deletion of application files on the hard drive, and changes in system registry entries. These mechanisms effectively counter the AV killer described in the article.

In the case we analyzed, the customer sought our help after finding that their systems had been encrypted by a ransomware sample. The adversary gained access to the initial system, an SMTP server, through a valid RDP credential. They then extracted other users’ credentials with Mimikatz and performed lateral movement using the pass-the-hash technique with Invoke-WMIExec.ps1 and Invoke-SMBExec.ps1 tools. The attacker achieved their objective by disabling the AV in place on various endpoints and servers across the network and executing a variant of the MedusaLocker ransomware.

In this article, we provide details about the attack and an analysis of the AV killer itself. Finally, we outline the tactics, techniques, and procedures (TTPs) employed by the attackers.

Kaspersky products detect the threats encountered in this incident as:

• Trojan-Ransom.Win32.PaidMeme.* (MedusaLocker variant)
• Win64.KillAV.* (AV killer)

Incident overview

The attack began using valid credentials obtained by the attacker for an administrative account. The adversary was able to connect to a mail server via RDP from Belgium. Then, using Mimikatz, the attacker extracted the NTLM hash for another user. Next, they used the following PowerShell Invoke-TheHash commands to perform pass-the-hash attacks in an attempt to create users on different machines.
Invoke-WMIExec -Target "<IP>" -Domain "<DOMAIN>" -Username "<USER>" -Hash "<HASH>" -Command "net user User1 Password1! /ad" -verbose
Invoke-SMBExec -Target "<IP>" -Domain "<DOMAIN>" -Username "<USER>" -Hash "<HASH>" -Command "net user User2 Password1! /ad" -verbose
Invoke-SMBExec -Target "<IP>" -Domain "<DOMAIN>" -Username "<USER>" -Hash "<HASH>" -Command "net localgroup Administrators User1 /ad" -verbose
An interesting detail is that the attacker did not want to create the same username on every machine. Instead, they chose to add a sequential number to the end of each username (e.g., User1, User2, User3, etc.). However, the password was the same for all the created users.

Various artifacts, including the AV killer, were uploaded to the C:\Users\Administrator\Music folder on the mail server. These artifacts were later uploaded to other machines alongside the ransomware (haz8.exe), but this time to C:\Users\UserN\Pictures. Initially, Windows Defender was able to contain the ransomware threat on some machines right after it was uploaded, but the attacker soon terminated the security solution.

The figure below provides an overview of the incident. We were able to extract evidence to determine the attacker’s workflow and the involved artifacts. Fortunately, the analyzed systems still contained relevant information, but this is not always the case.

Incident flow

This kind of attack highlights the importance of defense in depth. Although the organization had an AV in place, the attacker was able to use a valid account to upload an undetectable artifact that bypassed the defense. Such attacks can be avoided through simple security practices, such as enforcing the use of strong passwords and disabling RDP access to public IPs.

The AV killer analysis

To disable the system’s defenses, the attackers relied on two artifacts: ThrottleBlood.sys and All.exe. The first is a legitimate driver originally called ThrottleStop.sys, developed by TechPowerUp and used by the ThrottleStop app. The application is designed to monitor and correct CPU throttling issues, and is mostly used by gamers. The driver involved in the incident has a valid certificate signed on 2020-10-06 20:34:00 UTC, as show below:
Status: The file is signed and the signature was verified
Serial number: 0a fc 69 77 2a e1 ea 9a 28 57 31 b6 aa 45 23 c6
Issuer: DigiCert EV Code Signing CA
Subject: TechPowerUp LLC
TS Serial number: 03 01 9a 02 3a ff 58 b1 6b d6 d5 ea e6 17 f0 66
TS Issuer: DigiCert Assured ID CA-1
TS Subject: DigiCert Timestamp Responder
Date Signed: 2020-10-06 20:34:00 UTC

When loaded, the driver creates a device at .\\.\\ThrottleStop, which is a communication channel between user mode and kernel mode.

ThrottleStop device driver communication overview

Communication with the driver is carried out via IOCTL calls, specifically using the Win32 DeviceIoControl function. This function enables the use of IOCTL codes to request various driver operations. The driver exposes two vulnerable IOCTL functions: one that allows reading from memory and another that allows writing to it. Both functions use physical addresses. Importantly, any user with administrative privileges can access these functions, which constitutes the core vulnerability.

The driver leverages the MmMapIoSpace function to perform physical memory access. This kernel-level API maps a specified physical address into the virtual address space, specifically within the MMIO (memory-mapped I/O) region. This mapping enables reads and writes to virtual memory to directly affect the corresponding physical memory. This type of vulnerability is well-known in kernel drivers and has been exploited for years, not only by attackers but also by game cheaters seeking low-level memory access. The vulnerability in ThrottleStop.sys has been assigned CVE-2025-7771. According to our information, the vendor is currently preparing a patch. In the meantime, we recommend that security solutions monitor for the presence of this known vulnerable driver in the operating system to help prevent exploitation by EDR killers like the one described in this article.

The second artifact, All.exe, is the AV killer itself. Our analysis began with a basic inspection of the file.

First, we inspected its properties. While searching for relevant strings, we noticed a pattern: multiple antivirus process names inside the binary. The following image shows an excerpt of our query.

AV names inside the binary

We were able to map all the processes that the malware tries to kill. The table below shows each one of them, along with the corresponding vendor. As we can see, the artifact attempts to kill the main AV products on the market.

When the binary is executed, it first loads the ThrottleBlood.sys driver using Service Control Manager (SCM) API methods, such as OpenSCManagerA() and StartServiceW().

