redmount.xyz

A Black Hat USA 2025 è stata mostrata una lezione dura ma utile per chiunque gestisca identità e mail aziendali: un ricercatore ha dimostrato come, in certi ambienti ibridi che sincronizzano Active Directory locale con Microsoft Entra ID (ex Azure AD), un account cloud apparentemente a bassa priorità possa essere trasformato in un account “ibrido” con privilegi amministrativi, senza passare dalle normali barriere di autenticazione e senza far scattare gli allarmi tradizionali. La dimostrazione — presentata da Dirk-jan Mollema di Outsider Security — ha messo in luce vettori di abuso legati al server di sincronizzazione (Entra Connect), alle modalità di corrispondenza degli account tra on-prem e cloud (soft matching) e a token/claim usati nei meccanismi di delega e in Exchange ibrido. Per chi non mastica quotidianamente questi termini: molte aziende hanno ancora un Active Directory “dentro l’azienda” per utenti e servizi, e allo stesso tempo usano servizi cloud come Microsoft 365. Per fa...

Nel corso del 2025, gli SVG stanno rapidamente diventando uno dei formati più sfruttati per veicolare attacchi di phishing e malware in modo furtivo e sempre più sofisticato. Tradizionalmente percepiti come semplici immagini vettoriali, gli SVG — in quanto basati su XML — possono contenere script, redirect, codice JavaScript e collegamenti dinamici, sfruttando le stesse capacità che li rendono potenti strumenti di grafica. È proprio questa flessibilità a renderli oggi una vera e propria tela per l’attaccante. I gruppi criminali informatici hanno iniziato a includere allegati .svg nei messaggi email al fine di eludere i controlli antispam tradizionali. Il contenuto di questi file viene spesso offuscato usando encoding Base64 o rappresentazioni esadecimali, combinati con tecniche di evasione DOM come MutationObserver, setTimeout, eval e document.write. Alcuni SVG si presentano all’apparenza come semplici loghi o icone, ma una volta aperti nel browser — anche con un clic accidentale da we...

L'attacco che ha colpito Microsoft SharePoint nel luglio 2025 rappresenta uno degli episodi più rilevanti dell'anno nel panorama della sicurezza informatica. Come spesso accade, tutto è iniziato nel silenzio: nei primi giorni del mese, alcuni server SharePoint on-premises hanno cominciato a manifestare comportamenti anomali. Solo più tardi si è compreso che si trattava dell'inizio di una campagna di attacchi mirati che avrebbe coinvolto almeno tre gruppi di hacker collegati allo Stato cinese: Linen Typhoon, Violet Typhoon e Storm-2603. Microsoft ha pubblicato una prima comunicazione tecnica l'8 luglio, accompagnata da una patch per due vulnerabilità note, CVE-2025-49704 e CVE-2025-49706, inizialmente ritenute sufficienti. Tuttavia, già dal 7 luglio erano stati osservati exploit attivi contro versioni vulnerabili di SharePoint installate in locale, e nei giorni successivi è emerso che le patch non coprivano nuove varianti dell'attacco che sfruttavano ulteriori falle ...

 TikTok è tornata nel mirino delle autorità europee, e a questo punto non è più una notizia sorprendente, ma un tassello in un mosaico sempre più chiaro. L’Irlanda ha aperto una nuova indagine formale per chiarire se i dati degli utenti europei siano stati accessibili dalla Cina, nonostante le rassicurazioni ufficiali e i miliardi investiti nel cosiddetto Project Clover, l’infrastruttura di data center pensata per convincerci che tutto resti entro i confini europei. Quello che mi inquieta, più di tutto, è che non stiamo parlando di ipotesi, ma di fatti già ammessi: TikTok ha riconosciuto che l’accesso ai dati europei da parte di personale in Cina è effettivamente avvenuto. Eppure continuiamo a usare quell’app, continuiamo a scorrere video, a regalare dati, espressioni facciali, movimenti, abitudini. È una forma di rassegnazione dolce, mascherata da intrattenimento. Da persona che ha un minimo di rispetto per la coerenza tra ciò che si dichiara e ciò che si fa, trovo difficile rest...

Non è la prima volta che mi trovo a parlare di attacchi DDoS mostruosi, ma i numeri della seconda metà del 2025 segnano un salto qualitativo drammatico: abbiamo sfondato il muro dei 7 terabit al secondo. Cloudflare ha annunciato di aver mitigato un attacco DDoS “iper‑volumetrico” che ha toccato il picco di 7,3 Tbps e 4,8 miliardi di pacchetti al secondo, concentrati in appena 45 secondi. È incredibile pensare che in meno di un minuto siano stati riversati 37,4 terabyte di traffico verso un singolo IP bersaglio — un volume pari a più di 9.300 film HD. E se questo attacco fa notizia, ciò che davvero mi inquieta è il contesto in cui avviene: nei primi sei mesi del 2025 Cloudflare ha già bloccato 27,8 milioni di attacchi DDoS, superando di gran lunga ogni statistica del 2024 . Cosa significa tutto ciò per chi come me lavora nel settore? Significa che la minaccia non si limita più a interruzioni occasionali: stiamo parlando di attacchi brevi ma potentissimi, sempre più frequenti e sofistica...

