redmount.xyz

A Black Hat USA 2025 è stata mostrata una lezione dura ma utile per chiunque gestisca identità e mail aziendali: un ricercatore ha dimostrato come, in certi ambienti ibridi che sincronizzano Active Directory locale con Microsoft Entra ID (ex Azure AD), un account cloud apparentemente a bassa priorità possa essere trasformato in un account “ibrido” con privilegi amministrativi, senza passare dalle normali barriere di autenticazione e senza far scattare gli allarmi tradizionali. La dimostrazione — presentata da Dirk-jan Mollema di Outsider Security — ha messo in luce vettori di abuso legati al server di sincronizzazione (Entra Connect), alle modalità di corrispondenza degli account tra on-prem e cloud (soft matching) e a token/claim usati nei meccanismi di delega e in Exchange ibrido. Per chi non mastica quotidianamente questi termini: molte aziende hanno ancora un Active Directory “dentro l’azienda” per utenti e servizi, e allo stesso tempo usano servizi cloud come Microsoft 365. Per fa...

Una settimana fa avevo parlato della falla critica che ha colpito SharePoint e dell'escalation preoccupante degli attacchi rilevati nella seconda settimana di luglio. A distanza di pochi giorni, il panorama delle minacce ha continuato ad evolversi, mostrando quanto sia urgente un cambio di passo nella gestione delle patch e nella sicurezza delle infrastrutture esposte. In questo approfondimento raccolgo i principali zero-day di fine luglio 2025, con tutti i dettagli tecnici, lo stato delle patch, e le implicazioni per chi gestisce ambienti vulnerabili. Il caso SharePoint merita una ripresa aggiornata. Parliamo delle vulnerabilità CVE-2025-53770 e CVE-2025-53771, classificate con un punteggio CVSS pari a 9.8. Gli attaccanti sfruttano un caricamento di script ASPX (tipicamente denominato "spinstall0.aspx") per esfiltrare le chiavi ASP.NET MachineKey dai server SharePoint non patchati. Ciò consente di generare token di autenticazione validi e mantenere accessi persistenti a...

Quando parliamo di attacchi informatici a infrastrutture critiche, spesso li immaginiamo in un futuro distopico o nei racconti sensazionalistici dei telegiornali. Ma quello che è successo ad Aeroflot il 28 luglio 2025 non è fiction, è cronaca. Ed è un caso che va letto riga per riga, perché fotografa alla perfezione la vulnerabilità di un’intera nazione – e non solo – quando tecnologia, arroganza e guerra si intrecciano. Due gruppi, Silent Crow e Cyber Partisans BY, hanno rivendicato l’azione. Non due nomi usciti dal nulla, ma due entità note per operazioni ben pianificate in ambito cyber contro obiettivi russi, spesso legati alla macchina statale o militare. La ricostruzione che propongono è dettagliata, quasi chirurgica. Parlano di accesso ottenuto oltre un anno fa, mantenuto silenziosamente per mesi. Nessun ransomware, nessuna estorsione: solo penetrazione silenziosa, osservazione, raccolta, e poi distruzione sistematica. Hanno avuto tempo. Tempo per capire come era strutturata la r...

Negli ultimi anni, la cybersecurity ha vissuto un’accelerazione impressionante non solo sul fronte difensivo, ma soprattutto su quello offensivo. Un’area in particolare continua a sollevare interrogativi, fascino e inquietudine allo stesso tempo: il mercato degli exploit zero-day. Non parlo solo della caccia ai bug nei bug bounty o nei CVE pubblici, ma di quell’ecosistema parallelo, chiuso e silenzioso, dove le vulnerabilità più preziose vengono vendute a peso d’oro prima ancora che vengano rese note. Un mercato dove la trasparenza non è prevista e i clienti non si annunciano. In questo spazio vivono aziende come Crowdfense, Zerodium, NSO Group, Cytrox e altri operatori meno noti ma altrettanto incisivi. Crowdfense, per chi mastica già questo ambiente, è uno dei nomi più rispettati. Ha sede a Dubai, ma è tutto fuorché un semplice broker. È una piattaforma che compra vulnerabilità zero-day su sistemi complessi – parliamo di exploit per iOS, Android, Windows, macOS, router, firmware, br...