ThrottleStop/ThrottleBlood driver loading process

The AV killer needs the ThrottleStop driver to hijack kernel functions and enable the execution of kernel-mode-only routines from user mode. To invoke these kernel functions using the driver’s vulnerable read/write primitives, the malware first retrieves the base address of the currently loaded kernel and the addresses of the target functions to overwrite. It achieves this by utilizing the undocumented NtQuerySystemInformation function from Win32.

Kernel base address gathering

Passing the SystemModuleInformation flag allows the function to return the list of loaded modules and drivers on the current system. The Windows kernel is referred to as ntoskrnl.exe. The base address is always different because of KASLR (Kernel Address Space Layout Randomization).

To perform read/write operations using MmMapIoSpace, the system must first determine the physical address used by the kernel. This is achieved using a technique called SuperFetch, which is packed in the open-source superfetch project available on GitHub. This project facilitates the translation of virtual addresses to physical addresses through a C++ library composed solely of header files.

Physical address calculation

The superfetch C++ library makes use of the NtQuerySystemInformation function, specifically using the SystemSuperfetchInformation query. This query returns all current memory ranges and their pages. With this information, the superfetch library can successfully translate any kernel virtual address to its respective physical address.

Calling kernel functions

Now that the physical base address has been collected, the malware must choose a kernel function that can be indirectly called by a system call (from user mode). The chosen syscall is NtAddAtom, which is rarely used and easily callable through ntdll.dll.

NtAddAtom address collection

By loading ntoskrnl.exe with the LoadLibrary function, the malware, among other things, can easily discover the offset of the NtAddAtom function and thus determine its kernel address by adding the current base address and the offset. The physical address is obtained in the same way as the kernel base. With the physical addresses and driver loaded, the malware can exploit the vulnerable IOCTL codes to read and write the physical memory of the NtAddAtom function.

Kernel code injection using vulnerable driver

To call any kernel function, the AV killer writes a small shellcode that jumps to a target address within the kernel. This target address can be any desired kernel function. Once the function completes, the malware restores the original kernel code to prevent system crashes.

Kernel code injection diagram

Process killer main routine

Having obtained all the necessary information, the AV killer starts a loop to find target processes using the Process32FirstW() and Process32NextW API calls. As we mentioned earlier, the list of target security software, such as MsMpEng.exe (Windows Defender), is hardcoded in the malware.

MsMpEng.exe match found

The AV killer checks all running processes against the hardcoded list. If any match, it kills them by using the vulnerable driver to call the PsLookupProcessById and PsTerminateProcess kernel functions.

If a process is killed, a message indicating this, along with the name of the process, is displayed in the console, as depicted in the following image. This suggests that the malware was being debugged.

MsMpEng.exe was killed

Like most antivirus software available today, Windows Defender will attempt to restart the service to protect the machine. However, the main loop of the program will continue to identify and kill the associated AV process.

Defender tries to restart, but is killed again

YARA rule

Based on our analysis of the sample, we developed the following YARA rule to detect the threat in real time. The rule considers the file type, relevant strings (most of which are related to AV processes), and library function imports.
import "pe"

rule AVKiller_MmMapIoSpace {
meta:
description = "Rule to detect the AV Killer"
author = "Kaspersky"
copyright = "Kaspersky"
version = "1.0"
last_modified = "2025-05-14"
hash = "a88daa62751c212b7579a57f1f4ae8f8"
strings:
$shellcode_template = {4? BA 00 00 40 75 00 65 48 8B}
$ntoskrnl = "ntoskrnl.exe"
$NtAddAtom = "NtAddAtom"
$ioctl_mem_write = {9C 64 00 80}
$ioctl_mem_read = {98 64 00 80}
condition:
pe.is_pe and
pe.imports("kernel32.dll", "DeviceIoControl")
and all of them
}

Victims

Based on our telemetry and information collected from public threat intelligence feeds, adversaries have been using this artifact since at least October 2024. The majority of affected victims are in Russia, Belarus, Kazakhstan, Ukraine, and Brazil.

Attribution

This particular AV killer tool was recently used in an attack in Brazil to deploy MedusaLocker ransomware within a company’s infrastructure. However, this type of malware is common among various threat actors, including various ransomware groups and affiliates.

Conclusion and recommendations

This incident offers several valuable lessons. First, that strong hardening practices must be implemented to protect servers against brute‑force attacks and restrict public exposure of remote‑access protocols. Had the victim limited RDP access and enforced robust password policies, the initial breach could have been prevented. Furthermore, this incident underscores the necessity of defense in depth. The AV killer was able to disable the system’s defenses, allowing the attacker to move laterally across machines with ease. To mitigate such threats, system administrators should implement the following mechanisms:

• Application whitelisting and strict enforcement of least‑privilege access.
• Network segmentation and isolation to contain breaches and limit lateral movement.
• Multi‑factor authentication (MFA) for all remote‑access channels.
• Regular patch management and automated vulnerability scanning.
• Intrusion detection and prevention systems (IDS/IPS) to identify anomalous behavior.
• Endpoint detection and response (EDR) tools for real‑time monitoring and remediation.
• Comprehensive logging, monitoring, and alerting to ensure rapid incident detection.
• Periodic security assessments and penetration testing to validate the effectiveness of controls.

Recently, we have seen an increase in attacks involving various types of AV killer software. Threat protection services should implement self-defense mechanisms to prevent these attacks. This includes safeguarding application files from unauthorized modification, monitoring memory processes, and regularly updating detection rules on customers’ devices.

Tactics, techniques and procedures

The TTPs identified from our malware analysis for the AV killer are listed below.

