We would have enjoyed [Harishankar’s] tear down of a robot vacuum cleaner, even if it didn’t have a savage twist at the end. Turns out, the company deliberately bricked his smart vacuum.

Like many of us, [Harishankar] is suspicious of devices beaming data back to their makers. He noted a new vacuum cleaner was pinging a few IP address, including one that was spitting out logging or telemetry data frequently. Of course, he had the ability to block the IP address which he did. End of story, right?

No. After a few days of working perfectly, the robot wouldn’t turn on. He returned it under warranty, but the company declared it worked fine. They returned it and, indeed, it was working. A few days later, it quit again. This started a cycle of returning the device where it would work, it would come home and work for a few days, then quit again.

You can probably guess where this is going, but to be fair, we gave you a big hint. The fact that it would work for days after blocking the IP address wouldn’t seem like a smoking gun in real time.

The turning point was when the company refused to have any further service on the unit. So it was time to pull out the screwdriver. Inside was a dual-CPU AllWinner SoC running Linux and a microcontroller to run the hardware. Of course, there were myriad sensors and motors, too. The same internals are used by several different brands of vacuum cleaners, so these internals aren’t just one brand.

Essentially, he wrote his own software to read all the sensors and drive all the motors using his own computers, bypassing the onboard CPU. But he found one thing interesting. The Android Debug Bridge was wide open on the Linux computer. Sort of.

The problem was, you could only get in a few seconds after booting up. After that, it would disconnect. A little more poking fixed that. The software stack was impressive, using Google Cartographer to map the house, for example.

But what wasn’t impressive was the reason for the repeated failures. A deliberate command was sent to kill the robot when it quit phoning home with telemetry. Of course, at the service center, it was able to report and so it worked fine.

The hardware and the software are impressive. The enforcement of unnecessary data collection is not. It does, however, make us want to buy one of these just for the development platform. [Harishankar] has already done the work to make it useful.

It isn’t just vacuums. Android phones spew a notorious amount of data. Even your smart matress — yes, there are smart matresses — can get into the act.

hackaday.com/2025/10/24/robot-…

DC Comics ha definitivamente affermato la sua posizione sull’intelligenza artificiale generativa: nessun coinvolgimento delle macchine nella narrazione o nelle illustrazioni.

Questo annuncio è stato fatto dal presidente dell’azienda Jim Lee durante un discorso al New York Comic Con. Ha affermato che, finché la leadership rimarrà la stessa, l’attenzione sarà rivolta esclusivamente alla creatività umana. Ha sottolineato che gli appassionati di fumetti apprezzano in particolar modo la sincerità e riconoscono intuitivamente la falsità.

L’azienda richiede da tempo che tutte le immagini siano disegnate a mano da artisti, ma in passato sono state segnalate accuse di utilizzo della modellazione generativa su alcune copertine alternative.

Questi casi hanno scatenato una furiosa reazione da parte della comunità, preoccupata che l’automazione potesse sostituire il lavoro di scrittori e illustratori. In risposta, DC ha rimosso le copertine controverse e, secondo gli osservatori, ha inasprito le restrizioni per prevenire incidenti simili in futuro.

I rappresentanti dell’editoria hanno anche sottolineato che la creazione dei personaggi è più di un semplice processo tecnico. Lee ha osservato che la fan fiction e la fan fiction rimangono parte della cultura, ma la vera forza di eroi come Superman risiede nel loro posto nell’universo DC consolidato, con la sua mitologia e la sua continuity.

Questo, secondo il CEO dell’azienda, è ciò che rende i personaggi riconoscibili nel corso dei decenni e consente loro di rimanere rilevanti anche in futuro.

In un mondo in cui gli algoritmi stanno sempre più prendendo il sopravvento sul ruolo dei creatori, la posizione della DC Comics è un promemoria: l’arte è viva finché c’è respiro umano in essa.

L'articolo La DC Comics prende posizione: “nessuna intelligenza artificiale generativa” proviene da Red Hot Cyber.