L'attacco che ha colpito Microsoft SharePoint nel luglio 2025 rappresenta uno degli episodi più rilevanti dell'anno nel panorama della sicurezza informatica. Come spesso accade, tutto è iniziato nel silenzio: nei primi giorni del mese, alcuni server SharePoint on-premises hanno cominciato a manifestare comportamenti anomali. Solo più tardi si è compreso che si trattava dell'inizio di una campagna di attacchi mirati che avrebbe coinvolto almeno tre gruppi di hacker collegati allo Stato cinese: Linen Typhoon, Violet Typhoon e Storm-2603. Microsoft ha pubblicato una prima comunicazione tecnica l'8 luglio, accompagnata da una patch per due vulnerabilità note, CVE-2025-49704 e CVE-2025-49706, inizialmente ritenute sufficienti. Tuttavia, già dal 7 luglio erano stati osservati exploit attivi contro versioni vulnerabili di SharePoint installate in locale, e nei giorni successivi è emerso che le patch non coprivano nuove varianti dell'attacco che sfruttavano ulteriori falle ...

È una domanda semplice, quasi sciocca se vogliamo, ma con conseguenze che possono essere devastanti: se vi arriva una PEC, siete sicuri di accorgervene in tempo? Di leggerla? Di capirne l’urgenza e reagire come si deve, magari entro quei pochi giorni che la legge vi concede prima che la macchina giudiziaria vi travolga? Può sembrare un’esagerazione, ma esistono casi in cui un processo è andato avanti senza una delle parti perché questa, semplicemente, non ha letto in tempo una PEC di notifica. Non si è costituita. Non ha potuto difendersi. E ha perso. A quel punto si tenta, quando possibile, la remissione in termini: chiedere cioè al giudice di tornare indietro perché la parte era impossibilitata a conoscere l’atto nei tempi previsti. Ma si tratta comunque di un rimedio, non di una garanzia. La posta elettronica certificata ha pieno valore legale, e l’onere di monitorarla è tutto in capo al destinatario. Le ragioni per cui una PEC può passare inosservata sono tante – e spesso banali: m...

Negli ultimi mesi, il settore dei semiconduttori a Taiwan è stato oggetto di un’intensa attività di cyber‑spionaggio orchestrata da almeno tre gruppi di hacker presumibilmente legati allo stato cinese. Tra marzo e giugno 2025, campagne di spear‑phishing altamente mirate hanno preso di mira non soltanto le aziende coinvolte nella produzione, nel design e nei test di circuiti integrati e semiconduttori, ma anche l’intero ecosistema di fornitori di attrezzature, servizi correlati e persino analisti finanziari specializzati nel mercato dei chip taiwanesi. Questi attacchi hanno dimostrato un’elevata sofisticazione: gli aggressori hanno utilizzato profili contattando risorse umane o dipartimenti di recruiting fingendosi neo‑laureati alla ricerca di opportunità di lavoro. Nei messaggi venivano allegati presunti curriculum in formato PDF che, in realtà, nascondevano file LNK contenenti payload malware. Aprendo il documento, la vittima veniva condotta lungo una catena di attacco multipla che co...

Non è la prima volta che mi trovo a parlare di attacchi DDoS mostruosi, ma i numeri della seconda metà del 2025 segnano un salto qualitativo drammatico: abbiamo sfondato il muro dei 7 terabit al secondo. Cloudflare ha annunciato di aver mitigato un attacco DDoS “iper‑volumetrico” che ha toccato il picco di 7,3 Tbps e 4,8 miliardi di pacchetti al secondo, concentrati in appena 45 secondi. È incredibile pensare che in meno di un minuto siano stati riversati 37,4 terabyte di traffico verso un singolo IP bersaglio — un volume pari a più di 9.300 film HD. E se questo attacco fa notizia, ciò che davvero mi inquieta è il contesto in cui avviene: nei primi sei mesi del 2025 Cloudflare ha già bloccato 27,8 milioni di attacchi DDoS, superando di gran lunga ogni statistica del 2024 . Cosa significa tutto ciò per chi come me lavora nel settore? Significa che la minaccia non si limita più a interruzioni occasionali: stiamo parlando di attacchi brevi ma potentissimi, sempre più frequenti e sofistica...

