Di recente è mersa una nuova vulnerabilità di tipo Local Privilege Escalation (LPE) su tutte le versioni di Windows. Conosciuta come una vulnerabilità zero-day, questa falla non è ancora stata individuata né corretta dai produttori del software, rendendo immediatamente vulnerabili milioni di dispositivi in tutto il mondo.

L’annuncio presente sul dark web, mette in vendita l’exploit per una somma di 150.000 dollari, evidenziando la gravità della minaccia e l’urgenza di una risposta da parte delle comunità di sicurezza informatica.

Dettagli vulnerabilità

L’annuncio descrive una vulnerabilità di tipo LPE, che consente a un utente malintenzionato di elevare i propri privilegi su un sistema locale, bypassando le restrizioni di sicurezza tipiche del sistema operativo. Questo tipo di exploit può essere devastante, poiché consente agli attaccanti di ottenere accesso amministrativo completo, potendo così manipolare il sistema, eseguire codice arbitrario, installare malware e rubare dati sensibili.

Dettagli vendita

Su un noto forum underground, il threat actor noto come ‘Cvsp” afferma di avere in possesso una vulnerabilità di Local Privilege Escalation (LPE) in Windows pronta alla vendita.

Immagine del post rinvenuto nel darkweb

Dettagli post:

• Versioni Affette: Tutte le versioni di Windows sono vulnerabili, indicando una falla sistemica e non circoscritta a specifiche edizioni del sistema operativo.
• Tasso di Successo: L’exploit vanta un impressionante tasso di successo del 98%, suggerendo che è stato testato ampiamente e verificato come altamente efficace.
• Dettagli e PoC: I dettagli tecnici dell’exploit e un Proof of Concept (PoC) sono disponibili solo tramite messaggi privati.
• Prezzo: Il costo dell’exploit è fissato a 150.000$, una cifra significativa che riflette l’alto valore percepito di questa vulnerabilità nel dark web.

Al momento non è possibile verificare la validità dell’exploit, senza prove, le affermazioni di Cvsp rimangono non verificate.

L’attore Cvsp è comparso nel settembre 2023, la sua reputazione è descritta come “discreta”, il che implica che non è particolarmente noto né totalmente sconosciuto, ma ha acquisito una certa credibilità all’interno della comunità. Cvsp ha messo in vendita altre vulnerabilità zero-day nei mesi scorsi, specificamente per VMware ESXi e Microsoft Outlook, ma in entrambi i casi precedenti non ha fornito prove concrete dell’esistenza e dell’efficacia delle vulnerabilità. Di conseguenza, non è possibile verificare se le affermazioni di Cvsp siano vere.

Metodi di contatto e acquisto

Cvsp può essere contattato tramite TOX, un protocollo di messaggistica crittografata e garantisce anonimato e la protezione dei dati durante lo scambio di informazioni sensibili.

L’autore dell’annuncio specifica che le transazioni saranno effettuate tramite un servizio di escrow, nello specifico tramite l’inermediario IntelBroker. Questo metodo di pagamento, comune nei contesti di alta sicurezza, garantisce che i fondi siano trattenuti da una terza parte fiduciaria fino a quando tutte le condizioni dell’accordo non sono state soddisfatte. Questo suggerisce una transazione ben orchestrata e professionale.

Conclusioni

La scoperta di questa nuova vulnerabilità zero-day in tutte le versioni di Windows sottolinea ancora una volta la costante minaccia rappresentata dagli exploit non divulgati. Le implicazioni di un exploit di tipo Local Privilege Escalation sono gravi, poiché permettono agli attaccanti di ottenere il controllo completo dei sistemi affetti, esponendo dati sensibili e compromettendo la sicurezza generale dell’infrastruttura IT. Gli utenti e gli amministratori di sistema devono assicurarsi che tutti i sistemi Windows siano aggiornati con le ultime patch di sicurezza non appena diventano disponibili. Questo riduce la superficie di attacco e protegge contro le vulnerabilità note.

La comunità di sicurezza informatica deve rimanere vigile e collaborativa per affrontare rapidamente queste minacce e proteggere gli utenti da potenziali attacchi. La divulgazione responsabile delle vulnerabilità e la collaborazione con i produttori di software sono fondamentali per mantenere sicuri i nostri sistemi informatici.

L'articolo Ancora Local Privilege Escalation 0day per Windows in vendita a 150.000 dollari proviene da il blog della sicurezza informatica.

Microsoft e Apple hanno deciso di rinunciare ai loro posti nel consiglio di amministrazione di OpenAI, citando preoccupazioni su questioni antitrust e sull’indipendenza di OpenAI. Questa decisione arriva in un momento di intensificazione del controllo normativo sia da parte degli Stati Uniti che dell’Unione Europea.

