Cybersecurity & cyberwarfare

cybersecurity@poliverso.org

Aggiornamenti sulla cybersecurity italiana

Segui

Messaggi della Rete

https://poliverso.org

Cybersecurity & cyberwarfare ha ricondiviso questo.

Redhotcyber

17 ore fa

Redhotcyber
17 ore fa

The media in this post is not displayed to visitors. To view it, please go to the original post.

🔥 AFFRETTATEVI AD ISCRIVERVI! SIAMO GIA' A 9 POSTI SU 14 DISPONIBILI PER L'OTTAVA LIVE CLASS "𝗗𝗔𝗥𝗞 𝗪𝗘𝗕 𝗘 𝗖𝗬𝗕𝗘𝗥 𝗧𝗛𝗥𝗘𝗔𝗧 𝗜𝗡𝗧𝗘𝗟𝗟𝗜𝗚𝗘𝗡𝗖𝗘" – livello intermedio 🚀

Per info e iscrizioni: 📱 💬 379 163 8765 ✉️ formazione@redhotcyber.com

#redhotcyber #formazione #cybersecurity #darkweb #cti

#Cybersecurity #redhotcyber #darkweb #formazione #cti

Cybersecurity & cyberwarfare reshared this.

Cybersecurity & cyberwarfare ha ricondiviso questo.

Redhotcyber

17 ore fa

Redhotcyber
17 ore fa

The media in this post is not displayed to visitors. To view it, please go to the original post.

Sicurezza Informatica: è boom di Assunzioni ma attenzione all’Intelligenza Artificiale

📌 Link all'articolo : redhotcyber.com/post/sicurezza…

A cura di Silvia Felici

#redhotcyber #news #cybersecurity #intelligenzaartificiale #sicurezzainformatica

Sicurezza Informatica: è boom di Assunzioni ma attenzione all'Intelligenza Artificiale

Scopri come le assunzioni nel settore della sicurezza informatica stanno crescendo grazie all'impatto dell'intelligenza artificiale. Le aziende cercano esperti per affrontare nuove minacce e opportunità.

^{Silvia Felici (Red Hot Cyber)}

#intelligenzaartificiale #Cybersecurity #News #redhotcyber #sicurezzainformatica

Cybersecurity & cyberwarfare reshared this.

Cybersecurity & cyberwarfare ha ricondiviso questo.

Marco Camisani Calzolari

18 ore fa

Marco Camisani Calzolari
18 ore fa

The media in this post is not displayed to visitors. To view it, please go to the original post.

338 – Non sono più fake news. È guerra alla scienza camisanicalzolari.it/338-non-s…

338 - Non sono più fake news. È guerra alla scienza - Marco Camisani Calzolari

Non sono più fake news. È guerra alla scienza Le fake news erano la versione facile. Adesso c'è gente che ti smonta la reputazione di un medico a tavolino. E i bersagli preferiti sono scienza e medicina.

^{Marco Camisani Calzolari}

reshared this

Cybersecurity & cyberwarfare ha ricondiviso questo.

Redhotcyber

19 ore fa

Redhotcyber
19 ore fa

The media in this post is not displayed to visitors. To view it, please go to the original post.

RHC Conference 2026 - L’Incrocio tra Domini Cyber e Space: Come Hackerare un Satellite LEO

📍Guarda il video: youtube.com/watch?v=CxeZ9XeSwm…

#redhotcyber #rhcconference #conferenza #informationsecurity #ethicalhacking

RHC Conference 2026 - L’Incrocio tra Domini Cyber e Space: Come Hackerare un Satellite LEO

Profitez des vidéos et de la musique que vous aimez, mettez en ligne des contenus originaux, et partagez-les avec vos amis, vos proches et le monde entier.

^{Red Hot Cyber (YouTube)}

#redhotcyber #informationsecurity #ethicalhacking #Conferenza #rhcconference

Cybersecurity & cyberwarfare reshared this.

Cybersecurity & cyberwarfare ha ricondiviso questo.

Redhotcyber

20 ore fa

Redhotcyber
20 ore fa

The media in this post is not displayed to visitors. To view it, please go to the original post.

Robert Noyce, la nascita di Intel e quella profezia sui chip che oggi spiega Taiwan

📌 Link all'articolo : redhotcyber.com/post/robert-no…

A cura di Carlo Denza

#redhotcyber #news #storiadiunazienda #aeroportodimilano #ingegnere #ivrea #california

Robert Noyce, la nascita di Intel e quella profezia sui chip che oggi spiega Taiwan

Scopri la storia di Robert Noyce, cofondatore di Intel, attraverso i ricordi esclusivi dell'ingegnere italiano Ettore Accenti. Un viaggio unico tra Milano e la Silicon Valley

^{Carlo Denza (Red Hot Cyber)}

#News #california #redhotcyber #ivrea #ingegnere #storiadiunazienda #aeroportodimilano

Cybersecurity & cyberwarfare reshared this.

Cybersecurity & cyberwarfare ha ricondiviso questo.

Redhotcyber

20 ore fa

Redhotcyber
20 ore fa

The media in this post is not displayed to visitors. To view it, please go to the original post.

Ancora LPE su Linux! Basta un solo carattere per scalare a root e l’exploit è online

📌 Link all'articolo : redhotcyber.com/post/ancora-lp…

A cura di Luigi Zullo

#redhotcyber #news #cybersecurity #hacking #linux #vulnerabilitalpe #nf_tables #firewall

Ancora LPE su Linux! Basta un solo carattere per scalare a root e l'exploit è online

Scoperta una grave vulnerabilità nel kernel Linux che consente l'escalation dei privilegi a root, scopri come proteggerti.

^{Luigi Zullo (Red Hot Cyber)}

#Cybersecurity #linux #News #hacking #redhotcyber #firewall #nf_tables #vulnerabilitalpe

reshared this

friendica (DFRN) - Collegamento all'originale

Cybersecurity & cyberwarfare

20 ore fa

Cybersecurity & cyberwarfare
20 ore fa

Amiga 1232 Storm CD Packs Every Upgrade into One Wedge

The media in this post is not displayed to visitors. To view it, please log in.

It's rare to see an A1200 case fuller than this.

You know what they used to say– once you go Commodore, you’ll never leave by any door. Well, they might not have said that, but given the prevalence of projects still using Commodore-branded systems decades after the company’s demise, perhaps someone should have. A case in point is [Jit06] with this writeup on his Ultimate Amiga 1200 — or “Amiga 1232 Storm CD”– which crams just about every upgrade you might think of into the 1990s wedge computer.

Of course it has the PiStorm 32, with a CM4 providing supercomputer performance, at least by A1200 standards. That’s rather old hat, though, and it’s everything else crammed into the old Commodore that takes the score. For one thing, there’s a slot-loading, slim-form DVD drive from an old laptop that’s been incorporated so smoothly it almost looks factory. Ditto for the compact flash card slot, which is also on the IDE bus. The two share a custom IDE cable– yes, kids, we did used to roll our on 44-pin cables back in the day, but you’d better believe no one did it unless they really had to. With the space constraints inside the A1200 case, [Jit06] falls into that category.

The optical and CF cards trigger the drive LED on the Amiga case by default, but [Jit] wanted to see access on the PiStorm’s SD card as well, so he wired a couple of red LEDs to the default lightguide to get a colour-contrasting flash. That SD card is also broken out with an extender for easy access without opening the case– and once again, it looks almost as good as stock. So does the modded-on VGA port, which is stealing space that once belonged to the Amiga’s RF modulator and fed by a ScanPlus AGA board.

The only thing that really stands out as modded is the volume knob on the floppy-drive side of the case; that controls a mixer that sits between the CD audio and Paula, the Amiga’s custom sound chip. This lets him use the A1200 as a CD-32 system, and is very handy to have as CD-32 games used CD audio tracks that apparently were not well mixed with the digital audio in the games.

With all the cutting and soldering, this is not a reversible mod, something people are becoming much more concerned with as these machines slowly increase in rarity. Still, as a quality-of-life improvement, this sort of upgrade might be worth it if can keep the old A1200 relevant for another three decades. For anyone else who never got over the Amiga bug, he’s also published a linux-native SD-card creator called emu68 bootstrap on github to help with making images for the PiStorm.

Thanks to [Jit] for the tip! With the easy OS-swapping he’s enabled with the SD-breakout, there’s no reason not to try the rediscovered Amiga Unix. If you want the same without cutting into a vintage case, the PiStorm can be a sidecar.

youtube.com/embed/LV2FffhXCYo?…

hackaday.com/2026/06/11/amiga-…

Cybersecurity & cyberwarfare

23 ore fa

Cybersecurity & cyberwarfare
23 ore fa

So Many Analog to Digital Converters

The media in this post is not displayed to visitors. To view it, please log in.

An old algebra teacher used to say, “You have to take what you know and use it to get what you don’t know.” You might say the same thing about converting analog signals into digital. Computers know how to count and keep time. [Eric Explains] has a video purporting to explain “every type of analog-to-digital converter.” We aren’t sure he got every possible method, but there’s still a lot of information in the video, which you can see below.

From the flash ADC, using a ton of comparators to the successive approximation converter, which essentially plays a game of hi/lo, guessing the answer and figuring out if the real answer is higher or lower.

Those are pretty common, but the video also covers things like the Wilkinson ADC and other more exotic techniques. Each method, of course, has its advantages and disadvantages. For example, the flash ADC is fast, but requires a lot of components and power.

Sometimes, the method you use depends on how you are building. For example, you probably wouldn’t use a charge system on a breadboard since precision capacitors are finicky. But on an integrated circuit, capacitors made with photolithography may not be very precise, but the ratio between capacitors is super precise, making that a common technique in that domain.

Even if you never need to design your own converter, understanding the different architectures will let you make a better selection among alternatives. Then again, you can design your own. We’ve seen most of these architectures in past projects.

youtube.com/embed/mG8td8mqF3Y?…

hackaday.com/2026/06/11/so-man…

Cybersecurity & cyberwarfare

1 giorno fa da Open app

Cybersecurity & cyberwarfare
1 giorno fa da Open app

Repairing a Pair of Voodoo 2 GPUs for some SLI Action

The media in this post is not displayed to visitors. To view it, please log in.

Well there's your problem. (Credit: Bits und Bolts, YouTube) Well there’s your problem. (Credit: Bits und Bolts, YouTube)
Recently [Bits und Bolts] stumbled over a pair of Dragon 3000 branded 3dfx Voodoo 2 cards in his unfixed cards pile, and decided that the best course of action was to not only fix them, but also run them in SLI for some sweet Unreal Tournament action. Naturally, these cards being in the broken cards pile meant that he first had to figure out why they were broken and fix all issues.

The advantage of having two identical Voodoo 2 cards is of course that any missing components, like some resistors on one card, could be referenced on the other card. Beyond that it was mostly a matter of reflowing clearly corroded pins on the ICs and replacing damaged resistors and resistor arrays before the first tests could be run.

