redmount.xyz

Mentre il caldo di Ferragosto ci avvolge, Microsoft ci ricorda che il supporto per Windows 10 terminerà il 14 ottobre 2025: sarà l’ultimo aggiornamento mensile di sicurezza disponibile per tutte le edizioni — Home, Pro, Enterprise, Education e IoT Enterprise — di Windows 10 versione 22H2. Non è la grande estate di Microsoft: da quella data, non verranno più fornite patch di sicurezza, correzioni o assistenza tecnica per Windows 10. Un cambio epocale per chi è abituato a considerare questa versione come affidabile e immortale. Ma non tutto è perduto! Chi non è pronto a passare subito a Windows 11 può comunque proteggere i propri sistemi. L’opzione Extended Security Updates (ESU) consente di ottenere aggiornamenti aggiuntivi fino al 13 ottobre 2026 per i consumatori (e fino al 10 ottobre 2028 per scuole e imprese). L’adesione costa 30 $ per utente domestico o 61 $ per azienda, ma è completamente gratuita per chi sincronizza il backup su cloud o accumula 1 000 punti Microsoft Rewards . In...

Una settimana fa avevo parlato della falla critica che ha colpito SharePoint e dell'escalation preoccupante degli attacchi rilevati nella seconda settimana di luglio. A distanza di pochi giorni, il panorama delle minacce ha continuato ad evolversi, mostrando quanto sia urgente un cambio di passo nella gestione delle patch e nella sicurezza delle infrastrutture esposte. In questo approfondimento raccolgo i principali zero-day di fine luglio 2025, con tutti i dettagli tecnici, lo stato delle patch, e le implicazioni per chi gestisce ambienti vulnerabili. Il caso SharePoint merita una ripresa aggiornata. Parliamo delle vulnerabilità CVE-2025-53770 e CVE-2025-53771, classificate con un punteggio CVSS pari a 9.8. Gli attaccanti sfruttano un caricamento di script ASPX (tipicamente denominato "spinstall0.aspx") per esfiltrare le chiavi ASP.NET MachineKey dai server SharePoint non patchati. Ciò consente di generare token di autenticazione validi e mantenere accessi persistenti a...

L'attacco che ha colpito Microsoft SharePoint nel luglio 2025 rappresenta uno degli episodi più rilevanti dell'anno nel panorama della sicurezza informatica. Come spesso accade, tutto è iniziato nel silenzio: nei primi giorni del mese, alcuni server SharePoint on-premises hanno cominciato a manifestare comportamenti anomali. Solo più tardi si è compreso che si trattava dell'inizio di una campagna di attacchi mirati che avrebbe coinvolto almeno tre gruppi di hacker collegati allo Stato cinese: Linen Typhoon, Violet Typhoon e Storm-2603. Microsoft ha pubblicato una prima comunicazione tecnica l'8 luglio, accompagnata da una patch per due vulnerabilità note, CVE-2025-49704 e CVE-2025-49706, inizialmente ritenute sufficienti. Tuttavia, già dal 7 luglio erano stati osservati exploit attivi contro versioni vulnerabili di SharePoint installate in locale, e nei giorni successivi è emerso che le patch non coprivano nuove varianti dell'attacco che sfruttavano ulteriori falle ...

Dieci anni fa nasceva il Kernel Self-Protection Project, conosciuto come KSPP, con l'obiettivo di cambiare il paradigma della sicurezza in Linux: non più semplicemente correggere vulnerabilità una per una, ma impedire in modo strutturale che intere classi di bug potessero esistere o essere sfruttate. Kees Cook, figura centrale del progetto e sviluppatore in Google, ha recentemente ripercorso dieci anni di progressi nel talk "Kernel Hardening: Ten Years Deep". Il punto di partenza era critico: in media una vulnerabilità nel kernel restava scoperta e sfruttabile per oltre cinque anni. Android e tanti altri sistemi basati su Linux venivano rilasciati con versioni vecchie del kernel, quindi prive delle ultime patch di sicurezza. Il KSPP ha introdotto un nuovo approccio: trasformare il kernel stesso in un ambiente ostile agli exploit. I risultati sono impressionanti. Grazie al lavoro del KSPP, alcune famiglie di bug sono scomparse. Array a lunghezza variabile (VLA), variabili ...