Nella seconda giornata della competizione Pwn2Own Ireland 2025, i partecipanti hanno ottenuto un successo impressionante, scoprendo 56 nuove vulnerabilità zero-daye guadagnando un totale di 792.750 dollari. Questa è la seconda fase della competizione, che si tiene a Cork, in Irlanda, dove gli specialisti della sicurezza si sfidano per individuare vulnerabilità critiche nei dispositivi e nei software più diffusi.

Una delle performance più degne di nota è stata l’hack riuscito di un dispositivo Samsung Galaxy S25, in cui un team di due persone, Ken Gannon del Mobile Hacking Lab e Dimitrios Valsamaras del Summoning Team, ha sfruttato una complessa combinazione di cinque falle.

Per questo attacco, hanno ricevuto un premio di 50.000 dollari e 5 punti nella classifica Master of Pwn. Sebbene il team PHP Hooligans sia riuscito ad hackerare un dispositivo NAS QNAP TS-453E in un secondo, la vulnerabilità sfruttata era già stata utilizzata nel programma, quindi il loro risultato non ha stabilito un nuovo record.

Anche altri partecipanti che hanno attaccato il QNAP TS-453E, il Synology DS925+ e il bridge Philips Hue hanno ricevuto 20.000 dollari ciascuno. Tra questi, Chumi Tsai di CyCraft Technology, nonché rappresentanti di Verichains Cyber Force e Synacktiv Team. Inoltre, il secondo giorno, sono state sfruttate con successo vulnerabilità precedentemente sconosciute nella stampante Canon imageCLASS MF654Cdw, nel sistema di domotica Home Automation Green, nella fotocamera Synology CC400W, nel NAS Synology DS925+, nell’Amazon Smart Plug e nella stampante Lexmark CX532adwe.

Dopo due giorni di competizione, il Summoning Team rimane in testa, con un guadagno di 167.500 dollari e un punteggio di 18. Anche il primo giorno di competizione è stato produttivo : i partecipanti hanno scoperto 34 vulnerabilità e hanno ricevuto un totale di 522.500 dollari. Secondo il regolamento della competizione, i produttori di dispositivi hanno 90 giorni di tempo per correggere le vulnerabilità scoperte prima che vengano divulgate pubblicamente dal progetto ZDI.

L’ultimo giorno di Pwn2Own, previsto per il 24 ottobre, prevede nuovi tentativi di attacco al Samsung Galaxy S25, nonché a vari dispositivi di archiviazione e stampa. Un momento clou è la dimostrazione di un attacco di esecuzione di codice remoto senza clic su WhatsApp, potenzialmente l’offerta più preziosa, con un premio di 1 milione di dollari. Un partecipante di nome Eugene del Team Z3 intende tentare questo attacco.

Il concorso è supportato da Meta , Synology e QNAP. Il programma del 2025 comprende otto categorie, che includono smartphone di punta (Samsung Galaxy S25, iPhone 16, Pixel 9), elettronica per la casa e l’ufficio, app di messaggistica, dispositivi per la smart home, sistemi di videosorveglianza e dispositivi indossabili, tra cui i visori Meta Quest 3/3S e gli occhiali intelligenti Ray-Ban.

Quest’anno, gli organizzatori hanno ampliato i vettori di attacco consentiti, includendo lo sfruttamento delle vulnerabilità tramite connessioni USB a smartphone bloccati. Tuttavia, i protocolli wireless standard come Wi-Fi, Bluetooth e NFC continuano a essere utilizzati insieme all’accesso fisico.

L’anno scorso, in una competizione Pwn2Own simile in Irlanda, i partecipanti hanno ricevuto un montepremi complessivo di 1.078.750 dollari per aver identificato oltre 70 vulnerabilità. Il team Viettel Cyber Security è uscito vittorioso, aggiudicandosi 205.000 dollari per aver attaccato con successo dispositivi QNAP, Sonos e Lexmark.

