Una grave vulnerabilità di sicurezza è stata scoperta in MSI Center, un software ampiamente utilizzato su sistemi Windows. Questa falla, classificata come CVE-2024-37726 e con un punteggio CVSS di 7.8 (alto), permette a un utente malintenzionato con privilegi bassi di ottenere il controllo completo del sistema.

L’elevazione dei privilegi si riferisce a una situazione in cui un utente con privilegi limitati ottiene un accesso con privilegi più alti, come quello dell’amministratore, senza avere l’autorizzazione corretta. Questo può permettere a un utente malintenzionato di eseguire operazioni che normalmente non sarebbero consentite.

Dettagli vulnerabilità

Sfruttando un difetto nel modo in cui MSI Center gestisce i permessi, un utente malintenzionato può manipolare il file system e indurre il software a sovrascrivere o eliminare file critici con privilegi elevati. In questo modo, l’attaccante può prendere il controllo del sistema e eseguire qualsiasi azione, incluso l’installazione di malware, il furto di dati sensibili o addirittura la possibiità di eseguire codice arbitrario col massimo livello di privilegi. Tutto ciò attraverso l’abuso dei symlinks (symbolic links) sfruttati per ingannare il sistema operativo.

Tutte le versioni di MSI Center fino alla 2.0.36.0 sono vulnerabili a questo attacco. Ciò significa che un numero considerevole di sistemi Windows potrebbe essere esposto a questa grave minaccia.

La vulnerabilità può essere sfruttata attraverso i seguenti passaggi:

Fase 1: Creare una directory con OpLock

Un utente con privilegi bassi crea una directory in una posizione accessibile, creando a sua volta un file al suo interno. Successivamente, l’utente utilizza uno strumento di sistema per impostare un OpLock (Mandatory Locking) sul file precedentemente creato. Un OpLock impedisce ad altri processi di accedere o modificare il file finché il blocco non viene rilasciato.

Fase 2: Attivazione dell’operazione di scrittura tramite MSI Center

****La funzione “Esporta informazioni di sistema” in MSI Center viene utilizzata per attivare un’operazione di scrittura sul file OpLocked.

Fase 3: Sostituzione del file originale con una giunzione simbolica

Mentre MSI Center tenta di scrivere sul file bloccato con OpLock, l’attaccantlo sostituisce con una giunzione simbolica che punta al file di destinazione desiderato (ad esempio, un file di sistema critico).

Fase 4: Sfruttamento dei privilegi elevati di MSI Center

Quando MSI Center tenterà di completare l’operazione di scrittura, non sarà in grado di accedere al file originale a causa del blocco OpLock. Tuttavia, a causa della giunzione simbolica creata in precedenza, MSI Center scriverà o sovrascriverà il file di destinazione a cui punta la giunzione.

Poiché MSI Center viene eseguito con privilegi NT AUTHORITY\SYSTEM, l’attaccante ottiene il controllo completo del file di destinazione, potenzialmente sovrascrivendolo con codice dannoso o eliminandolo del tutto.

In sintesi, questa vulnerabilità sfrutta la combinazione di OpLock e giunzioni simboliche per ingannare MSI Center a eseguire azioni con privilegi elevati su un file di destinazione arbitrario. Un utente malintenzionato con privilegi bassi può sfruttare questo metodo per prendere il controllo del sistema, installare malware, rubare dati sensibili o causare altri danni gravi.

Possibili sfruttamenti

Questa vlnerabilità apre la porta a una serie di gravi conseguenze, tra cui:

• Compromissione di File Critici: L’attaccante può sovrascrivere o eliminare arbitrariamente file con privilegi elevati, causando potenziali danni irreparabili al sistema operativo, alle applicazioni o ai dati sensibili.
• Installazione Silenziosa di Malware: L’elevazione dei privilegi permette all’attaccante di installare software dannoso senza richiedere privilegi di amministratore, compromettendo la sicurezza di tutti gli utenti del sistema. Inoltre MSI center è un binario con signature Windows permettendo di bypassare processi di monitoring o antivirus, l’utilizzo di binari Windows standard è chiamato Living-Off-The-Land.
• Esecuzione Arbitraria di Codice: L’attaccante può eseguire codice arbitrario con privilegi di SISTEMA, ottenendo il controllo completo del sistema e potenzialmente installando backdoor persistenti o rubando dati critici.
• Compromissione dell’Avvio del Sistema: L’attaccante può posizionare payload dannosi in posizioni di avvio, attivandoli automaticamente all’accesso di un amministratore, compromettendo l’intero sistema.