Indicators of compromise

Vulnerable ThrottleBlood.sys driver
82ed942a52cdcf120a8919730e00ba37619661a3
Malware observed in the incident
f02daf614109f39babdcb6f8841dd6981e929d70 (haz8.exe)
c0979ec20b87084317d1bfa50405f7149c3b5c5f (All.exe)
Other AV killer variants
eff7919d5de737d9a64f7528e86e3666051a49aa
0a15be464a603b1eebc61744dc60510ce169e135
d5a050c73346f01fc9ad767d345ed36c221baac2
987834891cea821bcd3ce1f6d3e549282d38b8d3
86a2a93a31e0151888c52dbbc8e33a7a3f4357db
dcaed7526cda644a23da542d01017d48d97c9533

securelist.com/av-killer-explo…

No, of course not. Per Betteridge’s law, that’s the answer to any headline with a question mark. On the other hand, while a thermal printer might not cure ADHD, it can help treat it — according to [Laurie Hérault], to the point of curing his procrastination habit. Even if you don’t have ADHD, you probably do procrastinate sometimes, so this hack is worth a look.

The printer itself is a key hardware portion of the hack, but the hack itself is purely organizational. [Laurie] started with post-its before adding automation. Before the post-it notes came a simple realization: [Laurie] could sit and play games for hours, but not buckle down for serious work for more than a few minutes, if he could even get started. (Who can’t relate?) That sent him down a rabbit hole reading about the psychology of what makes games so addictive — and the idea of “gamification” that was so popular in educational circles not long ago.

Unlike work, games give you a loop of unambiguous, instant, and continuous feedback to pump your dopamine circuits. [Laurie] uses the example of an FPS. You aim, you shoot — and either you miss, or you hit the target. Either way, there’s feedback. When you hit, your brain gives you dopamine. This fast loop of input -> feedback is what [Laurie] felt he was missing from his day.

You’d want to organize the post-its better than this. (Image by Pexels.)
That’s where the post-it notes came in. Post-its went up on a board with all of his tasks for the day; the input was his completing the tasks, and the feedback was taking them down, crumpling them up, and putting them into a clear jar that would serve as a score bar for his productivity. The feedback actually rewarded multiple senses this way: the tactility of crumpling paper, the sound of it, and the visual of the rising level of the jar.

A key insight [Laurie] had in this process is that many productivity apps (including gamifying ones) are focused too much on high-level tasks by default. “Clean the kitchen,” for example. That’s too big! It’s daunting, and it takes too long for that immediate, gamified feedback. Instead [Laurie] breaks down “Cleaning the Kitchen” into “Clean the dishes”, “Wipe the Counter”, “Take out the Trash”, et cetera. The smaller the steps, the more frequent the reward, and the easier it is to start them without exerting much willpower: just like a video game.

Of course writing all of those post-it notes gets tedious, especially for recurring and pre-scheduled tasks, and that tedium increases exponentially when breaking tasks down into the smallest possible chunks. That’s where the thermal printer came in. [Laurie] wrote a simple software utility to allow him to create high-level tasks, and break them down into small action items that are immediately sent to the thermal printer. After that, the system works just as it does with the post-it notes. He promises to share this software, but it does not seem to have yet been released. Hopefully he’s not procrastinating on that, or our faith in the process is ruined.

Thermal printers are great for lifehacks, like this hack for receipt-like mementos, or this one to ease the load on a dungeon master. If you prefer you can skip the ‘life’ part of lifehacks, and just make an instant camera.

hackaday.com/2025/08/06/can-a-…

Reloading filament on a 3D printer is hardly anyone’s favorite task, but it’s even worse when you’re trying to shove stiff filament down a long and winding Bowden tube. Enter the speed loader from [Mr Flippant], which aims to take the pain out of this mechanically-frustrating chore.

The design is simple enough. It’s a small handheld tool that uses a 12 VDC gear motor to drive a set of Bondtech-style drive gears that you might find in an extruder. They’re assembled in a 3D printed housing with a microswitch to activate the motor, and a 9 volt battery to supply the juice.

To use the device, first thread the filament into the beginning of the Bowden tube. The idler gear is on a hinge, such that clamping it into position around the filament with the main gear activates the microswitch and turns the motor on, driving the filament all the way to the extruder. Job done! [Mr Flippant] notes that the filament should be as straight and unkinked as possible for best results, but that’s good advice when 3D printing in general.

Funnily enough, around these parts, when we talk about speed loaders, we’re usually discussing tapes.

youtube.com/embed/EtV3ZXkA_nE?…

youtube.com/embed/qL7nFMtGzdM?…

Thanks to [LookAtDaShinyShiny] for the tip!

hackaday.com/2025/08/06/a-spee…

[Avi Gupta] recently sent in their LoRaSense RGB Pi HAT project. This “HAT” (Hardware Attached to Top) is for any Raspberry Pi with 40-pin header. The core of the build is the custom printed circuit board which houses the components and interconnects. The components include an SHT31 temperature and humidity sensor, an SX1278 LoRa module, and a 10 amp 220 VAC relay. The interconnects include support for UART, I2C, SPI, and WS2812B RGB LED interfaces as well as a stackable header for daisy chaining HATs.

The attached components in combination support a wide range of use cases. Possible uses for this Raspberry Pi HAT include smart home systems, agricultural projects, industrial monitoring, smart greenhouse, remote weather stations, or alerting systems. You can detect weather conditions, send and receive information, switch mains powered loads, and use RGB LEDs for status and alerting.

If you’re interested in LoRa technology be sure to read about the Yagi antenna that sends LoRa signals farther.

hackaday.com/2025/08/05/lorase…

Il 5 agosto 2025, Adobe ha rilasciato un aggiornamento di sicurezza urgente per Adobe Experience Manager (AEM) Forms su Java Enterprise Edition (JEE), risolvendo due gravi vulnerabilità: CVE-2025-54253 e CVE-2025-54254.