Nel gennaio 2026, ZDI tornerà a Tokyo con una versione automobilistica della competizione Pwn2Own Automotive , organizzata nell’ambito della fiera Automotive World. Tesla la sosterrà ancora una volta.

L'articolo 792.750 dollari in un giorno! 56 zeroday rilevati al Pwn2Own Ireland 2025 proviene da Red Hot Cyber.

Back in 2016, we took you to a collection of slightly dilapidated prefabricated huts in the English Home Counties, and showed you a computer. The place was the National Museum of Computing, next to the famous Bletchley Park codebreaking museum, and the machine was their reconstruction of Colossus, the world’s first fully electronic digital computer. Its designer was a telephone engineer named Tommy Flowers, and the Guardian has a piece detailing his efforts in its creation.
TNMOC’s Colossus MkII.
It’s a piece written for a non-technical audience so you’ll have to forgive it glossing over some of the more interesting details, but nevertheless it sets out to right a long-held myth that the machine was instead the work of the mathematician Alan Turing. Flowers led the research department at the British Post Office, who ran the country’s telephone system, and was instrumental both in proposing the use of electronic switches in computing, and in producing a working machine. The connection is obvious when you see Colossus, as its racks are the same as those used in British telephone exchanges of the era.

All in all, the article makes for an interesting read for anyone with an interest in technology. You can take a look at Colossus as we saw it in 2016 here, and if your interest extends to the only glimpse the British public had of the technology behind it in the 1950s, we’ve also taken a look at another Tommy Flowers creation, ERNIE, the UK Premium Bond computer.

hackaday.com/2025/10/24/tommy-…

A settembre, gli specialisti di Forescout hanno rilevato un attacco mirato al loro server honeypot, che imitava il sistema di controllo di un impianto di trattamento delle acque. Un nuovo gruppo di hacktivisti, TwoNet, che opera in un ambiente associato ad attacchi alle infrastrutture industriali, ha rivendicato la responsabilità dell’attacco.

I membri del gruppo hanno avuto accesso all’interfaccia, modificato le impostazioni, eliminato le fonti di dati e disabilitato alcuni processi senza tentare di ottenere il controllo dell’host. L’obiettivo era dimostrare la propria capacità di interferire e poi diffondere l’accusa di “aver dirottato un impianto reale” su un canale Telegram.

L’attacco è iniziato la mattina da un indirizzo IP registrato presso il provider di hosting tedesco Dataforest GmbH. L’accesso al sistema è stato ottenuto utilizzando le credenziali predefinite “admin/admin”. Dopo aver effettuato l’accesso, gli aggressori hanno tentato di eseguire query SQL per raccogliere informazioni sulla struttura del database e hanno quindi creato un nuovo account con il nome utente “BARLATI“.

Poche ore dopo, sono tornati con questo nome utente e hanno sostituito il testo nella pagina di accesso, attivando una finestra pop-up con la scritta “HACKED BY BARLATI“. Hanno contemporaneamente eliminato i controller connessi, modificato i valori dei parametri e disabilitato log e avvisi. La vulnerabilità CVE-2021-26829 è stata utilizzata per falsificare il contenuto della pagina .

TwoNet è emerso all’inizio del 2025 e ha rapidamente guadagnato visibilità grazie a una combinazione di affermazioni aggressive e attività caotiche. Inizialmente, si è specializzato in attacchi DDoS , ma in seguito si è spostato sui tentativi di interferire con i sistemi di controllo dei processi industriali. Il canale Telegram del gruppo pubblica screenshot e video presumibilmente provenienti da interfacce SCADA e HMI di varie aziende. I post menzionano l'”hacking” di pannelli solari, sistemi di riscaldamento e caldaie a biomassa in paesi europei, ma non ci sono prove a supporto di queste affermazioni. Gli analisti notano che molte delle immagini provengono da pannelli demo disponibili al pubblico.