Conclusioni

MSI ha risolto la vulnerabilità nella versione 2.0.38.0 di MSI Center, rilasciata il 3 luglio 2024. L’aggiornamento immediato a questa versione è fondamentale per mitigare il rischio.

La vulnerabilità CVE-2024-37726 rappresenta una grave minaccia per i sistemi Windows che utilizzano MSI Center. Aggiornare all’ultima versione e adottare le opportune misure di sicurezza è fondamentale per mitigare il rischio e proteggere i sistemi da potenziali attacchi informatici.

L'articolo Grave Vulnerabilità nei Sistemi Windows: Ecco Come un Attaccante può Ottenere il Controllo Completo del Tuo PC proviene da il blog della sicurezza informatica.

The ongoing story of bogus analytical data being submitted to the public OctoPrint usage statistics has taken a surprising turn with the news that a second plugin was being artificially pushed up the charts. At least this time, the developer of the plugin has admitted to doing the deed personally.

Just to recap, last week OctoPrint creator [Gina Häußge] found that somebody had been generating fictitious OctoPrint usage stats since 2022 in an effort to make the OctoEverywhere plugin appear to be more popular than it actually was. It was a clever attempt, and if it wasn’t for the fact that the fake data was reporting itself to be from a significantly out of date build of OctoPrint, there’s no telling how long it would have continued. When the developers of the plugin were confronted, they claimed it was an overzealous user operating under their own initiative, and denied any knowledge that the stats were being manipulated in their favor.

Presumably it was around this time that Obico creator [Kenneth Jiang] started sweating bullets. It turns out he’d been doing the same thing, for just about as long. When [Gina] contacted him about the suspicious data she was seeing regarding his plugin, he owned up to falsifying the data and published what strikes us as a fairly contrite apology on the Obico blog. While this doesn’t absolve him of making a very poor decision, we respect that he didn’t try to shift the blame elsewhere.

That said, there’s at least one part of his version of events that doesn’t quite pass the sniff test for us. According to [Kenneth], he first wrote the script that generated the fake data back in 2022 because he suspected (correctly, it turns out) that the developers of OctoEverywhere were doing something similar. But after that, he says he didn’t realize the script was still running until [Gina] confronted him about it.

Now admittedly, we’re not professional programmers here at Hackaday. But we’ve written enough code to be suspicious when somebody claims a script they whipped up on a lark was able to run unattended for two years and never once crashed or otherwise bailed out. We won’t even begin to speculate where said script could have been running since 2022 without anyone noticing…

But we won’t dwell on the minutiae here. [Gina] has once again purged the garbage data from the OctoPrint stats, and hopefully things are finally starting to reflect reality. We know she was already angry about the earlier attempts to manipulate the stats, so she’s got to be seething right about now. But as we said before, these unfortunate incidents are ultimately just bumps in the road. We don’t need any stat tracker to know that the community as a whole greatly appreciates the incredible work she’s put into OctoPrint.

Nelle prime ore del 4 luglio, il gruppo Telegram di Breach Forum ha vissuto un colpo di scena inaspettato. Il gruppo, che era sotto il controllo dell’FBI, è stato presumibilmente recuperato dall’amministratore noto come “weep“. Questo evento ha suscitato una serie di reazioni all’interno della comunità di sicureza informatica.

Il Recupero del Gruppo

Il primo segnale di cambiamento è arrivato con un messaggio da “weep”, che annunciava trionfante: “We back baby”.

L’entusiasmo era palpabile, con reazioni di approvazione e supporto da parte degli altri membri del gruppo. Subito dopo, un altro messaggio ha chiarito la situazione: “Under new ownership”. Questo confermava che il gruppo era passato sotto una nuova gestione, ma senza fornire dettagli specifici su come fosse avvenuto il trasferimento di controllo.

La Confusione e il Chiarimento

La confusione tra i membri del gruppo è stata evidente. Alcuni messaggi suggerivano che il gruppo fosse ancora sotto il controllo dell’FBI, mentre altri parlavano di un trasferimento di potere a “weep”. La situazione è stata ulteriormente chiarita da un messaggio di “OpTic arm”, un altro amministratore del gruppo.