La più pericolosa, il CVE-2025-54253, è una zero-day attivamente sfruttata in natura prima della patch, con un punteggio CVSS di 10.0, il massimo possibile. Un attaccante non autenticato può sfruttare questa falla per ottenere il pieno controllo del server vulnerabile, eseguendo comandi da remoto, accedendo a dati sensibili e muovendosi lateralmente nella rete.

La vulnerabilità è causata da una configurazione errata in alcune installazioni di AEM Forms, dove risulta abilitata per impostazione predefinita la modalità di sviluppo di Apache Struts. Questo consente l’esecuzione di espressioni OGNL, tipiche degli attacchi RCE. Inoltre, è stato segnalato un bypass dell’autenticazione che consente l’esecuzione degli exploit anche senza credenziali.

Adobe ha confermato che un proof-of-concept è stato pubblicamente disponibile per un breve periodo prima di essere rimosso. Tuttavia, al momento non sono noti exploit pubblici completamente funzionanti, anche se è altamente probabile che esistano versioni private utilizzate da attori malevoli.

La seconda vulnerabilità, CVE-2025-54254, è anch’essa critica (CVSS 8.6) e riguarda una falla di tipo XXE (XML External Entity) che permette la lettura arbitraria del file system. Anche in questo caso è stata confermata la disponibilità di un PoC pubblico.

Adobe invita gli utenti a installare immediatamente l’aggiornamento che porta AEM Forms su JEE alla versione 6.5.0-0108, classificata come aggiornamento di priorità 1. In assenza della possibilità di aggiornare subito, è fortemente consigliato limitare l’accesso esterno agli endpoint AEM Forms e disattivare la modalità di sviluppo di Struts in tutti gli ambienti.

Inoltre, è fondamentale controllare i log di accesso e di sistema alla ricerca di attività sospette, come richieste contenenti sintassi OGNL, che potrebbero indicare tentativi di exploit.

L'articolo Adobe Experience Manager Forms sotto attacco! Patch urgente per bug RCE zero-day da score 10 proviene da il blog della sicurezza informatica.

Il settore globale della sicurezza informatica si sta preparando per una nuova sfida: Microsoft lancia un’iniziativa Zero Day Quest aggiornata, promettendo ricompense che in precedenza sembravano fantastiche: il montepremi totale ha raggiunto i 5 milioni di dollari. Questa mossa non solo incoraggia i migliori specialisti nella ricerca di vulnerabilità , ma definisce anche nuovi standard di protezione per i servizi cloud e l’intelligenza artificiale

L’anno scorso, il lancio iniziale del programma aveva già attirato l’attenzione dell’intera comunità professionale: il montepremi era allora di 4 milioni di dollari e il format stesso aveva suscitato un interesse di rara portata. Questa volta, Microsoft alza la posta in gioco e si concentra sulle minacce più pericolose associate alle piattaforme cloud e all’intelligenza artificiale.

Gli organizzatori sottolineano che si tratta del più grande concorso pubblico di ricerca di vulnerabilità della storia, in cui gli sforzi dei principali specialisti e ingegneri dell’azienda saranno combinati per proteggere in modo proattivo dalle crescenti minacce. Questo approccio riflette la nuova strategia di Microsoft: l’enfasi è posta sulla cooperazione aperta e sulla ricerca di innovazione in un panorama di attacchi in continua evoluzione.

Zero Day Quest si basa sull’idea di incentivare l’hacking etico, ovvero la scoperta dei cosiddetti “zero day”, vulnerabilità precedentemente sconosciute che potrebbero essere sfruttate dagli aggressori per compromettere dati o distruggere infrastrutture. L’anno scorso, l’azienda ha investito 1,6 milioni di dollari solo per le scoperte nel campo dell’intelligenza artificiale di Copilot e dei servizi cloud, il che si è rivelato un incentivo significativo per le ricerche più audaci e approfondite.

La nuova ondata della competizione inizierà con la Research Challenge, dove dal 4 agosto al 4 ottobre 2025, esperti di tutto il mondo potranno proporre soluzioni per la ricerca di vulnerabilità nelle aree di massima priorità: infrastruttura Microsoft Azure, intelligenza artificiale Copilot, piattaforme aziendali Dynamics 365 e Power Platform, nonché sistemi di autenticazione e pacchetto M365.

Per vulnerabilità critiche, così come per bug in scenari speciali, viene fornito un bonus alla ricompensa, più il 50% al pagamento e, se coincidono più criteri, l’importo massimo aumenta.

I partecipanti selezionati potrebbero ricevere un invito a un evento riservato presso la sede centrale di Microsoft a Redmond nella primavera del 2026. Qui, i migliori specialisti collaboreranno con gli ingegneri dell’azienda per analizzare collettivamente i casi più complessi, ad esempio exploit per Kubernetes o attacchi ai modelli di linguaggio Copilot. Ma l’essenza dell’evento non è la competizione, bensì la condivisione delle conoscenze: gli esperti analizzeranno gli scenari di exploit più pericolosi, dall’aggiramento delle protezioni negli ambienti virtuali agli attacchi nascosti all’intelligenza artificiale.

Il programma opera secondo rigide regole di divulgazione responsabile: i premi dipendono dalla gravità e dalla riproducibilità della vulnerabilità, nonché dal suo impatto sull’azienda, che viene valutato utilizzando parametri internazionali e modelli di rischio interni.

L’ampliamento del fondo massimo a 5 milioni di dollari non è solo un modo per sostenere l’ingegno, ma anche un riconoscimento del fatto che le nuove tecnologie richiedono maggiore attenzione alla sicurezza. Microsoft si sta concentrando sulle vulnerabilità dell’intelligenza artificiale (attacchi che possono corrompere i modelli) e sulle falle nel controllo degli accessi al cloud che potrebbero portare a violazioni su larga scala. Pone particolare enfasi sugli scenari in cui gli hypervisor o gli algoritmi di inferenza dell’intelligenza artificiale sono a rischio.