Negli anni Novanta, un gruppo di giovani entusiasti cinesi, autodidatti di hackeraggio, si è aggregato in una comunità chiamata “Honkers” – dall’unione di hong (rosso, patria) e heike (hacker). All’inizio erano motivati da un senso di orgoglio patriottico, reagendo a torti reali o percepiti nei confronti della Cina: deface di siti giapponesi, DDoS contro Taipei o organizzazioni nordamericane. Non erano sofisticati, ma il sentimento era condiviso e potente. Col passare del tempo, quei “giovani eroi del web” attirarono l’attenzione delle istituzioni statali. La storia di Tan Dailin, noto come Wicked Rose, racconta il passaggio netto da autodidatta idealista a hacker reclutato dal PLA e dal Ministry of State Security (MSS). Dopo aver vinto competizioni, frequentato campi di addestramento e progettato rootkit e exploit, Tan passò alle missioni sponsorizzate dallo Stato – fino ad essere poi incriminato negli U.S.A. per le attività di APT 41, gruppo ormai legato a operazioni di cyber-espiona...

Microsoft ha rilasciato il suo consueto aggiornamento mensile di sicurezza, e quello di luglio 2025 è particolarmente ricco: 130 vulnerabilità corrette, di cui 9 classificate come “critical” e una 0-day già attivamente sfruttata. Ogni secondo martedì del mese – il celebre Patch Tuesday – arriva puntuale il bollettino di Redmond, ma stavolta non è uno di quei mesi “di routine”. La falla sotto i riflettori è CVE-2024-38080, un privilege escalation su Windows Hyper-V che permette a un utente con privilegi bassi di ottenere i permessi SYSTEM. Secondo Microsoft, è già in fase di exploit in attacchi reali. Non è stata diffusa una proof-of-concept pubblica (per ora), ma basta questo dettaglio a renderla prioritaria per chiunque gestisca sistemi Windows in produzione. Oltre alla 0-day, ci sono anche due vulnerabilità in ambiente Exchange (CVE-2024-38023 e CVE-2024-38070) che attirano l’attenzione: sono remote code execution e potenzialmente catastrofiche in ambienti aziendali dove Exchange on-...

Non succede spesso che sudo, uno dei comandi più fidati e scrutinati del mondo Unix, finisca sotto i riflettori per una vulnerabilità davvero seria. Stavolta è successo due volte, e una delle due fa davvero male. Due bug scoperti e documentati di recente – CVE-2025-32462 e CVE-2025-32463 – mostrano come, anche dopo più di 12 anni di sviluppo, errori silenziosi possano ancora nascondersi in piena vista. Il primo, CVE-32462, è quasi romantico per quanto è vecchio: un difetto nell’uso dell’opzione --host che, in determinate configurazioni di sudoers, può consentire a un utente locale di eseguire comandi con privilegi su host che non dovrebbe nemmeno poter vedere. Roba da manuale, bassa priorità, ma comunque un richiamo interessante per chi pensa che le configurazioni “da laboratorio” non portino guai. Il secondo è molto più cattivo. CVE-32463 sfrutta l’opzione -R di sudo, che consente di specificare una directory chroot. L’idea è che tu possa lanciare comandi in un ambiente isolato, ma ec...

Il Patch Tuesday di giugno 2025 ha visto Microsoft correggere 67 vulnerabilità, di cui 11 classificate come “Critiche” e 2 zero-day già attivamente sfruttate. L’attenzione principale va rivolta a CVE-2025-33053 e CVE-2025-31152, entrambe con impatti significativi su client desktop e ambienti enterprise. CVE-2025-33053 è una falla di esecuzione di codice remoto (RCE) nel protocollo WebDAV di Windows, con CVSS 8.8. Questa vulnerabilità viene attivamente sfruttata in campagne mirate da gruppi APT, incluso Stealth Falcon, secondo quanto riportato da Microsoft e analisti di threat intelligence. L’exploit si attiva quando l’utente interagisce con un link WebDAV appositamente predisposto, spesso veicolato tramite phishing o documenti malevoli. Una volta eseguito, l’attaccante può ottenere esecuzione di codice arbitrario con i privilegi dell’utente corrente, bypassando i meccanismi UAC su molte configurazioni standard. Un’altra vulnerabilità critica, CVE-2025-31152, riguarda il client SMB di W...