Anche gli account TwoNet associati, tra cui BARLATI e DarkWarios, promuovevano offerte commerciali: affitto di accesso a pannelli di controllo, servizi DDoS e persino vendita di ransomware a prezzi gonfiati. Ciò suggerisce un tentativo di monetizzare l’attenzione e di presentarsi come parte di un’organizzazione più ampia. Nelle settimane precedenti la chiusura del canale, i membri del gruppo hanno annunciato alleanze con altri gruppi di hacktivisti, tra cui CyberTroops e OverFlame, consentendo loro di promuoversi a vicenda e di creare l’apparenza di una rete più ampia.

Gli esperti sottolineano che i loro honeypot hanno registrato anche altri attacchi a controller industriali e protocolli Modbus, spesso provenienti da indirizzi europei e mediorientali. In un caso, gli aggressori hanno utilizzato password predefinite e poi hanno sfruttato la vulnerabilità CVE-2021-26828 per iniettare una web shell e ottenere l’accesso alle impostazioni HMI. Un altro incidente ha coinvolto tentativi coordinati di modificare i parametri PLC tramite Modbus e S7, che avrebbero potuto potenzialmente interrompere i processi su sistemi reali.

L’analisi ha rivelato che gli aggressori utilizzano strumenti standard, come Meta Sploit e script già pronti, e il loro comportamento indica un controllo manuale e una conoscenza di base dei protocolli industriali. Questi attacchi vengono spesso eseguiti senza una scansione preventiva e spesso prendono di mira dispositivi accessibili da Internet senza protezione.

Secondo Forescout, i gruppi di hacktivisti si stanno rivolgendo sempre più a obiettivi industriali. Anche se gli attacchi segnalati non sono confermati, dimostrano una tendenza di interesse e il potenziale per attacchi ripetuti contro obiettivi reali. Le aziende del settore idrico ed energetico sono particolarmente vulnerabili, poiché l’accesso alle interfacce degli operatori o dei controllori spesso non richiede autenticazione e la registrazione e il monitoraggio vengono condotti in modo selettivo.

Gli esperti consigliano ai proprietari dei sistemi di controllo di evitare un’autenticazione debole e l’uso di password predefinite, di non esporre le interfacce direttamente su Internet, di segmentare rigorosamente le reti IT e OT, di limitare l’accesso alle porte amministrative tramite elenchi IP e di implementare il monitoraggio con un’ispezione approfondita dei pacchetti in grado di tracciare i comandi Modbus e S7. È inoltre importante prestare attenzione al traffico in uscita per evitare che i dispositivi vengano utilizzati in attacchi DDoS (Distributed Denial of Service).

L’hacktivism, secondo Forescout, sta diventando un’arena in cui il prestigio informatico è più importante dei risultati. I gruppi scompaiono, cambiano nome e ricompaiono, ma i loro membri e i loro metodi rimangono. Ecco perché l’analisi honeypot sta diventando uno strumento chiave per comprendere la direzione delle nuove ondate di attacchi alle infrastrutture industriali.

L'articolo Un impianto idrico “violato” in diretta! L’hacktivism diventa propaganda digitale proviene da Red Hot Cyber.

L’ecosistema del cybercrimine russo è entrato in una fase di profonda mutazione, innescata da una combinazione di fattori: una pressione internazionale senza precedenti da parte delle forze dell’ordine, un riorientamento delle priorità interne e i persistenti, benché evoluti, legami tra la criminalità organizzata e lo Stato russo.

Un evento chiave è stata l’Operazione Endgame, lanciata nel maggio 2024, un’iniziativa multinazionale volta a colpire gruppi di ransomware, servizi di riciclaggio e infrastrutture correlate, anche all’interno di giurisdizioni russe. In risposta, le autorità russe hanno condotto una serie di arresti e sequestri di alto profilo.

Queste azioni segnano un allontanamento dalla storica posizione di quasi totale non interferenza della Russia nei confronti dei cybercriminali che operano a livello interno. Il tradizionale concetto di Russia come “rifugio sicuro” per questi attori si complica, divenendo sempre più condizionato e selettivo. Questa analisi si basa su un recente report elaborato dagli esperti di Recorded Future, un’organizzazione statunitense con cui Red Hot Cyber collabora attivamente nelle attività di intelligence.

