Active Directory (AD) contiene le chiavi digitali dell’organizzazione: l’accesso non autorizzato a questo servizio espone informazioni sensibili e credenziali che possono condurre a una compromissione totale del dominio.

Tra gli asset più critici c’è il file NTDS.dit, che memorizza l’insieme dei dati di dominio e gli hash delle password. Questo articolo ricostruisce un caso reale in cui attori ostili hanno ottenuto privilegi elevati, hanno estratto NTDS.dit e hanno tentato la sua esfiltrazione eludendo controlli comuni.

Il valore strategico di NTDS.dit

In un ambiente Windows dominato da Active Directory, il file NTDS.dit (NT Directory Services Directory Information Tree) rappresenta il database centrale del dominio: contiene account utente, policy di gruppo, oggetti computer e — elemento cruciale — gli hash delle password di tutti gli account, compresi quelli con privilegi di Domain Administrator.

Il furto di questo file permette ad un attaccante, una volta in possesso dell’hive di sistema (SYSTEM) per decrittare il contenuto, di estrarre gli hash, attaccarli offline e impersonare qualunque identità all’interno del dominio. In pratica si ottiene la “mappa” dell’identità digitale dell’organizzazione.

Gli aggressori, riporta la ricerca di Trellix, dopo aver acquisito privilegi amministrativi su un host, sfruttano spesso strumenti nativi (ad esempio vssadmin) per creare Volume Shadow Copy e aggirare i lock sui file, copiando così NTDS.dit senza interrompere i processi AD. Successivamente riparano il file con esentutl e ricavano credenziali con utilità come SecretsDump, Mimikatz o anche con semplici comandi di copia. Queste operazioni possono risultare sorprendentemente silenziose per molte difese tradizionali, motivo per cui il rilevamento basato sul comportamento di rete è fondamentale.

Sequenza dell’attacco: estrazione e esfiltrazione di NTDS.dit

L’analisi del caso mostra una catena di azioni tipica: accesso iniziale, raccolta di hash, uso di hash per autenticarsi, movimento laterale e quindi estrazione di NTDS.dit insieme all’hive di registro SYSTEM, indispensabile per ottenere la Boot Key necessaria alla decrittazione.
Kill Chain completa: dalla compromissione al rilevamento (Fonte Trellix)
Fasi principali illustrate:

1. Raccolta degli hash — Gli avversari ottengono hash delle password tramite metodi come DCSync o estraendoli dalla memoria del processo lsass.exe (ad esempio con Mimikatz), operazione che richiede privilegi elevati sull’host compromesso.
2. Autenticazione tramite hash rubati — Con la tecnica “Pass the Hash” (MITRE ID: T1550.002) è possibile autenticarsi come l’utente compromesso, sfruttando NTLM o algoritmi AES (es. /ntlm, /aes128, /aes256) per connettersi a risorse di rete o avviare processi remoti.
3. Espansione della compromissione — Le credenziali ottenute vengono usate per eseguire strumenti come PSExec e raggiungere altri sistemi, ampliando la superficie d’attacco e ripetendo il ciclo di furto credenziali e movimento laterale.
4. Dump ed esfiltrazione di NTDS.dit e SYSTEM — Per copiare NTDS.dit pur con AD attivo, gli aggressori possono:
   
   • creare una snapshot del volume tramite Volume Shadow Copy Service (VSS) e prelevare il file dalla copia;
   • utilizzare utility PowerShell (es. Invoke-NinjaCopy o simili) per copiare file in uso;
   • sfruttare strumenti di sistema come NTDSUtil.exe o DSDBUtil.exe per esportare dati.

   
   

Dalla snapshot gli attaccanti prelevano NTDS.dit e l’hive SYSTEM, li posizionano in una cartella di staging, li verificano con editor esadecimali o strumenti di parsing AD e quindi li archiviano per l’esfiltrazione verso server esterni.