Negli ultimi giorni mi sono imbattuto in diversi articoli che parlano di una vulnerabilità piuttosto seria in Roundcube Webmail, un sistema open source che usano molti provider per offrire accesso alla posta via browser. In realtà, questa falla – tracciata come CVE-2024-37383 – non è nuova: è stata scoperta e corretta già a metà 2024. Quello che però è emerso in queste ore è che l’exploit è stato recentemente condiviso o venduto in forum underground, e che diversi gruppi (anche ben organizzati) stanno sfruttando attivamente la vulnerabilità. Il punto è che molti server non sono ancora stati aggiornati, e quindi l’attacco continua a funzionare. Di fatto, alcuni ricercatori hanno osservato una campagna attiva in cui l’attaccante invia email apparentemente innocue, spesso con un allegato .doc, ma in realtà manipolate in modo da far eseguire codice JavaScript nel contesto del browser dell’utente Roundcube. Una semplice apertura dell’email basta: non c’è bisogno che la vittima clicchi nulla...

Negli ultimi anni, la sicurezza informatica è diventata una priorità assoluta per utenti e aziende. Con il crescente numero di minacce informatiche, come malware, ransomware e phishing, proteggere i propri dispositivi è fondamentale. Microsoft, da sempre in prima linea nella lotta contro le minacce digitali, ha recentemente pubblicato un articolo sul suo sito ufficiale che sottolinea l'importanza di aggiornare il proprio sistema operativo Windows per garantire la massima sicurezza del PC. Perché Aggiornare Windows è Così Importante? Gli aggiornamenti di Windows non sono solo una questione di nuove funzionalità o miglioramenti estetici. Essi includono patch di sicurezza che riparano vulnerabilità scoperte nel sistema operativo. Queste vulnerabilità, se non corrette, possono essere sfruttate da hacker per accedere ai tuoi dati personali, installare software dannoso o compromettere l'intero sistema. Microsoft rilascia regolarmente aggiornamenti per affrontare queste minacce. Tutta...

Un'indagine internazionale durata un anno ha portato all'arresto del presunto capo del gruppo criminale informatico SilverTerrier da parte delle forze di polizia nigeriane. "Si presume che il sospetto abbia gestito un sindacato transnazionale di criminalità informatica che ha lanciato campagne di phishing di massa e schemi di compromissione di e-mail aziendali rivolti ad aziende e singole vittime", ha affermato l'Interpol in una nota. L'operazione Delilah, come viene chiamato lo sforzo internazionale coordinato, prevedeva il monitoraggio dei movimenti fisici dell'uomo nigeriano di 37 anni, prima che fosse arrestato all'aeroporto internazionale Murtala Muhammed di Lagos nel marzo 2022. Group-IB, società di sicurezza informatica con sede a Singapore, ha dichiarato di aver fornito informazioni sulle minacce che hanno portato all'arresto nell'ambito dell'operazione di polizia iniziata nel maggio 2021. Secondo l' Unità 42 di Palo Alto Networ...