L’ESA ha appena annunciato qualcosa che fino a ieri sembrava fantascienza: un CTF… nello spazio. Sì, hai capito bene. Ctrl + Space CTF sarà la prima competizione europea di hacking che si svolgerà a bordo di un satellite vero, in orbita attorno alla Terra. L’iniziativa nasce dalla collaborazione tra l’Agenzia Spaziale Europea, la società italiana D-Orbit e il mitico team mhackeroni, nome ben noto a chi bazzica il mondo dei Capture The Flag. La fase di qualifica sarà online, in formato jeopardy da 24 ore, e si terrà dal 20 al 21 settembre 2025. Aperta a tutti i team europei, servirà a selezionare chi si giocherà la finale dal vivo, prevista dal 4 al 6 novembre all’ESA ESTEC (nei Paesi Bassi), durante la conferenza Security for Space Systems. E qui arriva il bello: nella fase finale i team si confronteranno con sistemi reali installati a bordo dell’ION Satellite Carrier, un satellite di D-Orbit attualmente in orbita. Quindi niente ambienti virtuali, niente simulatori: si lavora su hardwa...

Ieri, senza alcun preavviso, il mondo DeFi si è svegliato con la notizia di un exploit da 2,2 milioni di USDC ai danni di Texture Finance — una perdita non indifferente, pare. Ma non temere: non si è trattato del solito aggressore con intenti malvagi in modalità “rubare e fuggire”, bensì di una figura inaspettata, un po’ hacker, un po’ Robin Hood della blockchain. Il team di Texture ha risposto prontamente, disabilitando i prelievi e allestendo una “war room” con auditor e sviluppatori, ma la vera mossa da manuale è stata l’offerta pubblica: restituisci il 90 % dei fondi e tieni il restante 10 % come premio, peccato che se avessi fatto il furbo oltre il limite, potevamo anche procedere per vie legali. E sotto natale, o meglio, verso mezzogiorno UTC del 10 luglio 2025, l’hacker – apparentemente dotato di un codice morale da greyhat e non di un cuore nero – ha fatto marcia indietro: ha spedito indietro i fondi e incassato la sua taglia del 10 %. Il team ha applaudito pubblicamente, dichi...

C’è qualcosa di profondamente affascinante e inquietante allo stesso tempo nell’idea che oggi le armi più avanzate non sparano proiettili, ma processano informazioni. È un pensiero che mi accompagna spesso quando leggo di startup come Helsing, un’azienda europea nata per costruire tecnologie di difesa basate sull’intelligenza artificiale e progettata per dare potere strategico alle democrazie in un’epoca dove il vantaggio militare non si misura più solo in carri armati, navi o aerei, ma nella capacità di interpretare il campo di battaglia in tempo reale, di prendere decisioni più velocemente del nemico, di dominare il caos delle informazioni e restituirlo come dominio operativo. Helsing, fondata nel 2021, ha già raccolto enormi capitali e ha stretto partnership importanti con governi europei, ma quello che la rende diversa non è solo il capitale o l’ambizione, quanto l’idea — ormai inevitabile — che la superiorità militare sarà presto, se non già ora, una questione di software. Ciò che...

Microsoft ha rilasciato il suo consueto aggiornamento mensile di sicurezza, e quello di luglio 2025 è particolarmente ricco: 130 vulnerabilità corrette, di cui 9 classificate come “critical” e una 0-day già attivamente sfruttata. Ogni secondo martedì del mese – il celebre Patch Tuesday – arriva puntuale il bollettino di Redmond, ma stavolta non è uno di quei mesi “di routine”. La falla sotto i riflettori è CVE-2024-38080, un privilege escalation su Windows Hyper-V che permette a un utente con privilegi bassi di ottenere i permessi SYSTEM. Secondo Microsoft, è già in fase di exploit in attacchi reali. Non è stata diffusa una proof-of-concept pubblica (per ora), ma basta questo dettaglio a renderla prioritaria per chiunque gestisca sistemi Windows in produzione. Oltre alla 0-day, ci sono anche due vulnerabilità in ambiente Exchange (CVE-2024-38023 e CVE-2024-38070) che attirano l’attenzione: sono remote code execution e potenzialmente catastrofiche in ambienti aziendali dove Exchange on-...