Raccomandazioni operative

Dall’analisi emergono indicazioni concrete per la mitigazione: monitorare e bloccare movimenti SMB e trasferimenti di file inconsueti, controllare e limitare l’uso di strumenti di amministrazione remota come PsExec, rafforzare la protezione degli account con privilegi elevati e abilitare controlli per rilevare creazioni di Volume Shadow Copy e altre tecniche note per aggirare i lock sui file.

L'articolo Active Directory nel mirino! Come i criminal hacker rubano NTDS.dit proviene da il blog della sicurezza informatica.

Randomness is hard. To be precise, without dedicated hardware, randomness is impossible for a computer. This is actually important to keep in mind when writing software. When there’s not hardware providing true randomness, most rnd implementations use a seed value and a pseudo random number generator (PRNG). A PRNG is a function that takes a seed value, and turns it into a seemingly random value, and also produces a new seed for the next time a random value is needed. This could be as simple as a SHA256 sum, where the hash output is split to become the next seed and the random value.

The PRNG approach does still have a challenge. Where does the initial seed come from? There are a few common, if flawed, approaches, and one of the most common is to use the system clock. It’s not a bulletproof solution, but using the microsecond counter since the last system boot is often good enough, because there are a lot of them to choose from — the entropy is high. With that brief background in mind, let’s talk about what happens in VBScript. The Randomize call is used to seed that initial value, but Randomize has some quirks.

The first is a great feature: calling Randomize a second time with the same seed doesn’t reset the PRNG engine back to the same initial state. And second, when called without a value, Randomize uses the number of system ticks since midnight as the PRNG seed. There are 64 ticks per second, giving five-and-a-half million possible seeds, or 22 bits of entropy. This isn’t great on its own, but Randomize internally typecasts that number of ticks into a narrower value, with a maximum possible of time-based seeds set at 65,536, which is a lot easier to brute-force.

We don’t know the exact application where the researchers at Doyensec found VBScript generating secure tokens, but in their Proof of Concept (PoC) test run, the generated token could be found in four guesses. It’s a terrible security fail for basically any use, and it’s a deceptively easy mistake to make.

GoAnywhere Exploit

The folks at WatchTowr have a report on a blistering 10.0 CVE in the GoAnywhere Managed File Transfer (MFT) product. This vulnerability was first published on September 18, and the WatchTowr crew took a look at it, and had questions. This bug is a deserialization attack that can land even without any authentication. It can result in command injection, and the latest update from GoAnywhere vendor Forta vaguely indicates that it is being used for attacks in the wild. But this is particularly odd: before the vulnerable interface deserializes, it first checks for a valid signature. And WatchTowr researchers couldn’t find a leak of a valid private key. So how was the vulnerability in use in the wild?

Lucky for us, there’s a part two to this story, but not all of the mysteries are explained. This CVE is indeed being exploited in the wild, with the earliest known exploit being September 10th. Since there was a full week between the earliest known compromise and the release of the patch, it seems unfortunate that it took WatchTowr this long to confirm that this vulnerability was actually exploited in the wild.

Cisco and Public SNMP

Two million Cisco systems are at risk from CVE-2025-20352. This is a remotely accessible flaw in the handling of Simple Network Management Protocol traffic. The attack does require valid credentials, but the attack works using SNMPv1, v2, or v3. While SNMPv3 has more secure user credentials, the earlier SNMP versions just used “community strings”, a text based password that was often set to “public”.

This vulnerability seems to lead to either a crash or a Remote Code Exploitation (RCE). It’s not entirely clear how difficult it is to achieve RCE, but it’s noteworthy that RCE here is run as root, a level of access not usually available even to administrators of Cisco equipment. So far there’s no indication that this was used in the wild, but now that some information and a patch is available, it’s likely not going to take long for someone to reverse-engineer the vulnerability and weaponize it.

More Spilled Tea

Remember the Tea Spilling from a couple months ago? The Tea app had an unsecured Firebase database. It turns out that wasn’t an isolated incident. [Mike Oude Reimer] has been working on OpenFirebase, an auditing tool for FireBase installs. And to prove the point, did an audit on 400 of the most popular Android apps from a trio of categories in the play store, and found 150 Firebase servers that granted unintended access of some sort. That’s a bit stunning, that over one in three Android apps have insecure Firebase servers associated with them.