E' uscita la nuova edizione del Rapporto Clusit 2022 sulla sicurezza ICT in Italia! Nel 2021 gli attacchi nel mondo sono aumentati del 10% rispetto all’anno precedente, e sono sempre più gravi. Le nuove modalità di attacco dimostrano che i cyber criminali sono sempre più sofisticati e in grado di fare rete con la criminalità organizzata. Questo è quanto emerge dal nuovo Rapporto Clusit. Scarica il Rapporto Clusit 2022 – Edizione di marzo 2022: https://clusit.it/rapporto-clusit/

Mozilla lunedì ha rivelato di aver bloccato due componenti aggiuntivi dannosi per Firefox installati da 455.000 utenti che sono stati trovati a utilizzare in modo improprio l'API Proxy per impedire il download degli aggiornamenti sul browser. Le due estensioni in questione, denominati Bypass e bypass XM, "interferito con Firefox in modo che gli utenti impedito che li aveva installati da scaricare gli aggiornamenti, l'accesso blocklists aggiornati, e l'aggiornamento dei contenuti configurato da remoto," di Mozilla Rachel Tublitz e Stuart Colville ha detto . Poiché l'API proxy può essere utilizzata per eseguire il proxy delle richieste Web, un abuso dell'API potrebbe consentire a un malintenzionato di controllare il modo in cui il browser Firefox si connette a Internet in modo efficace. Oltre a bloccare le estensioni per impedire l'installazione da parte di altri utenti, Mozilla ha affermato che sospenderà le approvazioni per i nuovi componenti aggiunt...

WhatsApp ha affermato che sta iniziando a implementare lentamente la funzionalità di backup crittografati descritta in dettaglio a settembre. "A partire da oggi, stiamo mettendo a disposizione un ulteriore livello di sicurezza opzionale per proteggere i backup archiviati su Google Drive o iCloud con crittografia end-to-end", ha affermato la società in un post sul blog . "Nessun altro servizio di messaggistica globale su questa scala fornisce questo livello di sicurezza per i messaggi, i media, i messaggi vocali, le videochiamate e i backup delle chat dei propri utenti". Gli utenti potranno scegliere come archiviare la chiave di crittografia utilizzata. Il più semplice è che gli utenti tengano un registro della chiave casuale a 64 cifre, in modo simile a come Signal gestisce i backup, che dovrebbero reinserire per ripristinare un backup. L'alternativa sarebbe quella di archiviare la chiave casuale nell'infrastruttura di WhatsApp, denominata Backup Key Vault ...

Martedì Microsoft ha lanciato patch di sicurezza per contenere un totale di 71 vulnerabilità in Microsoft Windows e altri software, inclusa una correzione per una vulnerabilità di escalation dei privilegi attivamente sfruttata che potrebbe essere sfruttata insieme a bug di esecuzione di codice remoto per prendere il controllo su sistemi vulnerabili. Due dei difetti di sicurezza affrontati sono classificati come critici, 68 sono classificati come importanti e uno è classificato come livello di gravità basso, con tre dei problemi elencati come noti pubblicamente al momento del rilascio. I quattro giorni zero sono i seguenti: CVE-2021-40449 (punteggio CVSS: 7,8) - Vulnerabilità relativa all'elevazione dei privilegi di Win32k CVE-2021-41335 (punteggio CVSS: 7,8) - Vulnerabilità dell'elevazione dei privilegi del kernel di Windows CVE-2021-40469 (punteggio CVSS: 7.2) - Vulnerabilità dell'esecuzione di codice remoto del server DNS di Windows CVE-2021-41338 (punteggio CVSS: ...

I manutentori di LibreOffice e OpenOffice hanno inviato aggiornamenti di sicurezza al loro software di produttività per porre rimedio a molteplici vulnerabilità che potrebbero essere utilizzate da attori malintenzionati per alterare i documenti e farli apparire come se fossero firmati digitalmente da una fonte attendibile. L'elenco dei tre difetti è il seguente: CVE-2021-41830 / CVE-2021-25633 - Manipolazione di contenuti e macro con doppio attacco certificato CVE-2021-41831 / CVE-2021-25634 - Manipolazione del timestamp con avvolgimento della firma CVE-2021-41832 / CVE-2021-25635 - Manipolazione del contenuto con attacco di convalida del certificato Il successo dello sfruttamento delle vulnerabilità potrebbe consentire a un utente malintenzionato di manipolare il timestamp dei documenti ODF firmati e, peggio ancora, alterare il contenuto di un documento o autofirmare un documento con una firma non attendibile, che viene quindi ottimizzata per modificare l' algoritmo d...