Using the mojo utility it was easy enough to spot that there were still some lingering issues, with clear issues visible in 3D games as well. These were tracked down to a dodgy pin on one of the texture mapping units (TMUs) that needed some more reflowing, and a very sneaky resistor array that was cracked but not obviously so until prodded with a multimeter.

With both cards now making happy noises when individually tested, it was time to go full SLI, fire up the Pentium 2 system and enjoy the glory of 24 MB of VRAM at high resolutions in Unreal Tournament. Considering that the bloke who had sent in these cards had found them while cleaning up a shed, it’s quite amazing how little rework was needed to once again party like it’s 1999.

youtube.com/embed/c7OOJfYCSS0?…

hackaday.com/2026/06/11/repair…

Cybersecurity & cyberwarfare ha ricondiviso questo.

iyezine_com

1 giorno fa da iyezine-bot

iyezine_com
1 giorno fa da iyezine-bot

Pixies, in arrivo la ristampa di due album

iyezine.com/pixies-in-arrivo-l…

reshared this

Cybersecurity & cyberwarfare ha ricondiviso questo.

Catalin Cimpanu

1 giorno fa

Catalin Cimpanu
1 giorno fa

omg... stop publishing infosec reports during the world cup you psychos

reshared this

Cybersecurity & cyberwarfare ha ricondiviso questo.

Lorenzo Franceschi-Bicchierai

1 giorno fa

Lorenzo Franceschi-Bicchierai
1 giorno fa

NEW: Oracle is warning customers of an unpatched bug in its PeopleSoft software, which Google says is the flaw that the cybercrime group ShinyHunters is exploiting in its latest mass hacking campaign.

Google said it notified more than 100 organizations worldwide that they had exposed and vulnerable PeopleSoft servers, most of them colleges and universities.

techcrunch.com/2026/06/11/orac…

Oracle warns of security bug that hackers abused to breach 100+ companies | TechCrunch

The tech giant warned of a security flaw that a cybercrime gang said it's exploiting as part of a mass-hacking campaign. Google said it notified more than 100 organizations that had potentially vulnerable servers.

^{Lorenzo Franceschi-Bicchierai (TechCrunch)}

reshared this

Cybersecurity & cyberwarfare ha ricondiviso questo.

Catalin Cimpanu

1 giorno fa

Catalin Cimpanu
1 giorno fa

An Ivanti Sentry RCE enters exploitation hours after a detailed write-up goes live

cisa.gov/news-events/alerts/20…

labs.watchtowr.com/more-eviden…

More Evidence That Words Don't Mean What We Thought They Meant (Ivanti Sentry Pre-Auth OS Command Injection CVE-2026-10520)

Today, Ivanti published an advisory. “No way?” we hear you say. "Yes way!" Today’s advisory outlines two vulnerabilities in Ivanti’s Sentry product, appealing directly to our inner desire for sophisticated server-side, pre-authenticated vulnerabili…

^{Sonny (watchTowr Labs)}

reshared this

in reply to Catalin Cimpanu

gary

in reply to Catalin Cimpanu 1 giorno fa

i enjoy this outlets articles #watchtowr labs blog

#watchtowr

Questa voce è stata modificata (1 giorno fa)

Cybersecurity & cyberwarfare

1 giorno fa

Cybersecurity & cyberwarfare
1 giorno fa

Evidence for Water Vapor Plumes on Europa Vanishes in Re-Analysis

The media in this post is not displayed to visitors. To view it, please log in.

An image of the surface of Europa. The top half of the sphere is illuminated with the bottom half dark. The surface is traced with lineae, long lines across its surface of various hues of grey, white, and brown. The surface is a brown-grey, somewhat like Earth's Moon with the highest brightness areas appearing white.

Unlike on Mars where for decades we have had dozens of orbital and ground-based platforms zipping and scurrying about to prod at every bit of emitted radiation, rock type and twitch of dust devils in its thin atmosphere, for other planets and their moons we have to do a lot more speculative interpretation of data. Such was the case with the presumed existence of water plumes on Jupiter’s moon Europa. These now appear to have been a statistical fluke, per research by [L. Roth] et al. in Astronomy & Astrophysics.

As succinctly summarized in the article on this by [Javier Barbuzano] of Sky and Telescope, the original 2013 finding of said water plumes by the same team was based on faint UV emissions from Europa’s southern hemisphere as captured by the Hubble Space Telescope. However, in more recent captures these emissions were not detected again, leading them to reexamine their original analysis of the 2013 data.

One of the main flaws was in the assumption of where Europe was located on Hubble’s 1,000 x 1,000 resolution detector, with the re-analysis showing that they were off by a couple of pixels. A second flaw was quite understandable as since 2013 we have learned that Europa has a thin hydrogen exosphere which interacts with the Sun’s UV radiation. The resulting scattering induces a UV glow which could be mistaken for UV radiation emanating from the moon’s surface.

Even with this one intriguing feature turning out to be a mirage, it doesn’t make Europa any less interesting as it’s still assumed to have vast liquid water oceans. Along with Uranus’ moon Miranda this makes it very worth it to experience more of the sights and sounds of these alien worlds, whether in person or via our robotic friends.

hackaday.com/2026/06/11/eviden…

Cybersecurity & cyberwarfare ha ricondiviso questo.

N_{Dario Fadda}

1 giorno fa

N_{Dario Fadda}
1 giorno fa

The media in this post is not displayed to visitors. To view it, please go to the original post.

✨ RoguePlanet: il quinto zero-day di Nightmare Eclipse trasforma Microsoft Defender in un vettore di escalation a SYSTEM
#CyberSecurity
insicurezzadigitale.com/roguep…

@informatica

(in)sicurezza digitale

2026-06-11 18:31:38

RoguePlanet: il quinto zero-day di Nightmare Eclipse trasforma Microsoft Defender in un vettore di escalation a SYSTEM

Ore dopo che Microsoft ha distribuito il Patch Tuesday di giugno 2026 — correggendo tra l’altro due zero-day dello stesso ricercatore — Nightmare Eclipse ha rilasciato pubblicamente RoguePlanet, un nuovo exploit che sfrutta una race condition in Microsoft Defender per elevare i privilegi a SYSTEM su sistemi completamente patchati. Il gesto è l’ultimo atto di una guerra a distanza tra il ricercatore e Redmond su pratiche di divulgazione e bug bounty, e solleva interrogativi scomodi sulla gestione delle vulnerabilità da parte della più grande azienda di software al mondo.
La saga Nightmare Eclipse: cinque zero-day, una disputa irrisolta

RoguePlanet è il quinto exploit zero-day pubblicamente rilasciato da Nightmare Eclipse negli ultimi mesi, dopo BlueHammer, RedSun, GreenPlasma e YellowKey. I precedenti exploit hanno colpito Microsoft Defender, BitLocker e componenti core di Windows; GreenPlasma e YellowKey sono stati corretti proprio nel Patch Tuesday del 9 giugno 2026.
Il ricercatore sostiene che Microsoft abbia sistematicamente rimosso i repository GitHub e GitLab che ospitavano i PoC, costringendolo a creare una piattaforma self-hosted (projectnightcrawler.dev). Microsoft ha risposto nel maggio 2026 con un comunicato del MSRC in cui avvertiva che avrebbe collaborato con le autorità in caso di “attività dannose che causano reale danno ai clienti” — una formulazione che la comunità della sicurezza ha ampiamente interpretato come una velata minaccia legale verso il ricercatore. L’effetto è stato controproducente: la tensione si è intensificata, e RoguePlanet ne è la diretta conseguenza.
Meccanica dell’exploit: dalla RCE alla LPE via Defender

RoguePlanet nasce originariamente come vulnerabilità di Remote Code Execution. L’idea iniziale sfruttava il modo in cui Microsoft Defender gestisce file ospitati su share SMB remoti: un attaccante poteva indurre una vittima ad aprire un file .vhd(x) su un server SMB controllato, ottenendo che Defender sovrascrivesse i propri file — con conseguente RCE.
A metà maggio 2026, Microsoft ha effettuato un hardening silenzioso dell’API mpengine!SysIO*, bloccando gli attacchi basati su junction point. Il ricercatore ha dovuto riscrivere l’exploit da zero, riuscendo a preservare solo la componente di Local Privilege Escalation. Nella forma attuale:
L’exploit sfrutta una race condition nella logica di processing interno di Defender.
Un utente non privilegiato reindirizza un’operazione su file eseguita da Defender (che gira come SYSTEM) verso codice controllato dall’attaccante.
Il risultato è l’apertura di un command prompt con privilegi SYSTEM — la shell più privilegiata su Windows.
La percentuale di successo è variabile: il ricercatore riporta “100% su alcune macchine, meno su altre”, essendo una race condition dipendente dal timing.
ThreatLocker ha confermato la riproducibilità dell’exploit su Windows 11 con la patch KB5094126 installata. Il CEO Danny Jenkins ha dichiarato a BleepingComputer: “La nostra analisi iniziale conferma che l’exploit RoguePlanet è valido e funziona come descritto. Le organizzazioni che utilizzano application allowlisting possono prevenire l’esecuzione dell’exploit.”
Sistemi affetti e stato attuale

Al momento della pubblicazione di questo articolo, non esiste una patch ufficiale Microsoft per RoguePlanet. I sistemi vulnerabili includono:
Windows 11 (build Official e Canary) con gli aggiornamenti di giugno 2026 installati
Windows 10 con gli aggiornamenti di giugno 2026 installati
Non sono stati rilevati casi di sfruttamento attivo in the wild al momento della scrittura. Tuttavia, l’exploit è pubblicamente disponibile su un repository self-hosted, il che abbassa significativamente la barriera per attori motivati.
Il paradosso della divulgazione: quando il vendor diventa il problema

La vicenda Nightmare Eclipse tocca un nervo scoperto dell’ecosistema della sicurezza: cosa succede quando un vendor di dimensioni planetarie risponde ai ricercatori indipendenti con minacce legali anziché con correzioni tempestive e riconoscimento equo?
Il modello di coordinated disclosure — già fragile — mostra le sue crepe: il ricercatore ha seguito le procedure inizialmente, ma la risposta di Microsoft (rimozione dei repository, silenzio sul bug bounty, comunicato quasi legalistico) ha spinto verso la full disclosure non coordinata. Il risultato è una serie di zero-day pubblici su uno dei sistemi operativi più diffusi al mondo, senza patch disponibili.
Va notato che la comunità della sicurezza rimane divisa: alcuni vedono Nightmare Eclipse come un ricercatore che agisce nell’interesse pubblico esponendo pratiche scorrette; altri ritengono che rilasciare exploit senza patch metta in pericolo utenti comuni. La verità è che entrambe le posizioni hanno una base legittima — e che il vero problema risiede nel comportamento di Microsoft.
Indicatori e due righe per i difensori

In assenza di patch, le misure di mitigazione disponibili sono:
Application allowlisting: come confermato da ThreatLocker, blocca l’esecuzione del payload. Soluzioni come Windows Defender Application Control (WDAC) o AppLocker possono essere efficaci.
Principio del minimo privilegio: l’exploit richiede l’esecuzione di codice come utente locale. Ridurre la superficie d’attacco limitando i diritti degli utenti finali.
Monitoraggio dei processi sospetti: alert su processi figlio spawned da MsMpEng.exe (il processo principale di Defender) con privilegi elevati.
EDR e XDR: monitorare comportamenti anomali legati a race condition sulle operazioni di file di Defender.
# Processo da monitorare
MsMpEng.exe → cmd.exe / powershell.exe (child process con TOKEN SYSTEM)
# Percorsi sensibili coinvolti
C:\ProgramData\Microsoft\Windows Defender\*
mpengine!SysIO* API calls con reindirizzamento anomalo
# Fonti di intelligence
projectnightcrawler.dev (self-hosted repo Nightmare Eclipse)
CVE: non ancora assegnato al momento della pubblicazione
La storia di RoguePlanet non è semplicemente quella di un exploit: è il sintomo di un ecosistema della vulnerability disclosure sotto pressione, in cui le dinamiche di potere tra vendor e ricercatori indipendenti producono rischi reali per tutti gli utenti Windows. Seguiremo gli sviluppi.