Il panorama normativo che circonda l’IA è diventato sempre più complesso, con organismi come la Commissione Europea e la Federal Trade Commission (FTC) degli Stati Uniti che esaminano attentamente l’influenza delle grandi aziende tecnologiche in questo settore in rapida evoluzione.

La presidente della FTC Lisa Khan ha parlato apertamente dell’importanza di promuovere iniziative open source e decentralizzazione nell’IA, sottolineando la necessità di prevenire il controllo monopolistico e promuovere un ambiente di mercato competitivo.

Rinunciando alle loro posizioni nel consiglio, Microsoft e Apple stanno adottando misure proattive per allinearsi a questi obiettivi normativi e garantire che OpenAI rimanga un’entità autonoma. Vale la pena notare che il ruolo di Microsoft nel consiglio era principalmente di osservazione, concentrandosi sulla salvaguardia dell’indipendenza di OpenAI piuttosto che sull’esercizio di un controllo diretto sulle sue operazioni.

Nonostante le dimissioni dal consiglio, OpenAI continua a compiere passi da gigante nel promuovere le capacità dell’IA, dando priorità alla sicurezza e alle considerazioni etiche. L’organizzazione ha recentemente annunciato una nuova entusiasmante partnership bioscientifica con il Los Alamos National Laboratory, volta a esplorare l’applicazione sicura e responsabile dell’IA nella ricerca bioscientifica. Questa collaborazione si concentrerà sullo sfruttamento delle tecnologie dell’IA per vari compiti biologici e sulla valutazione delle potenziali minacce di rischio biologico.

Oltre alle sue iniziative in ambito bioscientifico, OpenAI ha anche introdotto nuove funzionalità nella sua API text-to-speech, ora disponibile nel playground. L’API presenta un’impressionante gamma di sei voci diverse e consente agli utenti di scaricare facilmente file audio. Con questi miglioramenti, OpenAI si sta posizionando come un formidabile concorrente di altri provider text-to-speech, come 11 Labs, offrendo a sviluppatori e aziende una soluzione versatile e intuitiva per la sintesi vocale avanzata.

Mentre il panorama dell’IA continua a evolversi, la prontezza e la sicurezza delle tecnologie future, come Sora, rimangono un argomento di discussione in corso. OpenAI ha costantemente sottolineato l’importanza di uno sviluppo robusto e di test rigorosi prima di rilasciare nuovi sistemi di IA al pubblico. Garantire l’affidabilità e la sicurezza di queste tecnologie è fondamentale per la loro integrazione di successo in varie applicazioni e settori.

Le decisioni di Microsoft e Apple di dimettersi dal consiglio di amministrazione di OpenAI hanno implicazioni di vasta portata per l’intero settore dell’IA. Queste mosse potrebbero potenzialmente avere un impatto sui monopoli dell’IA e sulla concorrenza di mercato, aprendo la strada a un panorama più diversificato e competitivo.

Mentre gli enti normativi continuano a confrontarsi con le preoccupazioni relative alle grandi aziende tecnologiche che controllano le risorse e l’innovazione dell’IA, la promozione di iniziative open source e decentralizzazione diventa sempre più cruciale.

L'articolo Microsoft e Apple Lasciano il Consiglio di OpenAI! Una Mossa verso l’Indipendenza? proviene da il blog della sicurezza informatica.

The European Commission legally bound Apple to commitments on Thursday (11 July) addressing previous competition concerns over its refusal to grant rivals access to NFC technology for contactless payments.

euractiv.com/section/competiti…

Introduction

Bulk phishing email campaigns tend to target large audiences. They use catch-all wordings and simplistic formatting, and typos are not uncommon. Targeted attacks take greater effort, with attackers sending personalized messages that include personal details and might look more like something you’d get from your employer or a customer. Adopting that approach on a larger scale is a pricey endeavor. Yet, certain elements of spear phishing recently started to be used in regular mass phishing campaigns. This story looks at some real-life examples that illustrate the trend.

Spear phishing vs. mass phishing

Spear phishing is a type of attack that targets a specific individual or small group. Phishing emails like that feature information about the victim, and they tend to copy, both textually and visually, the style used by the company that they pretend to be from. They’re not easy to see for what they are: the attackers avoid errors in technical headers and don’t use email tools that could get them blocked, such as open email relays or bulletproof hosting services included in blocklists, such as DNS-based blocklist (DNSBL).