Github Malware Delivery

There’s a malware campaign that has happened in the last couple weeks, based around Search Engine Optimization and GitHub repositories. The instructions peddle malicious commands to users looking for popular software on the Mac, like LastPass and others. I was prepared to write about how Ad Blocking is really a form of security protection, as these campaigns are often delivered via advertising, but this one seems to primarily be based on real search engine placement.

This isn’t the only malware campaign that takes advantage of GitHub’s reputation as a trusted source of software. A phishing campaign was also recently spotted, where spam messages were added as GitHub issues, with the spammers tagging their victims, and offering fake Y Combinator sponsorships. Since the messages were sent via GitHub, most spam blockers treated them as legitimate. This campaign was a bit more clever than most, making use of domain typo-squatting, with the y-comblnator.com domain used as part of the campaign. The goal here being draining the crypto accounts of people sufficiently fooled by the messages.

Bits and Bytes

Is nothing sacred? In addition to GitHub, malware appears to be distributed via Steam, in updates to games. The most recent example was the Block Blasters game, which was on Steam for nearly two months before shipping malicious code.

How can you figure out whether an image is AI, or has been manipulated with AI or other tools? There’s quite a few approaches, but one of the interesting ones is to look at the JPEG artifacting. If part of the image has ever been compressed via JPEG, this results in blocky artifacts that are hard for the human eye to spot, but easy to see with the right tools.

And finally, in a blast from the past, Supermicro has another pair of vulnerabilities that could allow malicious firmware on server Baseboard Management Controller (BMCs). The way these images are signed is slightly odd, with the various portions of the file signed independently. The attack is to treat these sections like cards in a deck, and shuffle malicious slices into the stack. The verification routine thinks all the important pieces are signed, but during a real boot, the malicious code runs instead. Patches coming soon.

hackaday.com/2025/09/26/this-w…

In un nuovo report, Zscaler ThreatLabz ha rivelato i dettagli di una nuova famiglia di malware chiamata YiBackdoor, osservata per la prima volta nel giugno 2025.

Fin dall’inizio, l’analisi ha evidenziato corrispondenze significative del codice sorgente con i downloader IcedID e Latrodectus, ed è proprio questa connessione che Zscaler indica come fondamentale per comprendere la possibile origine e il ruolo del nuovo campione negli attacchi.

Il malware è una libreria DLL modulare con un set base di funzioni di controllo remoto dell’host e un meccanismo di estensione basato su plugin. Di default, le funzionalità sono limitate, ma gli aggressori possono caricare moduli aggiuntivi per espanderne le capacità.

Il programma si copia in una cartella appena creata con un nome casuale, ottiene la persistenza tramite il tasto Esegui di Windows e avvia regsvr32.exe con un percorso dannoso.

Il nome della voce di registro viene generato utilizzando un algoritmo pseudo-casuale. Il modulo primario si autodistrugge, complicando le misure di risposta e l’analisi forense. La logica dannosa viene eseguita tramite una configurazione crittografata incorporata, da cui viene estratto l’indirizzo del server di comando e controllo, e la comunicazione con il C2 avviene tramite risposte HTTP contenenti comandi.

Le funzionalità di YiBackdoor includono la raccolta di metadati di sistema, l’acquisizione di screenshot e l’esecuzione di comandi shell tramite cmd.exe e PowerShell, nonché il caricamento e l’inizializzazione di plugin crittografati in Base64. I comandi chiave identificati nel meccanismo di controllo sono elencati di seguito: Systeminfo, screen, CMD, PWS, plugin e task. La tecnica di iniezione di codice prevede l’iniezione nel processo svchost.exe e le tecniche di anti-analisi integrate sono focalizzate sul rilevamento di macchine virtuali e sandbox, riducendo la probabilità di rilevamento durante l’analisi in un ambiente protetto.