Questa strategia rispecchia una tendenza globale: le grandi aziende utilizzano il crowdsourcing per ricercare proattivamente le vulnerabilità, in modo da non cedere agli aggressori nemmeno di un passo. In condizioni in cui sono in gioco non solo i dati aziendali, ma anche la sicurezza delle infrastrutture di interi Paesi, tali iniziative stanno diventando parte integrante della protezione globale.

Tutti i risultati vengono accettati tramite il canale ufficiale MSRC e i partecipanti ricevono non solo un premio in denaro, ma anche il prestigio del riconoscimento nella comunità professionale. La storia degli anni passati dimostra che tali concorsi non si limitano a correggere gli errori, ma aumentano effettivamente la sostenibilità delle nuove tecnologie e, forse, prevengono i disastri prima che si verifichino.

L'articolo Microsoft lancia la caccia al bug da 5 milioni di dollari! E la guerra agli zero-day comincia! proviene da il blog della sicurezza informatica.

Di recente, i criminali informatici si sono nuovamente concentrati su vecchie vulnerabilità presenti nelle popolari telecamere Wi-Fi e nei DVR D-Link. La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha ufficialmente aggiunto tre pericolose vulnerabilità al suo catalogo di minacce attivamente sfruttate (KEV), nonostante siano state tutte scoperte diversi anni fa. Questa decisione è stata presa alla luce di nuove prove che dimostrano che gli aggressori continuano ad attaccare dispositivi vulnerabili in tutto il mondo e che attacchi sono già stati registrati in reti reali.

L’elenco CISA include tre vulnerabilità relative ai dispositivi D-Link DCS-2530L, DCS-2670L e DNR-322L. La prima, CVE-2020-25078 con un punteggio CVSS di 7,5, consente l’accesso remoto alla password di amministratore della telecamera. Non sono richieste tecniche complesse per lo sfruttamento; è sufficiente sfruttare una falla nei meccanismi di sicurezza di questi modelli per scoprire i dati chiave per l’accesso al dispositivo.

Il secondo problema, CVE-2020-25079 con un punteggio più alto di 8,8, è legato alla capacità di eseguire comandi sul sistema tramite il componente cgi-bin/ddns_enc.cgi. Per sfruttare questa falla è richiesta l’autorizzazione, ma una volta ottenuto l’accesso, l’aggressore può iniettare i propri comandi nel dispositivo, ampliando significativamente le capacità di controllo della telecamera.

Anche la terza vulnerabilità, CVE-2020-40799 , ha un punteggio di 8,8. Riguarda la mancanza di controllo di integrità durante il caricamento del codice sul videoregistratore D-Link DNR-322L, che consente di eseguire comandi arbitrari a livello di sistema operativo dopo aver ottenuto l’autorizzazione, aprendo la strada all’installazione di malware e a un ulteriore controllo sull’apparecchiatura.

Di particolare rilievo è il fatto che la vulnerabilità CVE-2020-40799 non è ancora stata risolta dal produttore.

Il motivo è che il modello DNR-322L è ufficialmente riconosciuto come obsoleto e non è più supportato da D-Link: il suo ciclo di vita è terminato a novembre 2021. Si consiglia ai proprietari di questi dispositivi di interromperne l’utilizzo il prima possibile e di passare a soluzioni più moderne, in cui le falle siano state risolte. Le patch per gli altri due modelli sono state rilasciate nel 2020; tuttavia, come mostrano le statistiche, molte organizzazioni e utenti privati non hanno ancora aggiornato le proprie apparecchiature e sono a rischio.

La rilevanza del problema è confermata dal fatto che già nel dicembre 2024 l’FBI (Federal Bureau of Investigation) statunitense aveva emesso un avviso secondo cui la botnet HiatusRATstava attivamente scansionando Internet alla ricerca di telecamere con una vulnerabilità non corretta, la CVE-2020-25078. Ciò significa che dispositivi incontrollati possono essere utilizzati per attività di spionaggio, attacchi alle infrastrutture e persino per organizzare nuove botnet: eventi simili sono già stati registrati più di una volta in diversi Paesi.

Alle agenzie civili federali degli Stati Uniti è stata data una scadenza rigorosa: tutte le misure per neutralizzare le vulnerabilità devono essere implementate entro il 26 agosto 2025. Tali ordini mirano a proteggere le reti critiche da attacchi che potrebbero portare a fughe di dati, interferenze con la videosorveglianza e altre conseguenze pericolose. Nel contesto odierno, le telecamere non protette stanno diventando non solo un bersaglio per gli hacker, ma anche uno strumento per campagne informatiche su larga scala, e la loro distribuzione di massa non fa che aggravare i rischi.

Nella situazione attuale, il compito di aggiornare tempestivamente tutti i dispositivi utilizzati nelle reti aziendali e domestiche, nonché la dismissione obbligatoria dei modelli non supportati, sta diventando sempre più urgente. Proteggere l’infrastruttura digitale oggi è impossibile senza una risposta tempestiva all’emergere di minacce anche “obsolete”, soprattutto quando vengono utilizzate attivamente da veri aggressori.

L'articolo Telecamere D-Link sotto attacco! Gli hacker sfruttano ancora vulnerabilità del 2020. Il CISA Avverte proviene da il blog della sicurezza informatica.

Red Hot Cyber ha ricevuto e condivide con i propri lettori il comunicato ufficiale di Monte-Carlo Société des Bains de Mer, il celebre casinò di Montecarlo, in merito a un recente episodio di possibile compromissione informatica che ha attirato l’attenzione mediatica e del mondo della cybersecurity.