AEZA Group. Nome magari poco noto a chi non bazzica nel lato oscuro della rete, ma familiare a chi si occupa davvero di infrastrutture abusive. Gli Stati Uniti l’hanno inserito tra gli obiettivi di sanzioni per aver fornito servizi di hosting “bulletproof” a gruppi criminali e APT, molti dei quali legati alla Russia. Non è una novità. La Russia continua a coltivare un certo ecosistema tollerante, se non complice, nei confronti delle cyber-operazioni ibride: criminali che agiscono per profitto, ma in ambienti protetti, con la connivenza di provider che non chiedono nulla e non rispondono a nessuno. Un modello già visto: Ecatel nei primi anni 2000 permetteva DDoS, phishing e spam come se nulla fosse. Basta pagare. Stop. AEZA si inserisce nella stessa scia. L’OFAC (Office of Foreign Assets Control) ha collegato il gruppo a Kelvin Security, LockBit, e persino ad attività di ransomware-as-a-service. Non parliamo quindi solo di criminalità opportunistica, ma di operazioni strutturate, organi...

È il primo sabato di luglio caldo, quello che sfianca. Non so cosa facciano gli altri sotto il condizionatore, ma io leggo. E mi ritrovo con due articoli su The Hacker News che sanno tanto di deja-vu quanto di tragedia annunciata: da un lato, l’intelligence taiwanese che lancia un allarme pubblico su minacce informatiche in aumento e furti di dati ormai diventati cronaca ordinaria; dall’altro, l’eterno problema delle interfacce JDWP esposte che tornano protagoniste, ancora una volta, ancora nel 2025. Nel primo caso, il National Security Bureau di Taiwan segnala che la Cina sta raffinando l’arte della persuasione digitale, sfruttando fughe di dati da aziende locali per costruire profili comportamentali e orchestrare campagne di influenza. Non è solo spionaggio: è guerra fredda connessa, distribuita, e sempre più invisibile. La parte che brucia? Non è tanto la notizia in sé, ma il fatto che il pubblico venga avvisato solo ora, quando probabilmente la rete è già tutta compromessa. E non è...

Immagina di visitare un sito qualsiasi, anche in modalità incognita, pensando di essere al sicuro. In realtà, alcune app molto popolari sul tuo telefono Android – come Facebook, Instagram o Yandex – riuscivano comunque a capire quali siti stavi visitando, cosa facevi lì, e a collegare tutto al tuo nome. Grazie a una tecnica scoperta da alcuni ricercatori e chiamata “Local Mess”: Quando usavi il browser (Chrome, Firefox, ecc.), i siti che contenevano il codice di tracciamento di Facebook o Yandex inviavano delle informazioni... … ma invece di inviarle su Internet, le mandavano al tuo stesso telefono, in una specie di “scorciatoia privata” chiamata localhost. Qui, le app come Facebook o Instagram erano in ascolto, pronte a ricevere quei dati. In pratica, riuscivano a spiare quello che facevi nel browser, anche se avevi cancellato cookie o usavi la modalità anonima. Perché questo trucchetto: Bypassava le protezioni dei browser: non importava se avevi cancellato la cronologia o usavi modal...

Il gruppo di criminali informatici noto come Scattered Spider ha ripreso a colpire, questa volta mirando a compagnie aeree e fornitori di servizi tecnologici collegati al settore dell’aviazione. L’FBI ha emesso un'allerta formale. Il gruppo è già noto per attacchi ad alto impatto nel 2023 contro MGM Resorts e Caesars Entertainment. I loro attacchi si basano su un’evoluzione sofisticata del social engineering. Fingendosi dipendenti legittimi, i membri del gruppo contattano l’helpdesk IT delle aziende vittime. Puntano a ottenere l’aggiunta di nuovi dispositivi di autenticazione multifattore (MFA) o il reset delle credenziali di accesso. In alcuni casi riescono a convincere gli operatori a disabilitare temporaneamente l’MFA. Tutto questo avviene senza l’utilizzo di malware tradizionale. La tecnica di base è il cosiddetto "MFA fatigue", ma potenziata da pretexting convincente e spoofing di chiamate. Utilizzano dati precedentemente sottratti da altre intrusioni o acquistati ne...