L'Apache Software Foundation giovedì ha rilasciato ulteriori aggiornamenti di sicurezza per il suo prodotto HTTP Server per rimediare a quella che si dice sia una "correzione incompleta" per un attraversamento del percorso attivamente sfruttato e un difetto di esecuzione del codice remoto che ha corretto all'inizio di questa settimana. CVE-2021-42013 , poiché la nuova vulnerabilità è identificata come, si basa su CVE-2021-41773 , un difetto che ha avuto un impatto sui server Web Apache con la versione 2.4.49 e ha coinvolto un bug di normalizzazione del percorso che potrebbe consentire a un avversario di accedere e visualizzare arbitrariamente file archiviati su un server vulnerabile. Sebbene il difetto sia stato risolto dai manutentori nella versione 2.4.50, un giorno dopo il rilascio delle patch si è saputo che la debolezza poteva anche essere abusata per ottenere l'esecuzione di codice remoto se il modulo "mod_cgi" veniva caricato e la configurazione...

Google ha annunciato l'intenzione di iscrivere automaticamente circa 150 milioni di utenti nel suo schema di autenticazione a due fattori entro la fine dell'anno come parte dei suoi sforzi in corso per prevenire l'accesso non autorizzato agli account e migliorare la sicurezza. Inoltre, il gigante di Internet ha affermato che intende anche richiedere a 2 milioni di creatori di YouTube di attivare l'impostazione, che chiama verifica in due passaggi (2SV), per proteggere i propri canali da potenziali attacchi di acquisizione. "La verifica in due passaggi è più efficace quando combina 'qualcosa che conosci' (come una password) e 'qualcosa che hai' (come il tuo telefono o una chiave di sicurezza)", hanno detto in un post AbdelKarim Mardini e Guemmy Kim di Google , aggiungendo "avere un la seconda forma di autenticazione riduce drasticamente la possibilità di un utente malintenzionato di accedere a un account." L'implementazione segue ...

Apache ha rilasciato patch per affrontare due vulnerabilità di sicurezza, tra cui un percorso di attraversamento del percorso e un difetto di divulgazione dei file nel suo server HTTP che, secondo quanto riferito, viene attivamente sfruttato in natura. "È stato riscontrato un difetto in una modifica apportata alla normalizzazione del percorso in Apache HTTP Server 2.4.49. Un utente malintenzionato potrebbe utilizzare un attacco di attraversamento del percorso per mappare gli URL a file al di fuori della radice del documento prevista", hanno osservato i manutentori del progetto open source in un avviso pubblicato martedì. "Se i file al di fuori della radice del documento non sono protetti da 'richiedi tutto negato', queste richieste possono avere successo. Inoltre, questo difetto potrebbe far trapelare la fonte dei file interpretati come gli script CGI." Il difetto, registrato come CVE-2021-41773 , interessa solo la versione del server HTTP Apache 2.4.49. A...

Google giovedì ha spinto urgenti correzioni di sicurezza per il suo browser Chrome, tra cui un paio di nuovi punti deboli di sicurezza che la società ha affermato essere sfruttati in natura, rendendoli il quarto e il quinto zero-day attivi solo questo mese. I problemi, designati come CVE-2021-37975 e CVE-2021-37976 , fanno parte di un totale di quattro patch e riguardano un difetto use-after-free nel motore JavaScript V8 e WebAssembly, nonché una perdita di informazioni nel core. Come di solito accade, il gigante della tecnologia si è astenuto dal condividere ulteriori dettagli su come queste vulnerabilità zero-day sono state utilizzate negli attacchi fino a quando la maggior parte degli utenti non viene aggiornata con le patch, ma ha notato che è consapevole che "gli exploit per CVE-2021 -37975 e CVE-2021-37976 esistono allo stato selvatico." Un ricercatore anonimo è stato accreditato con la segnalazione CVE-2021-37975. La scoperta di CVE-2021-37976, d'altra parte, coi...