OpTic arm ha spiegato come funzionano le impostazioni di Telegram, sottolineando che se un account non è attivo per 30 giorni, viene eliminato.

Questo è ciò che è successo con l’account di “Baphomet“, il precedente amministratore. Poiché “weep” era stato il primo ad essere nominato amministratore, Telegram ha trasferito automaticamente la proprietà del gruppo a lui. OpTic arm ha anche criticato l’FBI per non aver preso il controllo amministrativo del gruppo, il che avrebbe evitato questa situazione.

La Risposta della Comunità

La reazione della comunità è stata mista. Mentre molti hanno celebrato il ritorno del gruppo sotto la gestione originale, altri hanno espresso dubbi e preoccupazioni sulla sicurezza e la stabilità del gruppo.

Il messaggio di “BaphometOfficial” ha confermato che il gruppo era stato originariamente preso in consegna dall’FBI, aggiungendo ulteriore intrigo alla vicenda.

In conclusione, il gruppo Telegram di Breach Forum è passato attraverso un periodo di turbolenze e cambiamenti di leadership. Il ritorno di “weep” come amministratore ha segnato un nuovo capitolo per la comunità, ma ha anche sollevato domande sulla sicurezza e la gestione futura del gruppo. La situazione rimane fluida e continuerà ad evolversi nei prossimi giorni.

L'articolo Colpo di Scena! Il gruppo Telegram di Breach Forum torna nelle mani dei criminali per un errore dell’FBI proviene da il blog della sicurezza informatica.

Russian disinformation campaigns are targeting social media to destabilise the French political scene — currently in a legislative campaign — by steering it more towards the "extremes" and fragmenting the so-called "Republican front", a study found.

euractiv.com/section/politics/…

Art. 302 c.p :Chiunque istiga taluno a commettere uno dei delitti, non colposi, preveduti dai capi primo e secondo di questo titolo, per i quali la legge stabilisce l'ergastolo o la reclusione, è punito, se l'istigazione non è accolta, ovvero se l'istigazione è accolta ma il delitto non è commesso, con la reclusione da uno a otto anni. La pena è aumentata se il fatto è commesso attraverso strumenti informatici o telematici.

Tuttavia, la pena da applicare è sempre inferiore alla metà della pena stabilita per il delitto al quale si riferisce la istigazione.

Il contenuto della norma

L’articolo 302 c.p. punisce chi incita altre persone a commettere determinati reati gravi. Se l’incitamento non viene seguito, o se viene seguito ma il reato non viene commesso, la persona che ha incitato può essere condannata da uno a otto anni di reclusione.

Se l’istigazione avviene tramite tecnologie digitali o telematiche, la pena è aumentata. Tuttavia, la pena non sarà mai più della metà di quella prevista per il reato a cui si riferisce l’istigazione.

Se l’istigazione viene seguita e il reato viene effettivamente commesso, l’articolo 302 non si applica più. In questo caso, chi ha incitato sarà considerato complice nel reato.

Questo articolo è stato modificato dal Decreto Legislativo del 18 febbraio 2015, n. 7, che è stato poi convertito in legge il 17 aprile 2015, n. 43.

Cosa dice la giurisprudenza

Ai fini dell’integrazione del delitto di cui all’articolo 302 cod. pen., che può avere per oggetto anche un reato associativo (nella specie, l’associazione con finalità di terrorismo anche internazionale di cui all’art. 270-bis cod. pen.), non basta l’esternazione di un giudizio positivo su un episodio criminoso, per quanto odioso e riprovevole, ma occorre che il comportamento dell’agente sia tale – per il suo contenuto intrinseco, per la condizione personale dell’autore e per le circostanze di fatto in cui si esplica – da determinare il rischio, non teorico ma effettivo, della commissione di atti di terrorismo o di delitti associativi con finalità di terrorismo (Cass., Sez. II, sent. n. 51942/18).

Il fatto di postare sui profili Facebook frasi o commenti a immagini cruente, proposizioni di esortazione o di incitamento, senza limitarsi a esprimere sentimenti di approvazione verso fatti di terrorismo islamico, attuati da gruppi che si ispiravano all’integralismo religioso, ma incitando a intraprendere atti sovversivi di vero e proprio terrorismo e di affermazione della violenza anche più truce e spietata, integrano il delitto di cui all’art. 302 c.p. e non quello di cui all’art. 414 c.p. di talché, nell’ipotesi della sussistenza di tali fatti, è legittimo il rigetto da parte del Tribunale del riesame, della richiesta di un cittadino extracomunitario di essere rimesso in libertà (Cass., Sez. I, sent. n. 46178/15 ).