Dark Covenant e la Gestione Statale

Chat e resoconti investigativi trapelati hanno confermato che figure di spicco della criminalità informatica intrattengono da tempo rapporti con i servizi di intelligence russi. Questi contatti includono la fornitura di dati, l’esecuzione di compiti specifici o lo sfruttamento di legami politici e corruzione per assicurarsi l’impunità.

Recorded Future, attraverso le analisi del suo Insikt Group, ha rilevato che il rapporto del governo russo con i cybercriminali si è evoluto da una tolleranza passiva a una gestione attiva. Dal 2023, si è osservato un chiaro cambiamento: l’applicazione selettiva della legge, arresti “orchestrati” ed “esempi” pubblici utilizzati per rafforzare l’autorità statale. Le comunicazioni intercettate rivelano persino un coordinamento operativo diretto tra i leader criminali e gli intermediari dell’intelligence.
Messaggio di Telegram che evidenzia Plotnikov e il suo rapporto con Conti (Fonte: Recorded Future)
Questa dinamica rientra nel framework “Dark Covenant”, che descrive una rete di relazioni (dirette, indirette e tacite) che legano il mondo del crimine informatico russo agli elementi dello Stato. In questo contesto, il cybercrimine non è solo un affare commerciale, ma anche uno strumento di influenza, un mezzo per acquisire informazioni e una responsabilità solo quando minaccia la stabilità interna o danneggia gli interessi russi.

Reazioni Clandestine e Pressione Internazionale

All’interno della comunità underground, la crescente ingerenza statale e le operazioni internazionali hanno minato la fiducia. I dati raccolti da Recorded Future sul dark web indicano che la criminalità informatica russa sta subendo una frattura sotto la doppia pressione del controllo statale e della sfiducia interna.

Questa doppia pressione ha accelerato gli adattamenti operativi:

• Rafforzamento dei Controlli: I programmi ransomware-as-a-service (RaaS) hanno introdotto verifiche più severe.
• Rebranding e Decentralizzazione: I gruppi di ransomware si sono riorganizzati, cambiando nome e adottando piattaforme di comunicazione decentralizzate per mitigare i rischi di infiltrazione e sorveglianza. I dati raccolti rivelano come i gruppi stiano decentralizzando le loro operazioni per eludere la sorveglianza sia occidentale che interna.

Contemporaneamente, i governi occidentali hanno inasprito le loro politiche, valutando il divieto di pagare riscatti, introducendo la segnalazione obbligatoria degli incidenti e persino operazioni cyber offensive.

Questa posizione più aggressiva coincide con negoziati e scambi di prigionieri. Insikt Group ritiene che la Russia stia sfruttando strategicamente i cybercriminali come strumenti geopolitici, collegando arresti e rilasci a cicli diplomatici più ampi.

Il Dopo Operazione Endgame: Aumento della Selezione e Regole Interne Più Dure

L’Operazione Endgame, pur non avendo smantellato il modello ransomware-as-a-service (RaaS), ha innescato un’immediata autodisciplina operativa all’interno dell’ecosistema criminale. Gli operatori RaaS non hanno modificato la struttura di base del loro modello di business, ma hanno drasticamente aumentato la soglia di accesso per mitigarne il rischio di rilevamento. Il reclutamento è diventato più selettivo: i gestori danno ora la priorità alle cerchie conosciute, intensificano lo screening e, di fatto, esternalizzano il rischio di eventuali operazioni di infiltrazione agli stessi affiliati.