Negli ultimi mesi si è parlato molto della crescente dipendenza europea da infrastrutture digitali statunitensi. Un’inchiesta di Politico Europe ha messo nero su bianco ciò che nel settore sappiamo da tempo: in caso di tensione geopolitica, gli Stati Uniti potrebbero legalmente interrompere servizi cloud fondamentali per aziende, governi e cittadini europei. Non si tratta di complottismo, ma di legge: il famigerato Cloud Act del 2018 impone a qualunque azienda americana — ovunque essa operi — di fornire dati alle autorità USA, anche se quei dati si trovano su server europei, anche se appartengono a cittadini non statunitensi. Nessuna reciprocità, nessuna garanzia per la sovranità digitale. Questo significa che interi sistemi pubblici e privati europei, ospitati oggi su AWS, Microsoft Azure o Google Cloud, possono essere oggetto di accesso forzato o addirittura di “kill switch” remoto, se un procuratore federale ne ravvisasse la necessità. Bastano un ordine giudiziario o una pressione d...

Di recente, mio fratello mi ha raccontato un'esperienza che merita la massima attenzione. Dopo aver prenotato un hotel tramite Booking.com , ha ricevuto una mail dall’aspetto legittimo con oggetto simile a: "Your reservation is at risk of cancellation" Nel corpo del messaggio, un tono urgente: Hi, There's a page ready for you to visit now. www. xxxxxxxxxx . xxx <- sito truffa Please review it in the next 6 hours. Otherwise, your progress may be affected. Quasi in contemporanea, è arrivato un altro messaggio via "chat di Booking" (mail) , apparentemente dallo stesso hotel prenotato. Stesso contenuto, stesso link. Il phishing camuffato da "verifica prenotazione" Il sito di destinazione era una pagina clonata alla perfezione: Al primo step chiedeva i dati personali. Al secondo step, come prevedibile, chiedeva i dati della carta di credito, con la solita formula "Per motivi di sicurezza, l'importo verrà solo temporaneamente trattenuto e po...

Il Patch Tuesday di giugno 2025 ha visto Microsoft correggere 67 vulnerabilità, di cui 11 classificate come “Critiche” e 2 zero-day già attivamente sfruttate. L’attenzione principale va rivolta a CVE-2025-33053 e CVE-2025-31152, entrambe con impatti significativi su client desktop e ambienti enterprise. CVE-2025-33053 è una falla di esecuzione di codice remoto (RCE) nel protocollo WebDAV di Windows, con CVSS 8.8. Questa vulnerabilità viene attivamente sfruttata in campagne mirate da gruppi APT, incluso Stealth Falcon, secondo quanto riportato da Microsoft e analisti di threat intelligence. L’exploit si attiva quando l’utente interagisce con un link WebDAV appositamente predisposto, spesso veicolato tramite phishing o documenti malevoli. Una volta eseguito, l’attaccante può ottenere esecuzione di codice arbitrario con i privilegi dell’utente corrente, bypassando i meccanismi UAC su molte configurazioni standard. Un’altra vulnerabilità critica, CVE-2025-31152, riguarda il client SMB di W...

Negli ultimi giorni mi è capitato di leggere in rete di due episodi distinti che, pur riguardando ambiti diversi, offrono spunti interessanti sul tema della sicurezza digitale quotidiana. Da un lato, un attacco ha coinvolto migliaia di router ASUS; dall’altro, sono stati violati numerosi account utente del marchio The North Face. Due situazioni che confermano quanto la superficie d’attacco sia ampia e spesso trascurata, sia a livello infrastrutturale che nel semplice utilizzo dei servizi online. Attacco ai router ASUS. Una minaccia alla sicurezza domestica Gli attacchi ai router ASUS sembrano collegati a tecniche già viste in passato, come quelle sfruttate dal malware VPNFilter. Questo tipo di infezione è capace di colpire dispositivi di rete come i router consumer, insediarsi all’interno del firmware, scaricare moduli aggiuntivi e compromettere la rete locale. In particolare, VPNFilter è noto per la sua capacità di persistere anche dopo il riavvio del dispositivo, il che lo rende part...