Domenica 3 agosto, la società ha preso atto di una rivendicazione pubblicata dal gruppo ransomware D4rk4rmy, che ha dichiarato di aver condotto un attacco informatico ai danni del Casinò di Montecarlo e di aver pubblicato dati estratti, in particolare una lista di contatti limitata a dipendenti e clienti, sul proprio sito.

Il comunicato recita testualmente:

Monte-Carlo Société des Bains de Mer ha preso atto domenica 3 agosto di una possibile compromissione della propria reputazione, riconducibile alla rivendicazione di un presunto attacco informatico. Tale atto riguarderebbe l’accesso a un numero molto limitato di contatti tra dipendenti e clienti.

Abbiamo immediatamente avviato indagini su tutte le fonti possibili e, parallelamente, abbiamo informato tutte le autorità competenti del Principato di Monaco – l’Agenzia Monegasca per la Sicurezza Informatica (AMSN), l’Autorità per la Protezione dei Dati Personali (APDP), la Direzione della Sicurezza Pubblica – con le quali siamo attivamente impegnati.

Abbiamo provveduto personalmente a presentare una denuncia.
A questo stadio, non è stata rilevata alcuna intrusione o anomalia nei nostri sistemi informatici, né alcun impatto sulle nostre operazioni.

Tutti i team competenti restano pienamente mobilitati per verificare e analizzare, nel più breve tempo possibile, la veridicità di questo presunto attacco informatico, l’autenticità e l’appartenenza dei dati eventualmente compromessi.

L’incidente è stato pubblicamente rivendicato dal gruppo D4rk4rmy, noto per attacchi ransomware di matrice criminale, che ha reso visibile la sua azione tramite il proprio portale online, diffondendo una parte dei dati sottratti come forma di pressione sul casinò per un riscatto.

Ad oggi, il Casinò di Montecarlo conferma che nessun danno operativo è stato rilevato, e che le indagini sono tuttora in corso per stabilire l’effettivo impatto dell’evento.

Ringraziando il Casinò di Montecarlo per le preziose informazioni, Red Hot Cyber continuerà a monitorare la situazione e a fornire aggiornamenti non appena emergeranno nuovi dettagli da fonti ufficiali e investigative.

L'articolo Il Casinò di Montecarlo scrive a RHC: “A questo stadio, non è stata rilevata alcuna intrusione” proviene da il blog della sicurezza informatica.

Per decenni abbiamo celebrato il digitale come la promessa di un futuro più connesso, efficiente e democratico.

Ma oggi, guardandoci intorno, sorge una domanda subdola e inquietante: e se fossimo veramente entrati nel periodo della decadenza digitale? Un’epoca in cui la tecnologia, da motore del progresso, si sta trasformando in una pesante zavorra, in disinformazione, dipendenza e soprattutto disumanizzazione — dove il digitale ci promette tutto, ma ci toglie lentamente ciò che ci rende umani.

In questo articolo voglio condividere alcuni “segnali” che da tempo osservo e cerco di contestualizzare. Indizi sottili ma sempre più evidenti, che mostrano come il sogno digitale stia perdendo lucidità, lasciandoci spettatori di una trasformazione che ci riguarda tutti — e che forse stiamo subendo più che guidando.

La sovrabbondanza dei contenuti e la morte del significato

In rete si pubblicano ogni giorno miliardi di contenuti. Ma quanta di questa produzione ha un reale valore?

L’informazione si è trasformata in rumore, i testi in clickbait, le immagini in labirinti per l’attenzione.

La conoscenza approfondita è stata sacrificata sull’altare della viralità e della velocità. La “quantità” ha sopraffatto la qualità. In questo scenario, ciò che è vero viene sepolto sotto ciò che è virale, e l’utente medio, bombardato da input, perde la sua capacità critica.

L’IA avrebbe dovuto potenziare le nostre capacità cognitive, liberandoci da compiti ripetitivi. Invece, si sta delineando uno scenario inquietante: testi, immagini, video e perfino emozioni sintetiche prodotti a velocità disumana, rendendo indistinguibile il reale dal simulato.

L’autenticità perde valore. La creatività umana è messa in ombra da un flusso inarrestabile di “prodotto digitale” generato da macchine. Ciò che era raro e prezioso, ora è replicabile, indistinto, con un sapore “statistico,” e privo di anima.

Il collasso delle relazioni e la dipendenza: il nuovo modello di Business

I social network, nati per avvicinare le persone, sono diventati luoghi di alienazione, narcisismo e polarizzazione.

Il concetto stesso di “amicizia” è stato svuotato. Le interazioni umane sono filtrate da algoritmi che decidono cosa dobbiamo vedere, pensare, desiderare. Si parla tanto di “engagement“, ma ciò che cresce è la solitudine. E questo noi che ci occupiamo di Cybersecurity lo vediamo. Romantic scam, macellazione del maiale. Il digitale ha moltiplicato le connessioni, ma sta irrimediabilmente indebolendo i legami e l’autenticità a tutto tondo.

Nel capitalismo digitale, la risorsa più preziosa non è il denaro, ma la nostra attenzione. E per ottenerla, tutto è lecito: notifiche infinite, scorrimento infinito (che sta lobotomizzando i giovani), e tutto questo con premi dopaminergici.

Le piattaforme non si limitano più a offrirci servizi: ci osservano, ci influenzano e ci tengono incollati. Un tempo la sorveglianza era il cuore del modello di business di Internet (ci spiegava il grande Bruce Schneier). Oggi sta accadendo qualcosa di più sottile e pervasivo: la dipendenza è diventata il nuovo modello di business.

La libertà dell’individuo si dissolve nella compulsione algoritmica. Non siamo più utenti, siamo merce — profilati, sezionati e rivenduti al miglior offerente, mentre crediamo di esercitare scelte libere in un ecosistema pensato per essere manipolati.