#Cybersecurity @Informatica (Italy e non Italy)

reshared this

Cybersecurity & cyberwarfare ha ricondiviso questo.

N_{Dario Fadda}

1 giorno fa

N_{Dario Fadda}
1 giorno fa

The media in this post is not displayed to visitors. To view it, please go to the original post.

✨ WhatsApp vs NSO Group: violata l’ingiunzione del tribunale, spearphishing contro gli utenti nonostante il divieto
#CyberSecurity
insicurezzadigitale.com/whatsa…

@informatica

(in)sicurezza digitale

2026-06-11 18:31:00

WhatsApp vs NSO Group: violata l’ingiunzione del tribunale, spearphishing contro gli utenti nonostante il divieto

WhatsApp ha presentato una richiesta di contempt order al tribunale federale contro NSO Group, accusando la società israeliana di spyware di aver continuato a colpire gli utenti della piattaforma nonostante un’ingiunzione permanente emessa in ottobre che le vietava esplicitamente di farlo. La vicenda riapre il dibattito sul mercato degli spyware commerciali e sull’efficacia degli strumenti legali contro chi li produce.
Il Contesto: sette anni di battaglia legale

La storia tra WhatsApp e NSO Group inizia nell’ottobre 2019, quando la piattaforma di Meta ha citato in giudizio la società israeliana per aver sfruttato una vulnerabilità del servizio per installare il suo spyware Pegasus su circa 1.400 dispositivi di attivisti per i diritti umani, giornalisti e dissidenti in tutto il mondo attraverso attacchi zero-click. Bastava che il bersaglio ricevesse una chiamata WhatsApp — anche senza risponderla — per compromettere il dispositivo.
Il procedimento giudiziario si è concluso con una vittoria storica per WhatsApp: nel maggio 2026 una giuria ha inizialmente assegnato 167 milioni di dollari di danni punitivi, successivamente ridotti a 4,4 milioni dal giudice federale che presiedeva il caso. A ottobre 2025, lo stesso giudice ha emesso un’ingiunzione permanente che vietava a NSO di utilizzare WhatsApp come vettore d’attacco.
NSO aveva risposto all’ingiunzione dichiarando che avrebbe potuto “mettere a rischio l’intera impresa NSO” e “costringere NSO a chiudere i battenti”, mentre il giudice respingeva le sue richieste di sospensione dell’ordine. La società ha presentato appello a novembre 2025, con un procedimento ancora in corso.
Le nuove violazioni: spearphishing in spregio al tribunale

Nonostante l’ingiunzione, WhatsApp ha rilevato nuova attività malevola attribuita a NSO Group dopo che utenti hanno segnalato comportamenti sospetti. Secondo il blog post pubblicato da Meta l’8 giugno 2026, gli attacchi avrebbero usato tecniche di social engineering per indurre gli utenti a cliccare su link malevoli verso siti web esterni fuori da WhatsApp, una metodologia simile alle campagne di 1-click phishing già in precedenza collegate a NSO.
La tecnica rappresenta un’evoluzione rispetto agli attacchi zero-click del 2019: non sfruttando più una vulnerabilità tecnica della piattaforma (impossibile dopo le patch e l’ingiunzione), NSO avrebbe adottato un approccio di spearphishing che richiede l’interazione dell’utente ma aggira il divieto tecnico di sfruttamento diretto dell’app. NSO avrebbe anche creato account e gruppi test su WhatsApp che la piattaforma ha rimosso.
WhatsApp ha condiviso pubblicamente gli indicatori di compromissione associati alle campagne e incoraggia gli utenti a verificare se siano stati bersaglio di metodi di social engineering collegati a NSO su più piattaforme, inclusi SMS ed email.
Le implicazioni: NSO sotto nuova proprietà, stessa operatività

Un elemento di contesto importante: lo scorso anno un gruppo di investitori americani ha acquisito NSO Group con l’ambizione dichiarata di rientrare nel mercato statunitense, da cui la società era stata di fatto esclusa dopo l’inserimento nella Entity List del Dipartimento del Commercio USA nel novembre 2021. L’acquisizione non sembra aver cambiato le pratiche operative della società.
Il mercato degli spyware commerciali continua a operare in una zona grigia normativa: i produttori si definiscono fornitori di strumenti legittimi per forze dell’ordine e intelligence, mentre le evidenze mostrano sistematicamente usi contro giornalisti, attivisti e dissidenti politici. Casi come quello di NSO Group dimostrano che anche quando una corte impone restrizioni operative esplicite, la compliance può essere ignorata.
La richiesta di contempt: cosa succede adesso

Con la richiesta di contempt of court, WhatsApp chiede al tribunale di sanzionare NSO per aver violato l’ingiunzione permanente di ottobre. Se il giudice dovesse riconoscere la violazione, NSO potrebbe essere soggetta a sanzioni finanziarie aggiuntive e a misure coercitive più severe, con potenziale impatto sull’appello ancora pendente.
Il caso stabilisce un precedente rilevante per l’intero settore dello spyware commerciale: per la prima volta un’azienda tecnologica è riuscita a ottenere non solo una vittoria risarcitoria ma un’ingiunzione permanente di portata operativa contro un vendor di sorveglianza. La risposta del tribunale alla presunta violazione di quell’ingiunzione determinerà se tali strumenti legali abbiano effettiva capacità deterrente.
Indicatori e raccomandazioni

WhatsApp ha pubblicato indicatori di minaccia collegati alle campagne di NSO. Chi ritiene di poter essere un bersaglio ad alto rischio — giornalisti, attivisti, operatori umanitari, funzionari governativi — dovrebbe:
Verificare i propri dispositivi con strumenti come Mobile Verification Toolkit (MVT) di Amnesty International, che analizza artefatti forensi associati a Pegasus
Trattare con massima sospetto qualsiasi link ricevuto su WhatsApp che rimandi a siti esterni, soprattutto da contatti non verificati o messaggi non attesi
Controllare i propri account WhatsApp per rilevare accessi da dispositivi o sessioni non riconosciute
Monitorare i threat indicators pubblicati da WhatsApp/Meta per verificare la presenza di domini o IP associati alle campagne negli access log dei propri sistemi
Il caso NSO-WhatsApp non è solo una vicenda legale tra due aziende: è uno dei fronti principali della battaglia globale per definire i limiti dell’industria dello spyware commerciale e la responsabilità legale dei suoi protagonisti.

#Cybersecurity @Informatica (Italy e non Italy)

reshared this

Cybersecurity & cyberwarfare ha ricondiviso questo.

Catalin Cimpanu

1 giorno fa

Catalin Cimpanu
1 giorno fa

OceanLotus spotted executing domestic espionage

reshared this

Cybersecurity & cyberwarfare

1 giorno fa

Cybersecurity & cyberwarfare
1 giorno fa

The media in this post is not displayed to visitors. To view it, please log in.

WhatsApp vs NSO Group: violata l’ingiunzione del tribunale, spearphishing contro gli utenti nonostante il divieto

@Informatica (Italy e non Italy)
Dopo aver vinto la causa contro NSO Group nel 2025, WhatsApp chiede al tribunale federale di sanzionare la società israeliana per aver continuato ad attaccare i propri utenti con campagne di

(in)sicurezza digitale

2026-06-11 18:31:00

WhatsApp vs NSO Group: violata l’ingiunzione del tribunale, spearphishing contro gli utenti nonostante il divieto

WhatsApp ha presentato una richiesta di contempt order al tribunale federale contro NSO Group, accusando la società israeliana di spyware di aver continuato a colpire gli utenti della piattaforma nonostante un’ingiunzione permanente emessa in ottobre che le vietava esplicitamente di farlo. La vicenda riapre il dibattito sul mercato degli spyware commerciali e sull’efficacia degli strumenti legali contro chi li produce.
Il Contesto: sette anni di battaglia legale

La storia tra WhatsApp e NSO Group inizia nell’ottobre 2019, quando la piattaforma di Meta ha citato in giudizio la società israeliana per aver sfruttato una vulnerabilità del servizio per installare il suo spyware Pegasus su circa 1.400 dispositivi di attivisti per i diritti umani, giornalisti e dissidenti in tutto il mondo attraverso attacchi zero-click. Bastava che il bersaglio ricevesse una chiamata WhatsApp — anche senza risponderla — per compromettere il dispositivo.
Il procedimento giudiziario si è concluso con una vittoria storica per WhatsApp: nel maggio 2026 una giuria ha inizialmente assegnato 167 milioni di dollari di danni punitivi, successivamente ridotti a 4,4 milioni dal giudice federale che presiedeva il caso. A ottobre 2025, lo stesso giudice ha emesso un’ingiunzione permanente che vietava a NSO di utilizzare WhatsApp come vettore d’attacco.
NSO aveva risposto all’ingiunzione dichiarando che avrebbe potuto “mettere a rischio l’intera impresa NSO” e “costringere NSO a chiudere i battenti”, mentre il giudice respingeva le sue richieste di sospensione dell’ordine. La società ha presentato appello a novembre 2025, con un procedimento ancora in corso.
Le nuove violazioni: spearphishing in spregio al tribunale

Nonostante l’ingiunzione, WhatsApp ha rilevato nuova attività malevola attribuita a NSO Group dopo che utenti hanno segnalato comportamenti sospetti. Secondo il blog post pubblicato da Meta l’8 giugno 2026, gli attacchi avrebbero usato tecniche di social engineering per indurre gli utenti a cliccare su link malevoli verso siti web esterni fuori da WhatsApp, una metodologia simile alle campagne di 1-click phishing già in precedenza collegate a NSO.
La tecnica rappresenta un’evoluzione rispetto agli attacchi zero-click del 2019: non sfruttando più una vulnerabilità tecnica della piattaforma (impossibile dopo le patch e l’ingiunzione), NSO avrebbe adottato un approccio di spearphishing che richiede l’interazione dell’utente ma aggira il divieto tecnico di sfruttamento diretto dell’app. NSO avrebbe anche creato account e gruppi test su WhatsApp che la piattaforma ha rimosso.
WhatsApp ha condiviso pubblicamente gli indicatori di compromissione associati alle campagne e incoraggia gli utenti a verificare se siano stati bersaglio di metodi di social engineering collegati a NSO su più piattaforme, inclusi SMS ed email.
Le implicazioni: NSO sotto nuova proprietà, stessa operatività