L'articolo Digital Crime: Istigazione a commettere alcuno dei delitti preveduti dai capi primo e secondo realizzata anche per via telematica proviene da il blog della sicurezza informatica.

@Notizie dall'Italia e dal mondo

In Abruzzo di un’organizzazione criminale (svincolata da contesti di criminalità organizzata di tipo mafioso) formata da cittadini italiani, spagnoli, argentini e colombiani, era dedita al traffico, anche internazionale, di sostanze stupefacenti del tipo hashish e cocaina.

Le sostanze stupefacenti, approvvigionate in Spagna da alcuni indagati residenti nel Paese iberico, venivano trasportate, via gomma, in Italia da corrieri che lo occultavano all’interno di autotreni nella disponibilità dell’organizzazione, per poi essere stoccati in Abruzzo a favore delle piazze di spaccio abruzzesi e marchigiane.

Il sodalizio criminale con vertice, uomini di fiducia e sodali sul territorio nazionale ed estero, poteva contare su punti di riferimento in Spagna e Germania.
Gli inquirenti, durante il lungo periodo d’indagine, hanno posto in essere diversi sequestri, per un totale di circa 100 chili di hashish e 1 chilo di cocaina, riuscendo a ricostruire i vari ruoli degli associati.

Oltre 12 arresti e 2 ulteriori misure cautelari, sono state eseguite diverse perquisizioni nei confronti di altri indagati, residenti in Spagna.

Ad operare sono stati i I Carabinieri del #ROS, che hanno avuto la collaborazione dei militari dei Comandi provinciali di Teramo, Pescara, Fermo, Ascoli Piceno, Brescia e Perugia, e in coordinamento con il #Landeskriminalamt del Nord Reno – Westfalia (Germania), l’Udyco Central della #PoliciaNacional (Spagna), la Police Judiciaire Fédérale di Mons (Belgio) e il Dipartimento Anti-Narcotici della Polizia Nazionale dell’Ucraina, hanno eseguito 14 misure cautelari (10 in carcere, 2 agli arresti domiciliari e 2 obblighi di presentazione alla Polizia Giudiziaria) – emesse dai GIP dei Tribunale de L’Aquila e Teramo, su richiesta rispettivamente della Direzione Distettuale Antimafia de L’Aquila e della Procura Ordinaria di Teramo.

Tutte le persone interessate dal provvedimento sono ritenute responsabili, a vario titolo, di associazione finalizzata al traffico illecito di sostanze stupefacenti o psicotrope e alla produzione, traffico e detenzione illeciti di sostanze stupefacenti o psicotrope (artt. 74 e 73 D.P.R. 309/1990).

L’attività investigativa, avviata nel dicembre 2021 dalla Sezione del ROS de L’Aquila e condotta con numerose e impegnative attività tecniche e dinamiche, è stata sviluppata in coordinamento con la #DCSA (Direzione Centrale per I Servizi Antidroga) anche attraverso la collaborazione di #EUROJUST e #EUROPOL, nonché col supporto della Rete @ON, a guida italiana della #DIA (Direzione Investigativa Antimafia), finanziata dalla Commissione UE.

#rete@ON #PoliceJudiciaireFédérale #НаціональнаполіціяУкраїни

Eccoci qui. Dopo aver trascorso gli ultimi anni leggendo tra il fediverso e il web alternativo, ho deciso di creare il mio posto dove le persone orientate alla libertà possano discutere di libertà nell'informatica e nella società. Lo scopo generale è ricreare le vibrazioni familiari dell'era BBS mettendo insieme strumenti vecchi e moderni, da IRC a Mastodon. Ecco dove spiego tutto:

- [ENG] dmi.unict.it/nfarceri/articles…
- [ITA] dmi.unict.it/nfarceri/articles…

Benvenuti a casa... vostra!

Questo è il primo articolo di questo sito, dove vengono introdotti gli scopi del sito stesso. In sintesi, il sito ha lo scopo di ricreare il feeling familiare e comunitario delle BBS degli anni '80 e '90 aggregando insieme più strumenti, vecchi e mod…

^{www.dmi.unict.it}