By contrast, mass phishing campaigns are designed for a large number of recipients: the messages are generalized in nature, they are not addressed to a specific user and do not feature the name of the addressee’s company or any other personalized details. Typos, mistakes and poor design are all common. Today’s AI-powered editing tools help attackers write better, but the text and formatting found in bulk email is still occasionally substandard. There is no structure to who gets targeted: attackers run their campaigns across entire databases of email addresses available to them. It’s a one-size-fits-all message inside: corporate discounts, security alerts from popular services, issues with signing in and the like.

Attacks evolving: real-life examples

Unlike other types of email phishing, spear phishing was never a tool for mass attacks. However, as we researched user requests in late 2023, we spotted an anomaly in how detections were distributed statistically. A lot of the emails that we found were impossible to pigeonhole as either targeted or mass-oriented. They boasted a quality design, personalized details of the targeted company and styling that imitated HR notifications. Still the campaigns were too aggressive and sent on too mass a scale to qualify as spear phishing.

An HR phishing email message: the body references the company, the recipient is addressed by their name, and the content is specialized enough so as to feel normal to a vigilant user

Besides, the message linked to a typical fake Outlook sign-in form. The form was not customized to reflect the target company’s style – a sure sign of bulk phishing.

The phishing sign-in form that opened when the user clicked the link in the email

Another similar campaign uses so-called ghost spoofing, a type of spoofing that adds a real corporate email address to the sender’s name, but does not hide or modify the actual domain. The technique sees increasing use in targeted attacks, but it’s overkill for mass phishing.

An HR phishing email message that uses ghost spoofing: the sender’s name contains the HR team’s email address, lending an air of authenticity to the email

As in the previous example, the phishing link in the email doesn’t have any unique features that a spear phishing link would. The sign-in form that opens contains no personalized details, while the design looks exactly like many other forms of this kind. It is hosted on an IPFS service like those often used in mass attacks.

The IPFS phishing sign-in form

Statistics

The number of mixed phishing emails, March-May, 2024 (download)

We detected a substantial increase in the number of those mixed attacks in March through May 2024. First and foremost, this is a sign that tools used by attackers are growing in complexity and sophistication. Today’s technology lowers the cost of launching personalized attacks at scale. AI-powered tools can style the email body as an official HR request, fix typos and create a clean design. We have also observed a proliferation of third-party spear phishing services. This calls for increased vigilance on the part of users and more robust corporate security infrastructure.

Takeaways

Attackers are increasingly adopting spear phishing methods and technology in their bulk phishing campaigns: emails they send are growing more personalized, and the range of their spoofing technologies and tactics is expanding. These are still mass email campaigns and as such present a potential threat. This calls for safeguards that keep up with the pace of advances in technology while combining sets of methods and services to combat each type of phishing.

To fend off email attacks that combine spear and mass phishing elements:

• Pay attention to the sender’s address and the actual email domain: in an official corporate email, these must match.
• If something smells phishy, ask the sender to clarify, but don’t just reply to the email: use a different communication channel.
• Hold regular awareness sessions for your team to educate them about email phishing.
• Use advanced security solutions that incorporate anti-spam filtering and protection.

securelist.com/spear-phishing-…

In cultural spaces there are still many barriers for people from a physical, mental and economic disadvantaged background. An EU funded project is developing an app and a kit that thanks to augmented reality and a hands-on approach, will break down these barriers.

euractiv.com/section/digital/o…

Questa è la nuova versione della prima guida completa su Mastodon in italiano dedicata a chi proveniva da Twitter. Oggi il Twitter che conoscevamo non esiste più, sostituito dal social X, e sono nati diversi social più o meno aperti, come Bluesky e Threads, mentre alcuni servizi come Flipboard e TumbIr si sono aperti al Fediverso e alcune soluzioni software come WordPress si sono aperte alla…

Source

informapirata

2024-07-10 13:26:55

Guida galattica per x-stoppisti finiti su mastodon (nuova versione)

Guida galattica per X-stoppisti finiti su mastodon – La nuova versione della guida di informapirata

“Probabilmente quasi tutto quello sapete su Mastodon è sbagliato!
Ma siete in buona compagnia…”

informapirata.it/2024/07/10/gu…

#EugenRochko #fedditIt #Fediquette #Fediverso #Framasoft #Friendica #hashtag #Lemmy #Mastodon #Poliversity #Poliverso #ProductDesign #ProductDesign #Twitter #Typography #TypographyInTheWild

[ap_content

Guida galattica per x-stoppisti finiti su mastodon (nuova versione)

Guida galattica per X-stoppisti finiti su mastodon - La nuova versione della guida di informapirata "Probabilmente quasi tutto quello sapete su Mastodon è…

^{informapirata}