Un elemento di contesto importante: lo scorso anno un gruppo di investitori americani ha acquisito NSO Group con l’ambizione dichiarata di rientrare nel mercato statunitense, da cui la società era stata di fatto esclusa dopo l’inserimento nella Entity List del Dipartimento del Commercio USA nel novembre 2021. L’acquisizione non sembra aver cambiato le pratiche operative della società.
Il mercato degli spyware commerciali continua a operare in una zona grigia normativa: i produttori si definiscono fornitori di strumenti legittimi per forze dell’ordine e intelligence, mentre le evidenze mostrano sistematicamente usi contro giornalisti, attivisti e dissidenti politici. Casi come quello di NSO Group dimostrano che anche quando una corte impone restrizioni operative esplicite, la compliance può essere ignorata.
La richiesta di contempt: cosa succede adesso

Con la richiesta di contempt of court, WhatsApp chiede al tribunale di sanzionare NSO per aver violato l’ingiunzione permanente di ottobre. Se il giudice dovesse riconoscere la violazione, NSO potrebbe essere soggetta a sanzioni finanziarie aggiuntive e a misure coercitive più severe, con potenziale impatto sull’appello ancora pendente.
Il caso stabilisce un precedente rilevante per l’intero settore dello spyware commerciale: per la prima volta un’azienda tecnologica è riuscita a ottenere non solo una vittoria risarcitoria ma un’ingiunzione permanente di portata operativa contro un vendor di sorveglianza. La risposta del tribunale alla presunta violazione di quell’ingiunzione determinerà se tali strumenti legali abbiano effettiva capacità deterrente.
Indicatori e raccomandazioni

WhatsApp ha pubblicato indicatori di minaccia collegati alle campagne di NSO. Chi ritiene di poter essere un bersaglio ad alto rischio — giornalisti, attivisti, operatori umanitari, funzionari governativi — dovrebbe:
Verificare i propri dispositivi con strumenti come Mobile Verification Toolkit (MVT) di Amnesty International, che analizza artefatti forensi associati a Pegasus
Trattare con massima sospetto qualsiasi link ricevuto su WhatsApp che rimandi a siti esterni, soprattutto da contatti non verificati o messaggi non attesi
Controllare i propri account WhatsApp per rilevare accessi da dispositivi o sessioni non riconosciute
Monitorare i threat indicators pubblicati da WhatsApp/Meta per verificare la presenza di domini o IP associati alle campagne negli access log dei propri sistemi
Il caso NSO-WhatsApp non è solo una vicenda legale tra due aziende: è uno dei fronti principali della battaglia globale per definire i limiti dell’industria dello spyware commerciale e la responsabilità legale dei suoi protagonisti.

@Informatica (Italy e non Italy)

Cybersecurity & cyberwarfare

1 giorno fa

Cybersecurity & cyberwarfare
1 giorno fa

The media in this post is not displayed to visitors. To view it, please log in.

RoguePlanet: il quinto zero-day di Nightmare Eclipse trasforma Microsoft Defender in un vettore di escalation a SYSTEM

@Informatica (Italy e non Italy)
Un ricercatore in guerra aperta con Microsoft rilascia 'RoguePlanet', un exploit zero-day che sfrutta una race condition in Microsoft Defender per ottenere privilegi SYSTEM su

(in)sicurezza digitale

2026-06-11 18:31:38

RoguePlanet: il quinto zero-day di Nightmare Eclipse trasforma Microsoft Defender in un vettore di escalation a SYSTEM

Ore dopo che Microsoft ha distribuito il Patch Tuesday di giugno 2026 — correggendo tra l’altro due zero-day dello stesso ricercatore — Nightmare Eclipse ha rilasciato pubblicamente RoguePlanet, un nuovo exploit che sfrutta una race condition in Microsoft Defender per elevare i privilegi a SYSTEM su sistemi completamente patchati. Il gesto è l’ultimo atto di una guerra a distanza tra il ricercatore e Redmond su pratiche di divulgazione e bug bounty, e solleva interrogativi scomodi sulla gestione delle vulnerabilità da parte della più grande azienda di software al mondo.
La saga Nightmare Eclipse: cinque zero-day, una disputa irrisolta

RoguePlanet è il quinto exploit zero-day pubblicamente rilasciato da Nightmare Eclipse negli ultimi mesi, dopo BlueHammer, RedSun, GreenPlasma e YellowKey. I precedenti exploit hanno colpito Microsoft Defender, BitLocker e componenti core di Windows; GreenPlasma e YellowKey sono stati corretti proprio nel Patch Tuesday del 9 giugno 2026.
Il ricercatore sostiene che Microsoft abbia sistematicamente rimosso i repository GitHub e GitLab che ospitavano i PoC, costringendolo a creare una piattaforma self-hosted (projectnightcrawler.dev). Microsoft ha risposto nel maggio 2026 con un comunicato del MSRC in cui avvertiva che avrebbe collaborato con le autorità in caso di “attività dannose che causano reale danno ai clienti” — una formulazione che la comunità della sicurezza ha ampiamente interpretato come una velata minaccia legale verso il ricercatore. L’effetto è stato controproducente: la tensione si è intensificata, e RoguePlanet ne è la diretta conseguenza.
Meccanica dell’exploit: dalla RCE alla LPE via Defender

RoguePlanet nasce originariamente come vulnerabilità di Remote Code Execution. L’idea iniziale sfruttava il modo in cui Microsoft Defender gestisce file ospitati su share SMB remoti: un attaccante poteva indurre una vittima ad aprire un file .vhd(x) su un server SMB controllato, ottenendo che Defender sovrascrivesse i propri file — con conseguente RCE.
A metà maggio 2026, Microsoft ha effettuato un hardening silenzioso dell’API mpengine!SysIO*, bloccando gli attacchi basati su junction point. Il ricercatore ha dovuto riscrivere l’exploit da zero, riuscendo a preservare solo la componente di Local Privilege Escalation. Nella forma attuale:
L’exploit sfrutta una race condition nella logica di processing interno di Defender.
Un utente non privilegiato reindirizza un’operazione su file eseguita da Defender (che gira come SYSTEM) verso codice controllato dall’attaccante.
Il risultato è l’apertura di un command prompt con privilegi SYSTEM — la shell più privilegiata su Windows.
La percentuale di successo è variabile: il ricercatore riporta “100% su alcune macchine, meno su altre”, essendo una race condition dipendente dal timing.
ThreatLocker ha confermato la riproducibilità dell’exploit su Windows 11 con la patch KB5094126 installata. Il CEO Danny Jenkins ha dichiarato a BleepingComputer: “La nostra analisi iniziale conferma che l’exploit RoguePlanet è valido e funziona come descritto. Le organizzazioni che utilizzano application allowlisting possono prevenire l’esecuzione dell’exploit.”
Sistemi affetti e stato attuale

Al momento della pubblicazione di questo articolo, non esiste una patch ufficiale Microsoft per RoguePlanet. I sistemi vulnerabili includono:
Windows 11 (build Official e Canary) con gli aggiornamenti di giugno 2026 installati
Windows 10 con gli aggiornamenti di giugno 2026 installati
Non sono stati rilevati casi di sfruttamento attivo in the wild al momento della scrittura. Tuttavia, l’exploit è pubblicamente disponibile su un repository self-hosted, il che abbassa significativamente la barriera per attori motivati.
Il paradosso della divulgazione: quando il vendor diventa il problema

La vicenda Nightmare Eclipse tocca un nervo scoperto dell’ecosistema della sicurezza: cosa succede quando un vendor di dimensioni planetarie risponde ai ricercatori indipendenti con minacce legali anziché con correzioni tempestive e riconoscimento equo?
Il modello di coordinated disclosure — già fragile — mostra le sue crepe: il ricercatore ha seguito le procedure inizialmente, ma la risposta di Microsoft (rimozione dei repository, silenzio sul bug bounty, comunicato quasi legalistico) ha spinto verso la full disclosure non coordinata. Il risultato è una serie di zero-day pubblici su uno dei sistemi operativi più diffusi al mondo, senza patch disponibili.
Va notato che la comunità della sicurezza rimane divisa: alcuni vedono Nightmare Eclipse come un ricercatore che agisce nell’interesse pubblico esponendo pratiche scorrette; altri ritengono che rilasciare exploit senza patch metta in pericolo utenti comuni. La verità è che entrambe le posizioni hanno una base legittima — e che il vero problema risiede nel comportamento di Microsoft.
Indicatori e due righe per i difensori

In assenza di patch, le misure di mitigazione disponibili sono:
Application allowlisting: come confermato da ThreatLocker, blocca l’esecuzione del payload. Soluzioni come Windows Defender Application Control (WDAC) o AppLocker possono essere efficaci.
Principio del minimo privilegio: l’exploit richiede l’esecuzione di codice come utente locale. Ridurre la superficie d’attacco limitando i diritti degli utenti finali.
Monitoraggio dei processi sospetti: alert su processi figlio spawned da MsMpEng.exe (il processo principale di Defender) con privilegi elevati.
EDR e XDR: monitorare comportamenti anomali legati a race condition sulle operazioni di file di Defender.
# Processo da monitorare
MsMpEng.exe → cmd.exe / powershell.exe (child process con TOKEN SYSTEM)
# Percorsi sensibili coinvolti
C:\ProgramData\Microsoft\Windows Defender\*
mpengine!SysIO* API calls con reindirizzamento anomalo
# Fonti di intelligence
projectnightcrawler.dev (self-hosted repo Nightmare Eclipse)
CVE: non ancora assegnato al momento della pubblicazione
La storia di RoguePlanet non è semplicemente quella di un exploit: è il sintomo di un ecosistema della vulnerability disclosure sotto pressione, in cui le dinamiche di potere tra vendor e ricercatori indipendenti producono rischi reali per tutti gli utenti Windows. Seguiremo gli sviluppi.

@Informatica (Italy e non Italy)

Cybersecurity & cyberwarfare

1 giorno fa

Cybersecurity & cyberwarfare
1 giorno fa

Mechanical Stability For Your Coils

The media in this post is not displayed to visitors. To view it, please log in.

If you work with radio, the chances are that before too long you’ll be winding an inductor. At radio frequencies these won’t be big chunky transformer style chokes, but often air-cored affairs supported by their own rigidity. As grizzled old radio amateurs will tell you though, relying on such a coil for stability is a fool’s errand. It will shift inductance from the slightest movement, thermal expansion, or even sound. Luckily [SolderSmoke] is here to remind us of the trusty fix, in the form of Q-dope, or a polystyrene solution that dries to form a rigid low-dielectric coating.