Vulnerabilità, dati, privacy e cyberminacce

Ogni nostra azione online lascia molte traccie. Ogni dispositivo è una porta d’ingresso. La digitalizzazione totale ci ha resi vulnerabili come mai prima. Dalla sorveglianza di massa alle fughe di dati personali, dai ransomware che paralizzano ospedali ai deepfake che minano la fiducia pubblica, viviamo immersi in un’epoca di insicurezza digitale sistemica. Il digitale, che avrebbe dovuto renderci più sicuri, ha spalancato invece nuove e imprevedibili frontiere del rischio.

La privacy, un tempo pilastro della dignità individuale, è oggi una chimera: promessa a parole, ma purtroppo sistematicamente violata nei fatti. Un’illusione che ci viene venduta mentre veniamo osservati, profilati e monetizzati.

C’è un senso di stanchezza nell’aria?

I nuovi dispositivi, le app, gli aggiornamenti sembrano più routine di consumo per far girare quella grossa ruota del consumo, che rivoluzioni culturali. iPhone 17? Ma cosa ha davvero di così rivoluzionario rispetto all’iPhone 12?

Le grandi aziende non innovano più per cambiare il mondo, ma per consolidare il loro dominio sul mondo.

Il mercato si concentra, l’energia creativa si spegne. Le startup, un tempo laboratorio del futuro con pochissime e illuminate persone, oggi inseguono l’effimero: rendere il cibo più veloce, il dating più superficiale, le notifiche più invasive.

L’innovazione ha smarrito la bussola. E noi, forse, la capacità di distinguere il progresso dalla sua caricatura.

I nuovi Dei: Conglomerati, Potere e la Fine della Casa Comune

Nel nostro tempo, i grandi conglomerati globali non sono più semplicemente aziende. Sono potenze sovranazionali, colossi economici che muovono capitali superiori al prodotto interno lordo di intere nazioni. Hanno sedi nei grattacieli, ma radici profondissime nella terra fertile della politica. Nessun vertice internazionale, nessuna agenda globale può prescindere dalla loro influenza e interferenza. Hanno ridefinito le regole, trasformando la democrazia in un esercizio di relazioni pubbliche e la sovranità in una formalità amministrativa.

Nutrendosi di dati, risorse e consenso, questi nuovi Leviatani tecnologici hanno creato un ecosistema dove il business è il valore supremo, una nuova etica mercantile che soppianta quella umana. L’uomo non è più “cittadino del mondo“, ma utente; non più soggetto di diritto, ma “oggetto di profilazione“. E mentre ci illudiamo di essere connessi, loro costruiscono cattedrali di silicio e labirinti algoritmici per le nostre menti sfruttando una quantità di energia senza precedenti.

L’intelligenza artificiale, con tutta la sua promessa di progresso, è anche figlia di un’incontrollabile fame energetica. E questa fame ha risvegliato appetiti antichi: complessi nucleari privati stanno sorgendo come nuove centrali del potere. La visione di un mondo più pulito, racchiusa nei sogni dell’Agenda 2030, si dissolve nel calore radioattivo dei reattori per alimentare l’apprendimento dei modelli di intelligenza artificiale. E questa è una corsa che brucia silenziosamente i principi ecologici e i valori umani.

La Terra non è più percepita come una madre, ma come una cava. E come ogni figlio ingrato, l’uomo continua a violarla, a saccheggiarla, a ignorarne i limiti. Non c’è rispetto per la casa in cui viviamo, e ancor meno per noi stessi e per i nostri figli.

Ci siamo convinti che il valore si misuri solo con il capitale, margini di profitto e crescita perpetua. Abbiamo scambiato l’espansione continua per un segno di salute, dimenticando che in natura ciò che cresce senza equilibrio, senza limiti, distruggendo ciò che lo circonda e alla fine se stesso… si chiama tumore.

Conclusione: è davvero decadenza?

Non possiamo sapere con certezza se siamo all’inizio del tramonto digitale o in una sua fase di trasformazione.

La decadenza digitale non è solo tecnologica: è antropologica. È il lento declino della nostra capacità di distinguere il reale dal simulato, il vero dal verosimile, l’umano dall’algoritmico. È la progressiva erosione del pensiero critico, dell’intimità e della riflessione, a favore della velocità, della reazione e della superficialità.

È vero, ogni epoca ha avuto i suoi momenti di eccesso, di crisi e di forte riflessione.

Ma ciò che è chiaro è che il paradigma attuale non è sostenibile. Abbiamo bisogno di una nuova visione: un digitale che non consumi, ma che costruisca; che non manipoli, ma che emancipi; che non produca soltanto profitto, ma anche buon senso.

La decadenza, in fondo, non è necessariamente la fine. È spesso un invito al cambiamento. Un segnale che qualcosa deve per forza evolversi.

Sta a noi decidere se assistere al collasso o essere protagonisti di un “rinascimento digitale”.

L'articolo Decadenza Digitale: Quando il Futuro Promesso Diventa una Gabbia per la mente proviene da il blog della sicurezza informatica.

Con così tante possibilità di trasmettere video online, la protezione dei contenuti continua a essere una questione fondamentale per i titolari dei diritti d’autore. Questo risultato è spesso ottenuto tramite strumenti antipirateria di gestione dei diritti digitali (DRM), che stabiliscono dove e quando è possibile accedere ai contenuti digitali.

PlayReady DRM è uno dei principali attori del settore. La tecnologia di proprietà di Microsoft è utilizzata da molti dei principali servizi di streaming, tra cui Disney+, Netflix, Prime Video e altri. Pertanto, mantenerla sicura è fondamentale.

Qualche settimana fa, un account chiamato “Widevineleak” ha pubblicato un elenco di certificati SL2000 e SL3000 su GitHub. La variante SL2000 è comunemente nota come DRM software, mentre la variante SL3000, più avanzata, offre una sicurezza hardware più avanzata.