Gli analisti di Zscaler notano diverse somiglianze con IcedID e Latrodectus: un metodo di iniezione simile, formato e lunghezza identici della chiave di decrittazione della configurazione e algoritmi simili per la decrittazione dei blocchi di configurazione e dei plugin. Date queste somiglianze e l’architettura osservata, i dipendenti dell’azienda valutano con un livello di sicurezza da moderato ad alto che YiBackdoor possa essere opera degli stessi sviluppatori responsabili dei precedenti downloader. Tuttavia, le implementazioni attuali sono limitate, il che indica una fase di sviluppo o test e il potenziale ruolo del campione come precursore di successive fasi di sfruttamento, inclusa la preparazione dell’accesso iniziale per il ransomware.

L’organizzazione sottolinea l’importanza di monitorare le richieste HTTP in uscita e le modifiche al registro, nonché di implementare regole di rilevamento incentrate su indicatori comportamentali di iniezioni di svchost.exe e anomalie associate all’avvio di regsvr32.exe da percorsi casuali. Questi indicatori consentono il rilevamento tempestivo dei tentativi di iniezione di YiBackdoor e la prevenzione di ulteriori attività da parte degli aggressori.

L'articolo Arriva YiBackdoor: cosa c’è da sapere e come difendere la rete proviene da il blog della sicurezza informatica.

Qui l’appello per la raccolta firme online e le piazze al centro dell’iniziativa

Solo 2 regioni (Lazio ed Emilia-Romagna) applicano le linee di indirizzo ministeriali sull’aborto farmacologico del 2020, rendendo possibile prendere il secondo farmaco a casa

Partita lo scorso maggio, la campagna la campagna Aborto senza ricovero dell’Associazione Luca Coscioni arriva in 30 città con l’obiettivo di deospedalizzare l’aborto farmacologico, portandolo in consultorio o poliambulatorio, garantendo alle donne la possibilità di prendere il secondo farmaco, il misoprostolo, a casa. La deospedalizzazione garantisce il diritto di scelta delle donne e permette di limitare i costi, evitando lo spreco di risorse preziose.

Sebbene in Italia sia possibile dal 2020, grazie all’aggiornamento delle linee di indirizzo ministeriali, questa possibilità è davvero garantita solo in due Regioni, il Lazio e l’Emilia-Romagna. L’ostilità verso l’aborto farmacologico e verso la sua deospedalizzazione, che semplifica la procedura e ne riduce i costi, è puramente ideologica e viola un principio fondamentale delle politiche di salute pubblica, quello dell’appropriatezza delle prestazioni: a parità di efficacia e sicurezza, se la persona assistita lo permette o lo richiede, deve essere ammesso e privilegiato il setting assistenziale meno costoso.

L’aborto farmacologico è sicuro ed efficace. Il ricovero non ne aumenta la sicurezza, ma ne moltiplica i costi Se nel Lazio il rimborso della procedura ambulatoriale è di circa 75 euro, cioè il costo dei farmaci, il rimborso previsto dalla Regione Veneto per l’aborto farmacologico in ospedale è di 205 euro ad accesso, ossia da 410 a 6015 euro.

Alla campagna hanno aderito la Casa Internazionale delle Donne, Una Nessuna Centomila, Crisi Come Opportunità, Cgil Area stato sociale e diritti, Coordinamento Nazionale Pari Opportunità UIL, UAAR, AIED, Associazione italiana per l’educazione demografica, Medici nel Mondo e Medici senza Frontiere (l’elenco completo è QUI).

Venerdì 26, sabato 27 e domenica 28 settembre saremo in molte piazze italiane per una mobilitazione nazionale (qui tutte le informazioni e i tavoli).

La mobilitazione nazionale chiede garantire per tutte le donne, in tutte le Regioni, l’aborto farmacologico in consultorio o in poliambulatorio, con la possibilità di prendere il secondo farmaco a domicilio. L’accesso all’interruzione volontaria di gravidanza non può dipendere dal luogo di residenza.