Where this is being written it wasn’t on the market so it was more usual to use nail lacquer, but reading the piece it seems American hams swore by the stuff. That’s in the past tense because it seems it’s no longer on the market. Even there though help is at hand, because dissolving packaging polystyrene in solvent yields an acceptable substitute. There’s even an 11-year-old how-to video linked from the SolderSmoke post, should you fancy making some of your own. We suggest you proceed with caution though, polymers dissolved in solvents sounds a lot like home-made napalm, and probably puts out fumes you don’t want to breathe.

Meanwhile should you fancy experiments of your own with inductors, we’ve got you covered.

hackaday.com/2026/06/11/mechan…

Cybersecurity & cyberwarfare ha ricondiviso questo.

(in)sicurezza digitale

1 giorno fa

(in)sicurezza digitale
1 giorno fa

RoguePlanet: il quinto zero-day di Nightmare Eclipse trasforma Microsoft Defender in un vettore di escalation a SYSTEM

Un ricercatore in guerra aperta con Microsoft rilascia 'RoguePlanet', un exploit zero-day che sfrutta una race condition in Microsoft Defender per ottenere privilegi SYSTEM su Windows 10 e 11 completamente aggiornati. È il quinto exploit della serie, e arriva ore dopo il Patch Tuesday di giugno 2026.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Ore dopo che Microsoft ha distribuito il Patch Tuesday di giugno 2026 — correggendo tra l’altro due zero-day dello stesso ricercatore — Nightmare Eclipse ha rilasciato pubblicamente RoguePlanet, un nuovo exploit che sfrutta una race condition in Microsoft Defender per elevare i privilegi a SYSTEM su sistemi completamente patchati. Il gesto è l’ultimo atto di una guerra a distanza tra il ricercatore e Redmond su pratiche di divulgazione e bug bounty, e solleva interrogativi scomodi sulla gestione delle vulnerabilità da parte della più grande azienda di software al mondo.

La saga Nightmare Eclipse: cinque zero-day, una disputa irrisolta

RoguePlanet è il quinto exploit zero-day pubblicamente rilasciato da Nightmare Eclipse negli ultimi mesi, dopo BlueHammer, RedSun, GreenPlasma e YellowKey. I precedenti exploit hanno colpito Microsoft Defender, BitLocker e componenti core di Windows; GreenPlasma e YellowKey sono stati corretti proprio nel Patch Tuesday del 9 giugno 2026.

Il ricercatore sostiene che Microsoft abbia sistematicamente rimosso i repository GitHub e GitLab che ospitavano i PoC, costringendolo a creare una piattaforma self-hosted (projectnightcrawler.dev). Microsoft ha risposto nel maggio 2026 con un comunicato del MSRC in cui avvertiva che avrebbe collaborato con le autorità in caso di “attività dannose che causano reale danno ai clienti” — una formulazione che la comunità della sicurezza ha ampiamente interpretato come una velata minaccia legale verso il ricercatore. L’effetto è stato controproducente: la tensione si è intensificata, e RoguePlanet ne è la diretta conseguenza.

Meccanica dell’exploit: dalla RCE alla LPE via Defender

RoguePlanet nasce originariamente come vulnerabilità di Remote Code Execution. L’idea iniziale sfruttava il modo in cui Microsoft Defender gestisce file ospitati su share SMB remoti: un attaccante poteva indurre una vittima ad aprire un file .vhd(x) su un server SMB controllato, ottenendo che Defender sovrascrivesse i propri file — con conseguente RCE.

A metà maggio 2026, Microsoft ha effettuato un hardening silenzioso dell’API mpengine!SysIO*, bloccando gli attacchi basati su junction point. Il ricercatore ha dovuto riscrivere l’exploit da zero, riuscendo a preservare solo la componente di Local Privilege Escalation. Nella forma attuale:

L’exploit sfrutta una race condition nella logica di processing interno di Defender.
Un utente non privilegiato reindirizza un’operazione su file eseguita da Defender (che gira come SYSTEM) verso codice controllato dall’attaccante.
Il risultato è l’apertura di un command prompt con privilegi SYSTEM — la shell più privilegiata su Windows.
La percentuale di successo è variabile: il ricercatore riporta “100% su alcune macchine, meno su altre”, essendo una race condition dipendente dal timing.

ThreatLocker ha confermato la riproducibilità dell’exploit su Windows 11 con la patch KB5094126 installata. Il CEO Danny Jenkins ha dichiarato a BleepingComputer: “La nostra analisi iniziale conferma che l’exploit RoguePlanet è valido e funziona come descritto. Le organizzazioni che utilizzano application allowlisting possono prevenire l’esecuzione dell’exploit.”

Sistemi affetti e stato attuale

Al momento della pubblicazione di questo articolo, non esiste una patch ufficiale Microsoft per RoguePlanet. I sistemi vulnerabili includono:

Windows 11 (build Official e Canary) con gli aggiornamenti di giugno 2026 installati
Windows 10 con gli aggiornamenti di giugno 2026 installati

Non sono stati rilevati casi di sfruttamento attivo in the wild al momento della scrittura. Tuttavia, l’exploit è pubblicamente disponibile su un repository self-hosted, il che abbassa significativamente la barriera per attori motivati.

Il paradosso della divulgazione: quando il vendor diventa il problema

La vicenda Nightmare Eclipse tocca un nervo scoperto dell’ecosistema della sicurezza: cosa succede quando un vendor di dimensioni planetarie risponde ai ricercatori indipendenti con minacce legali anziché con correzioni tempestive e riconoscimento equo?

Il modello di coordinated disclosure — già fragile — mostra le sue crepe: il ricercatore ha seguito le procedure inizialmente, ma la risposta di Microsoft (rimozione dei repository, silenzio sul bug bounty, comunicato quasi legalistico) ha spinto verso la full disclosure non coordinata. Il risultato è una serie di zero-day pubblici su uno dei sistemi operativi più diffusi al mondo, senza patch disponibili.

Va notato che la comunità della sicurezza rimane divisa: alcuni vedono Nightmare Eclipse come un ricercatore che agisce nell’interesse pubblico esponendo pratiche scorrette; altri ritengono che rilasciare exploit senza patch metta in pericolo utenti comuni. La verità è che entrambe le posizioni hanno una base legittima — e che il vero problema risiede nel comportamento di Microsoft.

Indicatori e due righe per i difensori

In assenza di patch, le misure di mitigazione disponibili sono:

Application allowlisting: come confermato da ThreatLocker, blocca l’esecuzione del payload. Soluzioni come Windows Defender Application Control (WDAC) o AppLocker possono essere efficaci.
Principio del minimo privilegio: l’exploit richiede l’esecuzione di codice come utente locale. Ridurre la superficie d’attacco limitando i diritti degli utenti finali.
Monitoraggio dei processi sospetti: alert su processi figlio spawned da MsMpEng.exe (il processo principale di Defender) con privilegi elevati.
EDR e XDR: monitorare comportamenti anomali legati a race condition sulle operazioni di file di Defender.

# Processo da monitorare
MsMpEng.exe → cmd.exe / powershell.exe (child process con TOKEN SYSTEM)
# Percorsi sensibili coinvolti
C:\ProgramData\Microsoft\Windows Defender\*
mpengine!SysIO* API calls con reindirizzamento anomalo
# Fonti di intelligence
projectnightcrawler.dev (self-hosted repo Nightmare Eclipse)
CVE: non ancora assegnato al momento della pubblicazione

La storia di RoguePlanet non è semplicemente quella di un exploit: è il sintomo di un ecosistema della vulnerability disclosure sotto pressione, in cui le dinamiche di potere tra vendor e ricercatori indipendenti producono rischi reali per tutti gli utenti Windows. Seguiremo gli sviluppi.

#cybercrime #infosec #zeroday

Questa voce è stata modificata (1 giorno fa)

reshared this

Cybersecurity & cyberwarfare ha ricondiviso questo.

(in)sicurezza digitale

1 giorno fa

(in)sicurezza digitale
1 giorno fa

WhatsApp vs NSO Group: violata l’ingiunzione del tribunale, spearphishing contro gli utenti nonostante il divieto

Dopo aver vinto la causa contro NSO Group nel 2025, WhatsApp chiede al tribunale federale di sanzionare la società israeliana per aver continuato ad attaccare i propri utenti con campagne di spearphishing, violando l'ingiunzione permanente emessa in ottobre. Un caso che ridefinisce i limiti legali del mercato degli spyware commerciali.

The media in this post is not displayed to visitors. To view it, please go to the original post.

WhatsApp ha presentato una richiesta di contempt order al tribunale federale contro NSO Group, accusando la società israeliana di spyware di aver continuato a colpire gli utenti della piattaforma nonostante un’ingiunzione permanente emessa in ottobre che le vietava esplicitamente di farlo. La vicenda riapre il dibattito sul mercato degli spyware commerciali e sull’efficacia degli strumenti legali contro chi li produce.

Il Contesto: sette anni di battaglia legale

La storia tra WhatsApp e NSO Group inizia nell’ottobre 2019, quando la piattaforma di Meta ha citato in giudizio la società israeliana per aver sfruttato una vulnerabilità del servizio per installare il suo spyware Pegasus su circa 1.400 dispositivi di attivisti per i diritti umani, giornalisti e dissidenti in tutto il mondo attraverso attacchi zero-click. Bastava che il bersaglio ricevesse una chiamata WhatsApp — anche senza risponderla — per compromettere il dispositivo.

Il procedimento giudiziario si è concluso con una vittoria storica per WhatsApp: nel maggio 2026 una giuria ha inizialmente assegnato 167 milioni di dollari di danni punitivi, successivamente ridotti a 4,4 milioni dal giudice federale che presiedeva il caso. A ottobre 2025, lo stesso giudice ha emesso un’ingiunzione permanente che vietava a NSO di utilizzare WhatsApp come vettore d’attacco.

NSO aveva risposto all’ingiunzione dichiarando che avrebbe potuto “mettere a rischio l’intera impresa NSO” e “costringere NSO a chiudere i battenti”, mentre il giudice respingeva le sue richieste di sospensione dell’ordine. La società ha presentato appello a novembre 2025, con un procedimento ancora in corso.

Le nuove violazioni: spearphishing in spregio al tribunale

Nonostante l’ingiunzione, WhatsApp ha rilevato nuova attività malevola attribuita a NSO Group dopo che utenti hanno segnalato comportamenti sospetti. Secondo il blog post pubblicato da Meta l’8 giugno 2026, gli attacchi avrebbero usato tecniche di social engineering per indurre gli utenti a cliccare su link malevoli verso siti web esterni fuori da WhatsApp, una metodologia simile alle campagne di 1-click phishing già in precedenza collegate a NSO.

La tecnica rappresenta un’evoluzione rispetto agli attacchi zero-click del 2019: non sfruttando più una vulnerabilità tecnica della piattaforma (impossibile dopo le patch e l’ingiunzione), NSO avrebbe adottato un approccio di spearphishing che richiede l’interazione dell’utente ma aggira il divieto tecnico di sfruttamento diretto dell’app. NSO avrebbe anche creato account e gruppi test su WhatsApp che la piattaforma ha rimosso.

WhatsApp ha condiviso pubblicamente gli indicatori di compromissione associati alle campagne e incoraggia gli utenti a verificare se siano stati bersaglio di metodi di social engineering collegati a NSO su più piattaforme, inclusi SMS ed email.