La fuga di notizie dei certificati SL3000 è particolarmente problematica perché SL3000 è progettato per proteggere i contenuti di altissima qualità, comprese le versioni 4K e UHD. Con questi certificati, i pirati potrebbero potenzialmente decrittografare e ridistribuire flussi video ad alta risoluzione, aggirando di fatto le protezioni.

La fonte originale della fuga di notizie è sconosciuta. Tuttavia, la prospettiva di una pirateria di massa è chiaramente problematica per i titolari dei diritti, le piattaforme di streaming e la stessa PlayReady, che fa affidamento su fiducia e sicurezza. Non sorprende quindi che Microsoft abbia preso provvedimenti immediati.

La risposta di Microsoft includeva un avviso di rimozione inviato alla sua sussidiaria, GitHub, chiedendole di rimuovere i certificati SL3000 trapelati. Ciò conferma che le informazioni trapelate erano autentiche e a rischio di sfruttamento. “I materiali ospitati fanno parte del nostro prodotto PlayReady e consentono ai malintenzionati di piratare i contenuti protetti da PlayReady”, si legge nell’avviso, aggiungendo che “l’intero repository viola i diritti” e pertanto dovrebbe essere completamente rimosso.

GitHub ha ottemperato alla notifica di rimozione e ha rimosso il contenuto in questione, nonché due fork del repository. I visitatori che consultano il link oggi vedranno invece una notifica di rimozione .

Curiosamente, i certificati SL2000 trapelati non sono stati menzionati nell’avviso di rimozione e sono ancora online al momento della stesura di questo articolo. Sebbene l’attenzione fosse rivolta ai certificati SL3000, a maggiore sicurezza, l’omissione solleva interrogativi sulla strategia più ampia di Microsoft per affrontare tali fughe di notizie a diversi livelli di sicurezza.

L'articolo La Fuga dei certificati PlayReady, costringe Microsoft ad interviene per proteggere lo streaming proviene da il blog della sicurezza informatica.

In un articolo pubblicato il 5 agosto 2025 sul blog ISC SANS da parte di Bojan Zdrnja, è possibile effettuare il furto delle “chiavi di macchina” (Machine Keys) nei server IIS. L’autore esplora il meccanismo di queste chiavi e come possano essere sfruttate, in particolare alla luce di recenti exploit ToolShell per Microsoft SharePoint. Il furto di una Machine Key rappresenta una minaccia significativa, consentendo agli attaccanti di superare le misure di protezione dei dati, come la validazione del VIEWSTATE, e potenzialmente ottenere un accesso persistente.

Una Machine Key è un’impostazione di configurazione cruciale in IIS e ASP.NET, utilizzata per proteggere dati sensibili come il VIEWSTATE, i cookie e lo stato della sessione. La sua funzione principale è convalidare e crittografare questi dati per impedire manomissioni non autorizzate. L’autore spiega come in ASP.NET Web Forms, il VIEWSTATE sia un meccanismo progettato per mantenere lo stato dei controlli e dei dati della pagina tra i postback al server.

Per impostazione predefinita, IIS abilita la validazione del VIEWSTATE MAC (Message Authentication Code), ma la crittografia è spesso impostata su “Auto”, il che significa che potrebbe non essere sempre in uso. La Machine Key è essenziale per questa validazione, che tipicamente impiega algoritmi come SHA1 o HMACSHA256. L’autore sottolinea che, se un attaccante riesce a impossessarsi della Machine Key di un server, può alterare i valori del VIEWSTATE e dei cookie a suo piacimento.

Il possesso di una Machine Key valida può portare a conseguenze molto gravi, tra cui l’esecuzione di codice in remoto. Il testo illustra due modi in cui una chiave di macchina è comunemente conservata: o viene generata automaticamente da IIS e salvata nel registro di sistema, oppure viene creata dall’amministratore e archiviata in chiaro nel file web.config. L’autore nota che gli attaccanti che sfruttano vulnerabilità come l’inclusione di file o le entità esterne XML (XXE) possono spesso recuperare il file web.config per rubare la chiave.

Anche nel caso in cui la chiave sia generata automaticamente e si trovi nel registro, un attaccante che ha già ottenuto l’esecuzione di codice sul server può comunque leggerla. L’articolo fornisce un esempio pratico, un “proof-of-concept”, che dimostra come una Machine Key rubata possa essere sfruttata per l’esecuzione di codice remoto. Utilizzando uno strumento come ysoserial.net, un aggressore può creare un oggetto VIEWSTATE dannoso.

Poiché l’attaccante possiede la Machine Key valida, il server convaliderà con successo il MAC dell’oggetto e cercherà di deserializzarlo, attivando il codice malevolo. L’autore enfatizza che, una volta che un attaccante ha in mano una Machine Key valida, ha di fatto creato una “backdoor persistente” al server, che funzionerà su qualsiasi pagina ASPX all’interno dell’applicazione.

Infine, l’articolo offre un suggerimento per gli amministratori, spiegando che possono rilevare tali attacchi monitorando l’evento con codice 4009 nel log delle applicazioni di Windows. Questo evento viene generato quando la deserializzazione del VIEWSTATE fallisce, e l’intero oggetto VIEWSTATE viene registrato, permettendo un’ispezione più approfondita.

L'articolo Con ToolShell, è possibile accedere alle Machine key di Internet information Services (IIS) proviene da il blog della sicurezza informatica.

Every Thursday of the week, Bastian’s Night is broadcast from 21:30 CEST (new time).

Bastian’s Night is a live talk show in German with lots of music, a weekly round-up of news from around the world, and a glimpse into the host’s crazy week in the pirate movement.

If you want to read more about @BastianBB: –> This way

piratesonair.net/bastians-nigh…