Per mantenere l’integrità e la liquidità delle reti, gli operatori RaaS hanno introdotto requisiti di attività e garanzie finanziarie più rigorosi. Affiliati inattivi per un breve periodo (a volte solo 10 o 14 giorni, a seconda del gruppo, come Mamona o PlayBoy RaaS) vengono bannati per eliminare potenziali infiltrati “dormienti”. In aggiunta, per i nuovi membri, il capitale sociale è stato sostituito da garanzie economiche: sono richiesti depositi (ad esempio, 5.000 dollari) su altri forum affidabili. Questo costo d’ingresso eleva le barriere per i truffatori e rende l’infiltrazione molto più onerosa.

Parallelamente, i gruppi hanno affinato le loro regole di targeting per evitare di attirare l’attenzione politica e delle forze dell’ordine. Molti operatori, tra cui Anubis e PlayBoy RaaS, hanno formalmente vietato attacchi contro enti governativi, organizzazioni sanitarie e non-profit. Tali restrizioni servono sia come protezione reputazionale sia come allineamento implicito con i “limiti da non oltrepassare” del Dark Covenant russo. Sono stati imposti anche riscatti minimi (spesso 50.000 dollari o più) per prioritizzare le vittime con alto rendimento e sono stati vietati attacchi ripetuti per tutelare la credibilità delle negoziazioni.
MikeMelton ha pubblicato la sua opinione in merito alla reputazione e agli sviluppi attuali della comunità del dark web; il post è stato tradotto utilizzando Google Translate (Fonte: Ramp Forum)
In sostanza, la crescente pressione esterna e la condizione sempre più precaria della tolleranza statale hanno spinto la comunità criminale a una severa autoregolamentazione. Come lamentato da membri sui forum del dark web, l’aumento della truffa e l’afflusso di agenti non qualificati hanno portato a un deterioramento del controllo basato sulla reputazione. Di conseguenza, i mercati criminali si sono spostati verso canali chiusi e si affidano a garanzie finanziarie, sacrificando l’apertura in favore di una maggiore resilienza e sopravvivenza.

Conti e Trickbot: Immunità Relativa

Il gruppo Conti Ransomware e la sua rete associata Trickbot (considerati la culla di talenti e l’anello di congiunzione con i servizi russi) sono stati duramente presi di mira dalle autorità europee. Nonostante questa pressione, la risposta russa nei confronti delle figure di alto livello legate a Conti e Trickbot è stata modesta o ambigua. Arresti sporadici, come quello di Fyodor Aleksandrovich Andreev (“Angelo”) o di altri membri di Conti, sono stati seguiti da rapidi rilasci o da una scarsa copertura ufficiale.

L’assenza di azioni di contrasto contro altri individui ricercati dall’UE, come Iskander Rifkatovich Sharafetdinov (“alik”) o Vitalii Nikolaevich Kovalev (“stern”, “Bentley”), indica una protezione interna duratura. Kovalev, il presunto leader di Trickbot/Conti, è ritenuto legato al Servizio federale di sicurezza russo (FSB).

Questa protezione è multilivello:

1. Contatti di Intelligence: Alcuni membri di Conti avrebbero fornito incarichi o informazioni, talvolta dietro compenso, ai servizi di intelligence russi (GRU e SVR).
2. Obiettivi Allineati: La selezione delle vittime di Conti, che includeva il contractor militare statunitense Academi LLC e la rete di giornalismo investigativo Bellingcat, allinea gli interessi criminali con le priorità di raccolta di informazioni dello Stato.
3. Clientelismo Politico: Sono stati segnalati presunti legami tra membri di Conti e Vladimir Ivanovich Plotnikov, un membro in carica della Duma russa, ampliando lo scudo protettivo oltre i servizi di sicurezza.

Il Sacrificio dei Facilitatori Finanziari

Al contrario, i servizi finanziari sono risultati sacrificabili. Nel settembre 2024, le autorità americane ed europee hanno sequestrato infrastrutture e fondi in criptovaluta relativi ai servizi di riciclaggio di denaro Cryptex, PM2BTC e UAPS. Questi servizi, gestiti da Sergey Ivanov, avrebbero riciclato oltre un miliardo di dollari di proventi illeciti.