Le implicazioni: NSO sotto nuova proprietà, stessa operatività

Un elemento di contesto importante: lo scorso anno un gruppo di investitori americani ha acquisito NSO Group con l’ambizione dichiarata di rientrare nel mercato statunitense, da cui la società era stata di fatto esclusa dopo l’inserimento nella Entity List del Dipartimento del Commercio USA nel novembre 2021. L’acquisizione non sembra aver cambiato le pratiche operative della società.

Il mercato degli spyware commerciali continua a operare in una zona grigia normativa: i produttori si definiscono fornitori di strumenti legittimi per forze dell’ordine e intelligence, mentre le evidenze mostrano sistematicamente usi contro giornalisti, attivisti e dissidenti politici. Casi come quello di NSO Group dimostrano che anche quando una corte impone restrizioni operative esplicite, la compliance può essere ignorata.

La richiesta di contempt: cosa succede adesso

Con la richiesta di contempt of court, WhatsApp chiede al tribunale di sanzionare NSO per aver violato l’ingiunzione permanente di ottobre. Se il giudice dovesse riconoscere la violazione, NSO potrebbe essere soggetta a sanzioni finanziarie aggiuntive e a misure coercitive più severe, con potenziale impatto sull’appello ancora pendente.

Il caso stabilisce un precedente rilevante per l’intero settore dello spyware commerciale: per la prima volta un’azienda tecnologica è riuscita a ottenere non solo una vittoria risarcitoria ma un’ingiunzione permanente di portata operativa contro un vendor di sorveglianza. La risposta del tribunale alla presunta violazione di quell’ingiunzione determinerà se tali strumenti legali abbiano effettiva capacità deterrente.

Indicatori e raccomandazioni

WhatsApp ha pubblicato indicatori di minaccia collegati alle campagne di NSO. Chi ritiene di poter essere un bersaglio ad alto rischio — giornalisti, attivisti, operatori umanitari, funzionari governativi — dovrebbe:

Verificare i propri dispositivi con strumenti come Mobile Verification Toolkit (MVT) di Amnesty International, che analizza artefatti forensi associati a Pegasus
Trattare con massima sospetto qualsiasi link ricevuto su WhatsApp che rimandi a siti esterni, soprattutto da contatti non verificati o messaggi non attesi
Controllare i propri account WhatsApp per rilevare accessi da dispositivi o sessioni non riconosciute
Monitorare i threat indicators pubblicati da WhatsApp/Meta per verificare la presenza di domini o IP associati alle campagne negli access log dei propri sistemi

Il caso NSO-WhatsApp non è solo una vicenda legale tra due aziende: è uno dei fronti principali della battaglia globale per definire i limiti dell’industria dello spyware commerciale e la responsabilità legale dei suoi protagonisti.

#WhatsApp #infosec #nsogroup #spyware #phishing

reshared this

Cybersecurity & cyberwarfare ha ricondiviso questo.

Catalin Cimpanu

1 giorno fa

Catalin Cimpanu
1 giorno fa

US NIST NCCOE has released a guide to reduce risk and improve resilience against ransomware attacks

nccoe.nist.gov/news-insights/n…

reshared this

Cybersecurity & cyberwarfare ha ricondiviso questo.

securityaffairs

1 giorno fa

securityaffairs
1 giorno fa

CVE-2026-10520 Exploited: Ivanti Sentry Gateways Compromised Shortly After Patch Release
securityaffairs.com/193530/unc…
#securityaffairs #hacking

CVE-2026-10520 Exploited: Ivanti Sentry Gateways Compromised Shortly After Patch Release

Attackers exploited CVE-2026-10520 flaw in Ivanti Sentry, compromising many internet-exposed gateways shortly after patches were released

^{Pierluigi Paganini (Security Affairs)}

#hacking #securityaffairs

reshared this

Cybersecurity & cyberwarfare ha ricondiviso questo.

Catalin Cimpanu

1 giorno fa

Catalin Cimpanu
1 giorno fa

No US Cyber Force this year

New cyber military branch was voted out of the NDAA in a Senate committee

therecord.media/cyber-force-no…

Cyber Force not included in Senate defense policy roadmap

An amendment by Sen. Kirsten Gillibrand (D-NY) to the chamber’s fiscal 2027 national defense authorization bill that would have created the digital-focused service was defeated 14-13 when the Senate Armed Services Committee took up the nearly $1.

^{Martin Matishak (The Record)}

reshared this

in reply to Catalin Cimpanu

Taggart

in reply to Catalin Cimpanu 1 giorno fa

Was really looking forward to seeing the first dress uniform with a hood

Cybersecurity & cyberwarfare ha ricondiviso questo.

Catalin Cimpanu

1 giorno fa

Catalin Cimpanu
1 giorno fa

The media in this post is not displayed to visitors. To view it, please go to the original post.

There's a new remote access trojan being sold online under a MaaS model. Named SilabRAT, this one is sometimes detected by some engines as "Hijackloader."

The thing that stands out here is the insane monthly price of $5,000. Yeah, good luck with that!

group-ib.com/blog/silabrat-hij…

SilabRAT, What’s Your Power?

SilabRAT is an advanced Remote Access Trojan (RAT) sold as a Malware-as-a-Service (MaaS) on Darkweb forums. Developed by the threat actor "o1oo1," SilabRAT is heavily focused on financial gain through credential theft.

^{Yauheniya Mazurenka (Group-IB)}

reshared this

in reply to Catalin Cimpanu

Matt Palmer

in reply to Catalin Cimpanu 1 giorno fa

they're targeting the Enterprise.

Cybersecurity & cyberwarfare

1 giorno fa

Cybersecurity & cyberwarfare
1 giorno fa

The Merits of Comment-Driven Development as Counterweight to TDD

The media in this post is not displayed to visitors. To view it, please log in.

The world of software has seen many paradigms come and go, all of which were supposed to revolutionize its development. Still, one of the basic tenets in engineering of there being no shortcuts to just doing the work properly also rings true in the field of software engineering: trying to skip ‘nice to haves’ like proper documentation, code formatting, and proper testing inevitably results in developers nervously trying to ignore the looming avalanche of technical and other project debts as they keep piling up.

While Test-Driven Development (TDD) once got praised as the silver bullet, the principle of writing tests before writing code merely postpones the inevitable project collapse. The elephant in the room is that you cannot pass on the basics in engineering and expect to come out fine on the other end. There’s a reason why phrases like “all tests green, successfully failed in production” have become common.

This is where the concept of Comment-Driven Development (CDD) comes into play. What started as a bit of a joke many years ago stuck in my mind and led me to my current approach in software development that tries to effectively mirror solid engineering principles.

Defining Comments

In the field of software engineering, code comments are often regarded as a bit of an unloved stepchild. No developer regards them in the same way, few appreciate them, most neglect them and some outright banish them from their lives. The most extreme response here is probably that of the Clean Code movement, who together with the Self-Documenting Code crowd insist that inline comments in particular are unnecessary, an eyesore and that beautiful, well-written code documents itself.

Then there are those who use comments as a (temporary) crutch, as in what is referred to as ‘comment programming‘. This puts comments in the place where code is supposed to go, for either later replacement or to elucidate a specific aspect. None of this uses comments consistently to provide a parallel flow with the code that explains the what, why and how of said code.

Why this matters is that despite claims to the contrary, reading and understanding code is hard. Grasping architectural decisions and intuitively separating them from quick hacks is hard even if you’re reading back your own code after a few development cycles. This is also basically why writing documentation based on just code with at most spotty inline commentary is a nightmare at best.

After working with a variety of (commercial) codebases over the years that were practically dripping technical debt and regrets – as well as writing comprehensive documentation for some of them – I have become convinced that comments are ultimately the Alpha and Omega of a healthy codebase and up to date documentation.

Software Engineering

Hot-patching the Millennium Tower in 2022. (Credit: ArnoldReinhold, Wikimedia)
Although most people see the finished product of engineering and believe that that’s all there’s to it, the truth is that before that bridge, high-rise building or even some fancy electronic widget sees the light of day, most of the work has already happened. Building it is then theoretically as easy as following the provided instructions.

An essential point here is the assumption that said instructions are half-way correct and you don’t end up building your very own Millennium Tower.

Thus the process of engineering begins with the list of requirements. These have to be chiseled into the hardest of stone, as any change here will have potentially massive repercussions. From these requirements you can then begin to work on a design document that details the overall design of the product, from which the desired architecture follows.

While the specific details will differ for each specific field of engineering, it is this condensing from an abstract idea into increasingly more concrete steps that enables for all angles to be considered before committing to a specific decision that can be hard to revert or change later. In the case of the aforementioned Millennium Tower project, those in charge omitted steps like peer review, where an external set of eyes is asked to give their two cents, because this would have ‘taken too long’.

From Design To Code

Even if in general software is easier to change than e.g. the blueprints for a civil engineering project, you still want to avoid having to go back repeatedly to change or modify parts of a codebase. To this end you do not want to write code until you are very confident that said code is proper and correct.

Fortunately, with the detailed design document and architectural planning already in the bag you can then start start the feedback loop of laying out the foundations, with any obvious issues discovered during this phase being used to improve the design and architectural documentation.

Laying out these foundations involves creating the codebase’s basic layout, including details like creating header and source files with appropriate naming. Next, within these files the architectural structure is laid out, such as creating the skeletons of types, classes, functions and methods that establish the APIs.

For each file a heading comment block is added that briefly summarizes the file’s purpose, the features contained therein, as well as a truncated change list with date and name, for accountability.

At this point we are ready to pour in the details of each compile unit’s implementation, starting by taking the design and related documents and turning the details contained therein into comments that describe the overarching design decisions, special considerations, the flow within a section and any interactions with other modules.
Fragment of the C++ port of the Sarge CLI argument library.
An example of this can be found in my Sarge command line argument parsing library, which both in its C++ and Ada form would be a very hairy mess of logic to keep track of without having the continuous flow of thought describing what is happening, why it’s happening and relevant implications.

Although it may seem simple and obvious, doing this consistently and in a way that doesn’t leave future you staring dumbfounded at a section of code, or chasing red herrings during a debugging session due to a flawed assumption is somewhat of an art. Here it’s crucial that whenever you find yourself in such a state that the relevant inline comments are updated or new ones added as necessary to prevent future confusion.

It shouldn’t even have to be said that keeping these comments – and related documentation – updated whenever code changes are made is absolutely paramount as well. While it’s ‘boring’ work, you don’t do it for your present self, but your future self and/or fellow developers who’ll otherwise use extremely colorful language related to your person.

Documentation And Tests

Writing the documentation with CDD starts from the first list of requirements, with the design document being the next major part, both providing the higher-level overview of the project before diving into the nitty-gritty of the architecture and implementation.

What the best approach here is largely depends on the project and who might be interested in documentation and to which extent. For a typical commercial project where there never is budget for ‘writing documentation’, simply having the design document and the detailed inline comments in the source might be what one has to settle for.