“Sprecare risorse è inaccettabile, soprattutto in un contesto come quello sanitario. Così come è inaccettabile negare alle donne il diritto di scegliere la procedura farmacologica e l’autosomministrazione del secondo farmaco a casa”, hanno detto Filomena Gallo, avvocata e segretaria nazionale dell’Associazione Luca Coscioni, e Chiara Lalli, bioeticista e consigliera generale. “Come sempre, la condizione necessaria dell’esercizio di un diritto e di una scelta è l’informazione. La nostra campagna ‘Aborto senza ricovero’ vuole anche contribuire alla corretta informazione sull’applicazione della 194 e sulla salute riproduttiva”.

“L’appropriatezza delle prestazioni sanitarie è un principio fondamentale della sanità pubblica. Un ricovero non necessario comporta un inaccettabile spreco di risorse pubbliche ed è potenzialmente pericoloso per la salute”, hanno dichiarato Mirella Parachini e Anna Pompili, ginecologhe, vicesegretaria, la prima, e consigliera generale, la seconda, dell’Associazione Luca Coscioni. “Gli ostacoli alla deospedalizzazione sono esclusivamente ideologici”.

L'articolo Dal 26 a 28 settembre, la campagna “Aborto senza ricovero” sarà in 30 piazze proviene da Associazione Luca Coscioni.

Nei mesi di agosto e settembre l’Associazione Luca Coscioni ha ricevuto alcune segnalazioni dal carcere di Badu ‘e Carros che chiamavano in causa la qualità dell’offerta socio-sanitaria nell’istituto, tra cui la sua stessa agibilità. Nelle denunce pubbliche che ne erano seguite l’Associazione aveva invitato a segnalare al portale di whistleblowing FreedomLeaks.org eventuali ulteriori manchevolezze.

In questi giorni al sito sono arrivate nuove segnalazioni di negligenza amministrativa. Infatti, nonostante ripetute richieste, per mesi sarebbero state negate le dovute cure odontoiatriche alle persone ristrette provocando un forte deterioramento delle condizioni di salute degli interessati. Quando le prestazioni mediche sono state fornite, dopo gli appelli degli avvocati e del garante dei detenuti, queste non sarebbero state adeguate al trattamento delle patologie per cui erano necessarie.

A seguito di un periodo di 20 giorni in isolamento, la direzione dell’istituto avrebbe infine sospeso l’accesso ai contatti telefonici con i famigliari di un detenuto, nonostante il termine del regime di sorveglianza particolare. Ai problemi sanitari e di contatto con la famiglia, si aggiungerebbe la mancata prosecuzione del percorso di studi di almeno una persona ristretta.

Quanto appena descritto avviene in un contesto generale delle carceri italiane che si caratterizza per una ingiustificata carenza di idonee strutture sanitarie e di condizioni igieniche fortemente degradanti, criticità già denunciate pubblicamente dall’Associazione Luca Coscioni e per le quali ad oggi non risultano ancora attuati risolutivi interventi di manutenzione e sanificazione.

Per questi motivi l’Associazione Luca Coscioni invita ancora una volta le competenti autorità sanitarie a predisporre visite di controllo e ad attivarsi affinché l’offerta terapeutica garantisca il pieno diritto alla salute dei detenuti. In mancanza di ciò annuncia sin d’ora una diffida rivolta all’amministrazione penitenziaria della struttura di Badu ‘e Carros ad ottemperare a quanto previsto dall’ordinamento sanitario.

L’Associazione ricorda che al portale report.freedomleaks.org è possibile segnalare le problematiche riscontrate negli istituti penitenziari in modo sicuro e anonimo.

L'articolo La ASL effettui visita a Badu ‘e Carros o scatta diffida proviene da Associazione Luca Coscioni.

«Cogliere lo sguardo di Cristo sul mondo, coltivarlo, comunicarlo, testimoniarlo». È la «missione» affidata da Leone XIV al Collegio degli scrittori e ai collaboratori della rivista della Compagnia di Gesù, «La Civiltà Cattolica», ricevuti in udienza stamani, giovedì 25 settembre, nella Sala del Concistoro. Ecco il testo del discorso del Pontefice.

Leggi l’articolo sul sito web de L’Osservatore Romano

The post Cogliere lo sguardo di Cristo sul mondo coltivarlo, comunicarlo, testimoniarlo first appeared on La Civiltà Cattolica.