La reazione russa è stata rapida e visibile: a ottobre 2024, il Comitato Investigativo russo (SKR) ha annunciato l’apertura di un’indagine, l’arresto di quasi 100 persone associate e il sequestro di 16 milioni di dollari in rubli e diverse proprietà. La scelta di colpire i facilitatori finanziari, piuttosto che gli operatori ransomware principali, dimostra che la Russia agisce quando la pressione internazionale è alta e il valore in termini di intelligence di questi servizi è basso. Il segnale è chiaro: il “rifugio sicuro” russo è condizionato dagli interessi dello Stato, non dalla legge.

Prospettive

L’evoluzione dell’ecosistema dipenderà dalla capacità delle autorità russe di bilanciare le pressioni esterne, le sensibilità politiche interne e il valore strategico a lungo termine fornito dai proxy cybercriminali. La Russia si presenta meno come un “rifugio” uniforme e più come un mercato controllato, dove sono gli interessi statali a determinare chi gode di protezione e chi viene represso.

L'articolo La Russia e il Cybercrimine: un equilibrio tra repressione selettiva e interesse statale proviene da Red Hot Cyber.

Una recente scoperta ha rivelato che gli hacker possono sfruttare una falla in Microsoft Teams su Windows per ottenere token di autenticazione crittografati, i quali garantiscono l’accesso a chat, email e file archiviati su SharePoint senza autorizzazione. Brahim El Fikhi ha dettagliato questa vulnerabilità in un post pubblicato il 23 ottobre 2025, evidenziando come i token, conservati all’interno di un database di cookie ispirato a quello di Chromium, siano vulnerabili alla decrittazione tramite l’utilizzo dell’API di Protezione Dati (DPAPI) fornita da Windows.

I token di accesso offrono agli aggressori la possibilità di impersonare gli utenti, inviando ad esempio messaggi o email di Teams a nome delle vittime, al fine di eseguire attacchi di ingegneria sociale o per mantenere la persistenza. Tali metodi eludono i recenti potenziamenti della sicurezza, mettendo a rischio gli ambienti aziendali con possibili spostamenti laterali e conseguente esfiltrazione dei dati.

Il focus di El Fikhi sulle applicazioni desktop di Office, soprattutto Teams, rivela vulnerabilità nei componenti browser incorporati, deputati alla gestione dell’autenticazione tramite login.microsoftonline.com. Un’analisi recente segnala che l’ecosistema Microsoft resta un bersaglio privilegiato, vista la diffusione capillare all’interno delle aziende.

Le prime versioni di Microsoft Teams memorizzavano i cookie di autenticazione in testo normale all’interno del file SQLite in %AppData%LocalMicrosoftTeamsCookies, una falla scoperta da Vectra AI nel 2022 che consentiva semplici letture di file per raccogliere token per l’abuso della Graph API, bypassando l’MFA.

Gli aggiornamenti hanno eliminato questo tipo di archiviazione in testo normale, adottando formati crittografati allineati alla protezione dei cookie di Chromium per impedire il furto su disco. Tuttavia, questo cambiamento introduce nuovi vettori di attacco. I token ora utilizzano la crittografia AES-256-GCM protetta da DPAPI, un’API di Windows che collega le chiavi ai contesti utente o macchina per l’isolamento dei dati.

Per contrastare le minacce, sono previste misure che comprendono il monitoraggio delle interruzioni anomale di ms-teams.exe o di pattern ProcMon inusuali.

Inoltre, è consigliabile utilizzare l’uso di team basati sul web in modo da limitare l’archiviazione locale. La rotazione dei token tramite policy ID Entra e il monitoraggio dei log API per rilevare irregolarità sono ulteriori passaggi cruciali.

Man mano che le minacce a Teams si evolvono, assumono un’importanza fondamentale le regole EDR che si basano su DPAPI.

L'articolo Gli hacker possono accedere alle chat e email di Microsoft Teams tramite token di accesso proviene da Red Hot Cyber.