Here it might also be possible to use said inline comments to generate e.g. API listings from with tools such as Doxygen. My own experiences with such tools are mixed, but in a CDD context such auto-generated documentation could be significantly more useful, not to mention accurate.

Finally, any tests required to test specific functionality would be defined along with the code’s architecture, letting it define the testing scope rather than vice versa. With APIs for modules already settled early on, writing unit- and integration tests tends to be a lot easier and without the nagging and nebulous goal of that mystical ‘100% test coverage’.

Mitigating Circumstances

Of course, not every software project is the same, especially for hobbyist projects where you’re often the sole maintainer. It is here your prerogative to take all the shortcuts you want, as long as it is in the knowledge that you’ll only have yourself to blame.

This is why some of my projects are definitely a bit more loose in their adherence to CDD, while others are a complete stickler. for example, when I created my NyanSD network service discovery protocol, I started by writing out a complete requirements and design document, including the protocol itself. By following the top-down CDD approach here I was able to design and implement the entire protocol in the course of about two days, and have it mostly work first try.

Ultimately, CDD in my eyes is the correct approach to software engineering, as it saves a lot of time while being the only approach that actually follows basic engineering principles. You can change the field, but ultimately both physics and underlying hardware remain just as unimpressed by your personal views on how things ought to work.

hackaday.com/2026/06/11/the-me…

Cybersecurity & cyberwarfare ha ricondiviso questo.

Claudia

1 giorno fa

Claudia
1 giorno fa

Giovedì, che per gli Spartani è #flamedì, per me è sempre Social Debug.

Numero 18, con grafica rinnovata e citazioni di un certo livello, una per ogni edizione.
E si parla di #AI, scrittura e stampelle. Tutte uguali.

#SocialDebug sempre di giovedì 🦄

👉 open.substack.com/pub/signorin…

Social Debug: la fabbrica del vuoto

Da terrapiattista senza congiuntivi a leader di pensiero in un click. O almeno così speri.

^{Claudia aka signorina37 (Rumore di Fondo)}

#ai #SocialDebug #flamedi

reshared this

Unknown parent

Claudia

Unknown parent 1 giorno fa

@uriel sicuramente la mia stizza e obiezione è verso chi sostituisce con l'AI il proprio pensiero.

Ho scritto chiaro che, usarla come editor e revisore, è utile e aiuta a rendersi conto di quanto siamo fallaci.

Aiutare va bene.
Far scrivere contenuti un tanto al chilo, meh.

@Uriel Fanelli (on Aktor)

Unknown parent

Claudia

Unknown parent 19 ore fa

@uriel giornalismo sgombro che ci puoi incartare il pesce

@Uriel Fanelli (on Aktor)

Cybersecurity & cyberwarfare

1 giorno fa da Open app

Cybersecurity & cyberwarfare
1 giorno fa da Open app

Cisco Talos, nel 2026 attività sponsorizzate dagli Stati meno rumorose ma più pazienti: ecco come difendersi

@Informatica (Italy e non Italy)
Oggi il rischio non è il ransomware che blocca platealmente i sistemi, ma l'avversario - invisibile per mesi - che sfrutta credenziali legittime e strumenti noti. Se gestiscono servizi

@Informatica (Italy e non Italy)

Cybersecurity & cyberwarfare ha ricondiviso questo.

Lorenzo Franceschi-Bicchierai

1 giorno fa

Lorenzo Franceschi-Bicchierai
1 giorno fa

If you're bored, this website shows you random exposed webcams all over the world. stumbletv.alec.is/c/38c16f2868…

Manchester, United States · StumbleTV

Watching Manchester, United States on StumbleTV.

^{stumbletv.alec.is}

Cybersecurity & cyberwarfare reshared this.

in reply to Lorenzo Franceschi-Bicchierai

Viss

in reply to Lorenzo Franceschi-Bicchierai 1 giorno fa

this is just images.shodan.io with extra steps!

in reply to Viss

Viss

in reply to Viss 1 giorno fa

The media in this post is not displayed to visitors. To view it, please go to the original post.

@lorenzofb

@Lorenzo Franceschi-Bicchierai

Cybersecurity & cyberwarfare ha ricondiviso questo.

Catalin Cimpanu

1 giorno fa

Catalin Cimpanu
1 giorno fa

Authorities seize a crypto-laundering service named AudiA6 that was being used by ransomware crews to launder payments

europol.europa.eu/media-press/…

Ransomware gangs cut off from EUR 336 million ‘AudiA6’ crypto laundering pipeline – Europol analysis links the criminal service to over 15 international cybercrime investigations | Europol

An international law enforcement operation has dismantled one of the cryptocurrency laundering services most trusted by ransomware gangs and cybercriminal networks, cutting off a key financial pipeline used to wash hundreds of millions in illicit pro…

^Europol

reshared this

Cybersecurity & cyberwarfare ha ricondiviso questo.

Catalin Cimpanu

1 giorno fa

Catalin Cimpanu
1 giorno fa

phpBB patched a major vulnerability that can allow threat actors to hijack any users' session.

The bug impacts all phpBB versions released over the past decade.

Forums are vulnerable in their default setup if OAuth authentication is enabled.

aikido.dev/blog/phpbb-authenti…

Critical phpBB Vulnerability: Auth Bypass + RCE Since 2014

Aikido Security discovered a critical unauthenticated authentication bypass in phpBB affecting tens of millions of users. A single HTTP request is all it takes to take over any account — a vulnerability that's been sitting in the codebase since 2014.

^{Jorian Woltjer (Aikido Security)}

reshared this

Cybersecurity & cyberwarfare

1 giorno fa da Open app

Cybersecurity & cyberwarfare
1 giorno fa da Open app

3D Printed Hose Sprayer Sets Phasers to Suds

The media in this post is not displayed to visitors. To view it, please log in.

The weather is warming up, and for many of us that means more time spent working out in the yard. You probably won’t find any new life or new civilizations out there, but if you’ve spent the last few months indoors on your computer, the garden may as well be a strange new world. In that case, you’d do well to equip the members of your landing party with this Star Trek: The Original Series hose sprayer designed by [Curt Turner].

If you’re wondering how [Curt] managed to 3D print a functional hose sprayer, the short answer is that he didn’t. Once assembled, the printed parts cleverly attach to the top of a standard sprayer, specifically the model 56516 “Pro Flo” from Orbit. Without the design constraints that would have come from trying to make the thing actually contain pressurized water, [Curt] was free to focus on the aesthetics, and it shows.

Even with a garden variety — no pun intended — sprayer strapped to the bottom, it’s remarkable how much the “Sprayser” looks like the real thing. Well, not real, but you know what we mean.

[Curt] has also done an excellent job documenting this project for others that want to imagine they’re fighting off Romulans in their backyard. He’s got assembly diagrams that break down which color each of the principle components is to be printed in, as well as a build video that we’ve embedded below.

We’ve seen a fair number of Star Trek props built over the years, some of which have packed in considerably more functionality than anything they would have had back on the set. These days you can even by an officially licensed tricorder that can actually do some of the things the fictional versions were capable of.

youtube.com/embed/Zh9aOr3lYZo?…

hackaday.com/2026/06/11/3d-pri…

Cybersecurity & cyberwarfare ha ricondiviso questo.

Redhotcyber

1 giorno fa

Redhotcyber
1 giorno fa

The media in this post is not displayed to visitors. To view it, please go to the original post.

L’Europa lancia il proprio pacchetto Office! Il primo rilascio stabile di Euro-Office è online

📌 Link all'articolo : redhotcyber.com/post/leuropa-l…

A cura di Carolina Vivianti

#redhotcyber #news #eurooffice #opensource #sovranitadigitale #documentserver #editonline

L'Europa lancia il proprio pacchetto Office! Il primo rilascio stabile di Euro-Office è online

Scopri Euro-Office, la nuova suite per ufficio europea open source che promette sovranità digitale e collaborazione trasparente.

^{Carolina Vivianti (Red Hot Cyber)}

#opensource #News #sovranitàdigitale #redhotcyber #documentserver #eurooffice #editonline

Cybersecurity & cyberwarfare reshared this.

Cybersecurity & cyberwarfare

1 giorno fa

Cybersecurity & cyberwarfare
1 giorno fa

Software Bill of Materials (Sbom) nel 2026: i progessi e i 3 ostacoli all’adozione degli inventari

@Informatica (Italy e non Italy)
In base ai risultati dell’indagine dell'Enisa, più di 7 imprese su 10 hanno aumentato gli investimenti per gli SBOM. Oltre 4 intervistati su 10 dichiarano che il CRA ha accelerato i piani di adozione degli inventari.

@Informatica (Italy e non Italy)

Cybersecurity & cyberwarfare ha ricondiviso questo.

securityaffairs

1 giorno fa

securityaffairs
1 giorno fa

#OnyxC2 #Malware-as-a-Service Offers Enterprise-Grade Data Theft
securityaffairs.com/193523/unc…
#securityaffairs #hacking

OnyxC2 Malware-as-a-Service Offers Enterprise-Grade Data Theft - Security Affairs

OnyxC2 is a MaaS stealer targeting 210+ apps, using DLL sideloading, encrypted payloads, and remote access features to evade detection.

^{Pierluigi Paganini (Security Affairs)}

#malware #hacking #securityaffairs #onyxc2

Cybersecurity & cyberwarfare reshared this.

Cybersecurity & cyberwarfare ha ricondiviso questo.

N_{Dario Fadda}

1 giorno fa

N_{Dario Fadda}
1 giorno fa

The media in this post is not displayed to visitors. To view it, please go to the original post.

Critical npm Supply Chain Attack: Malicious ‘dbmux’ Package Gives Hackers Full System Control
#CyberSecurity
securebulletin.com/critical-np…

Critical npm Supply Chain Attack: Malicious 'dbmux' Package Gives Hackers Full System Control - Secure Bulletin

A malicious npm package named dbmux was discovered containing malware that gives attackers complete control over any developer system that installed it.

^{dark6 (Secure Bulletin)}

#Cybersecurity

reshared this

Cybersecurity & cyberwarfare ha ricondiviso questo.

N_{Dario Fadda}

1 giorno fa

N_{Dario Fadda}
1 giorno fa

The media in this post is not displayed to visitors. To view it, please go to the original post.

Operation TaxShadow: Fileless Malware Campaign Uses Fake Tax Emails to Evade Detection on Windows
#CyberSecurity
securebulletin.com/operation-t…

Operation TaxShadow: Fileless Malware Campaign Uses Fake Tax Emails to Evade Detection on Windows - Secure Bulletin

A sophisticated phishing campaign called Operation TaxShadow is targeting Windows users with fake government tax notifications that deliver multi-stage fileless malware.

^{dark6 (Secure Bulletin)}

#Cybersecurity

reshared this

Cybersecurity & cyberwarfare ha ricondiviso questo.

N_{Dario Fadda}

1 giorno fa

N_{Dario Fadda}
1 giorno fa

The media in this post is not displayed to visitors. To view it, please go to the original post.

Docker Desktop 4.77.0: export dei log, estensioni sicure con digest pinning e nuovi comandi docker pass
#tech
spcnet.it/docker-desktop-4-77-…
@informatica

Spcnet.it

2026-06-11 12:37:15

Docker Desktop 4.77.0: export dei log, estensioni sicure con digest pinning e nuovi comandi docker pass

Docker ha rilasciato Docker Desktop 4.77.0 l’8 giugno 2026, portando funzionalità attese da chi lavora quotidianamente con container in ambienti di sviluppo su Windows, Mac e Linux. Il punto di forza di questa release è il miglioramento della gestione dei log, la sicurezza nella distribuzione delle estensioni Marketplace e nuovi comandi per la gestione sicura dei segreti con docker pass.
Novità principali
Export dei log dalla Logs view

È ora possibile esportare i dati di log direttamente dalla Logs view di Docker Desktop. Fino a questa release, visualizzare e copiare manualmente i log di un container era l’unica opzione nell’interfaccia grafica; ora è possibile esportarli in modo strutturato, utile per condividere output di debug o alimentare strumenti di analisi esterni.
Insieme all’export, è stato aggiunto un toggle per la sensibilità alle maiuscole nella barra di ricerca dei log: la ricerca è case-insensitive per default, ma può essere commutata in case-sensitive per trovare identificatori o messaggi di errore specifici.
Estensioni Marketplace installate tramite digest OCI fisso

Un miglioramento significativo per la sicurezza della supply chain: le estensioni del Marketplace di Docker Desktop vengono ora installate e aggiornate usando il digest del manifest OCI (hash crittografico SHA256), invece del tag. Questo protegge contro attacchi di tipo tag mutation, in cui un’immagine pubblicata con un determinato tag viene successivamente sostituita con una versione malevola dopo la pubblicazione.
Il principio è lo stesso già consigliato in produzione per i Dockerfile:
# Più sicuro: riferimento per digest immutabile
FROM mcr.microsoft.com/dotnet/aspnet@sha256:a1b2c3d4...

# Meno sicuro: il tag può cambiare dopo la pubblicazione
FROM mcr.microsoft.com/dotnet/aspnet:10.0
Nuovi comandi docker pass

docker pass è lo strumento di Docker Desktop per la gestione dei segreti. Con questa release riceve due nuovi comandi:
docker pass run — inietta i segreti salvati come variabili d’ambiente in comandi eseguiti sull’host, eliminando la necessità di esporre segreti permanentemente nella shell
docker pass plugins — permette la gestione dinamica dei plugin di docker pass
Esempio d’uso:
# Senza docker pass: segreto esposto nella shell
export DATABASE_URL="postgres://utente:password@host/db"
./myapp

# Con docker pass run: segreto iniettato solo durante l'esecuzione
docker pass run -- ./myapp
Supporto OAuth per MCP server in Gordon

Gordon, l’assistente AI integrato in Docker Desktop, riceve i pulsanti Authenticate e Cancel per i flussi OAuth dei server MCP. I team che usano MCP server con autenticazione OAuth possono ora completare o rifiutare il flusso direttamente dalla chat bubble di Gordon.
Componenti aggiornati

Docker Engine v29.5.3
containerd v2.2.4
Docker Buildx v0.34.1
Docker Offload v0.6.3
Docker Agent v1.70.0
Docker MCP gateway v0.42.2
docker pass v0.1.2
DHI CLI (dhictl) v0.0.4

Bug fix rilevanti

Windows/WSL: risolto un blocco su “Starting the Docker Engine…” dopo una registrazione WSL fallita che lasciava un VHDX orfano su disco
Windows Containers mode: risolto un hang allo shutdown che causava uscite lente o incomplete
ECI (Enhanced Container Isolation): corretta una regressione per cui docker cp con ECI abilitato impostava erroneamente la proprietà dei file a nobody:nogroup
Shutdown: corretto il codice di uscita 150 su shutdown via SIGINT/SIGTERM, che generava falsi segnali di errore nei sistemi di supervisione

Come aggiornare

Docker Desktop si aggiorna automaticamente nella maggior parte delle configurazioni. Per aggiornare manualmente:
# Linux (.deb)
sudo apt-get update && sudo apt-get install --only-upgrade docker-desktop
In alternativa, usate Docker menu → Check for Updates oppure scaricate direttamente dalla pagina delle release notes ufficiali.
Fonte: Docker Desktop Release Notes — docs.docker.com

release-notes
^{docs.docker.com}

#tech @Informatica (Italy e non Italy)

reshared this

Cybersecurity & cyberwarfare ha ricondiviso questo.

N_{Dario Fadda}

1 giorno fa

N_{Dario Fadda}
1 giorno fa

The media in this post is not displayed to visitors. To view it, please go to the original post.

ServiceNow Confirms Unauthorized Access Vulnerability Exposing Enterprise Customer Data
#CyberSecurity
securebulletin.com/servicenow-…

ServiceNow Confirms Unauthorized Access Vulnerability Exposing Enterprise Customer Data - Secure Bulletin

ServiceNow has confirmed a security vulnerability allowing unauthorized actors to query customer instance tables without proper authentication, potentially exposing sensitive enterprise data.

^{dark6 (Secure Bulletin)}

#Cybersecurity

reshared this

⇧

Redhotcyber 17 ore fa • •

Redhotcyber 17 ore fa • •

Marco Camisani Calzolari 18 ore fa • •

Redhotcyber 19 ore fa • •

Redhotcyber 20 ore fa • •

Redhotcyber 20 ore fa • •

Cybersecurity & cyberwarfare 20 ore fa •

Cybersecurity & cyberwarfare 23 ore fa •

Cybersecurity & cyberwarfare 1 giorno fa da Open app •

iyezine_com 1 giorno fa da iyezine-bot • •

Catalin Cimpanu 1 giorno fa • •

Lorenzo Franceschi-Bicchierai 1 giorno fa • •

Catalin Cimpanu 1 giorno fa • •

Cybersecurity & cyberwarfare 1 giorno fa •

N_{Dario Fadda} 1 giorno fa • •

RoguePlanet: il quinto zero-day di Nightmare Eclipse trasforma Microsoft Defender in un vettore di escalation a SYSTEM

La saga Nightmare Eclipse: cinque zero-day, una disputa irrisolta

Meccanica dell’exploit: dalla RCE alla LPE via Defender

Sistemi affetti e stato attuale

Il paradosso della divulgazione: quando il vendor diventa il problema

Indicatori e due righe per i difensori

N_{Dario Fadda} 1 giorno fa • •

WhatsApp vs NSO Group: violata l’ingiunzione del tribunale, spearphishing contro gli utenti nonostante il divieto

Il Contesto: sette anni di battaglia legale

Le nuove violazioni: spearphishing in spregio al tribunale

Le implicazioni: NSO sotto nuova proprietà, stessa operatività

La richiesta di contempt: cosa succede adesso

Indicatori e raccomandazioni

Catalin Cimpanu 1 giorno fa • •

Cybersecurity & cyberwarfare 1 giorno fa •

WhatsApp vs NSO Group: violata l’ingiunzione del tribunale, spearphishing contro gli utenti nonostante il divieto

Il Contesto: sette anni di battaglia legale

Le nuove violazioni: spearphishing in spregio al tribunale

Le implicazioni: NSO sotto nuova proprietà, stessa operatività

La richiesta di contempt: cosa succede adesso

Indicatori e raccomandazioni

Cybersecurity & cyberwarfare 1 giorno fa •

RoguePlanet: il quinto zero-day di Nightmare Eclipse trasforma Microsoft Defender in un vettore di escalation a SYSTEM

La saga Nightmare Eclipse: cinque zero-day, una disputa irrisolta

Meccanica dell’exploit: dalla RCE alla LPE via Defender

Sistemi affetti e stato attuale

Il paradosso della divulgazione: quando il vendor diventa il problema

Indicatori e due righe per i difensori

Cybersecurity & cyberwarfare 1 giorno fa •

(in)sicurezza digitale 1 giorno fa • •

La saga Nightmare Eclipse: cinque zero-day, una disputa irrisolta

Meccanica dell’exploit: dalla RCE alla LPE via Defender

Sistemi affetti e stato attuale

Il paradosso della divulgazione: quando il vendor diventa il problema

Indicatori e due righe per i difensori

(in)sicurezza digitale 1 giorno fa • •

Il Contesto: sette anni di battaglia legale

Le nuove violazioni: spearphishing in spregio al tribunale

Le implicazioni: NSO sotto nuova proprietà, stessa operatività

La richiesta di contempt: cosa succede adesso

Indicatori e raccomandazioni

Catalin Cimpanu 1 giorno fa • •

securityaffairs 1 giorno fa • •

Catalin Cimpanu 1 giorno fa • •

Catalin Cimpanu 1 giorno fa • •

Cybersecurity & cyberwarfare 1 giorno fa •

Defining Comments

Software Engineering

From Design To Code

Documentation And Tests

Mitigating Circumstances

Claudia 1 giorno fa • •

Cybersecurity & cyberwarfare 1 giorno fa da Open app •

Lorenzo Franceschi-Bicchierai 1 giorno fa • •

Catalin Cimpanu 1 giorno fa • •

Catalin Cimpanu 1 giorno fa • •

Cybersecurity & cyberwarfare 1 giorno fa da Open app •

Redhotcyber 1 giorno fa • •

Cybersecurity & cyberwarfare 1 giorno fa •

Redhotcyber
17 ore fa

Redhotcyber
17 ore fa

Marco Camisani Calzolari
18 ore fa

Redhotcyber
19 ore fa

Redhotcyber
20 ore fa

Redhotcyber
20 ore fa

Cybersecurity & cyberwarfare
20 ore fa

Cybersecurity & cyberwarfare
23 ore fa

Cybersecurity & cyberwarfare
1 giorno fa da Open app

iyezine_com
1 giorno fa da iyezine-bot

Catalin Cimpanu
1 giorno fa

Lorenzo Franceschi-Bicchierai
1 giorno fa

Catalin Cimpanu
1 giorno fa

Cybersecurity & cyberwarfare
1 giorno fa

N_{Dario Fadda}
1 giorno fa

N_{Dario Fadda}
1 giorno fa

Catalin Cimpanu
1 giorno fa

Cybersecurity & cyberwarfare
1 giorno fa

Cybersecurity & cyberwarfare
1 giorno fa

Cybersecurity & cyberwarfare
1 giorno fa

(in)sicurezza digitale
1 giorno fa

(in)sicurezza digitale
1 giorno fa

Catalin Cimpanu
1 giorno fa

securityaffairs
1 giorno fa

Catalin Cimpanu
1 giorno fa

Catalin Cimpanu
1 giorno fa

Cybersecurity & cyberwarfare
1 giorno fa

Claudia
1 giorno fa

Cybersecurity & cyberwarfare
1 giorno fa da Open app

Lorenzo Franceschi-Bicchierai
1 giorno fa

Catalin Cimpanu
1 giorno fa

Catalin Cimpanu
1 giorno fa

Cybersecurity & cyberwarfare
1 giorno fa da Open app

Redhotcyber
1 giorno fa

Cybersecurity & cyberwarfare
1 giorno fa