Negli ultimi mesi si è parlato molto della crescente dipendenza europea da infrastrutture digitali statunitensi. Un’inchiesta di Politico Europe ha messo nero su bianco ciò che nel settore sappiamo da tempo: in caso di tensione geopolitica, gli Stati Uniti potrebbero legalmente interrompere servizi cloud fondamentali per aziende, governi e cittadini europei. Non si tratta di complottismo, ma di legge: il famigerato Cloud Act del 2018 impone a qualunque azienda americana — ovunque essa operi — di fornire dati alle autorità USA, anche se quei dati si trovano su server europei, anche se appartengono a cittadini non statunitensi. Nessuna reciprocità, nessuna garanzia per la sovranità digitale. Questo significa che interi sistemi pubblici e privati europei, ospitati oggi su AWS, Microsoft Azure o Google Cloud, possono essere oggetto di accesso forzato o addirittura di “kill switch” remoto, se un procuratore federale ne ravvisasse la necessità. Bastano un ordine giudiziario o una pressione d...

Ricordo quando, da ragazzino, navigavo con un modem 56k. Sentivo il suono della connessione come l’inizio di qualcosa di misterioso e affascinante, ma mai avrei immaginato che un giorno la “velocità” di connessione sarebbe diventata un’arma. Oggi leggo che Cloudflare ha mitigato un attacco DDoS da 73 terabit al secondo. Settanta-tre. Terabit. È una cifra che va oltre l’immaginabile per chi ha vissuto l’epoca dell’ADSL con l’upload a 256 Kbps. Eppure è realtà, ed è una realtà che racconta bene la trasformazione della rete: da ambiente artigianale e pionieristico, a teatro di guerra distribuita ad alta intensità. All’inizio, un DDoS era quasi una dimostrazione di bravata: c’erano tool rudimentali come Trinoo, Stacheldraht, Tribe Flood Network. Erano botnet che sfruttavano macchine compromesse, spesso server Linux lasciati aperti con Telnet attivo e password deboli. Bastava un minimo di coordinamento e qualche decina di zombie per far fuori il sito web della scuola o un piccolo server IRC...

Nobelium, l' attore delle minacce dietro il compromesso di SolarWinds nel dicembre 2020, è stato dietro a una nuova ondata di attacchi che ha compromesso 14 clienti a valle di più fornitori di servizi cloud (CSP), fornitori di servizi gestiti (MSP) e altre organizzazioni di servizi IT, illustrando il il continuo interesse dell'avversario a prendere di mira la catena di approvvigionamento attraverso l'approccio "compromesso uno a molti". Microsoft, che lunedì ha rivelato i dettagli della campagna, ha dichiarato di aver informato più di 140 rivenditori e fornitori di servizi tecnologici da maggio. Tra il 1 luglio e il 19 ottobre 2021, si dice che Nobelium abbia individuato 609 clienti, che sono stati attaccati collettivamente per un totale di 22.868 volte. "Questa recente attività è un altro indicatore del fatto che la Russia sta cercando di ottenere un accesso sistematico e a lungo termine a una varietà di punti della catena di approvvigionamento tecnologico e...

I ricercatori hanno scoperto una vulnerabilità di lettura fuori dai limiti nel linguaggio di programmazione Squirrel che può essere abusato dagli aggressori per superare le restrizioni della sandbox ed eseguire codice arbitrario all'interno di uno SquirrelVM, dando così a un malintenzionato l'accesso completo alla macchina sottostante. Tracciato come CVE-2021-41556 , il problema si verifica quando una libreria di giochi denominata Squirrel Engine viene utilizzata per eseguire codice non attendibile e interessa i rami di rilascio stabili 3.x e 2.x di Squirrel. La vulnerabilità è stata divulgata responsabilmente il 10 agosto 2021. Squirrel è un linguaggio di programmazione open source e orientato agli oggetti che viene utilizzato per lo scripting di videogiochi, nonché nei dispositivi IoT e nelle piattaforme di elaborazione delle transazioni distribuite come Enduro/X. "In uno scenario reale, un utente malintenzionato potrebbe incorporare uno script Squirrel dannoso in una...

Un hacker ha violato la rete informatica del governo argentino e rubato i dettagli della carta d'identità per l'intera popolazione del paese, dati che ora vengono venduti in circoli privati. L'hack, avvenuto il mese scorso, ha preso di mira RENAPER , che sta per Registro Nacional de las Personas, tradotto come Registro Nazionale delle Persone . L'agenzia è un ingranaggio cruciale all'interno del ministero dell'Interno argentino, dove ha il compito di rilasciare carte d'identità nazionali a tutti i cittadini, dati che archivia anche in formato digitale come database accessibile ad altre agenzie governative, fungendo da spina dorsale per la maggior parte delle richieste del governo per i dati personali del cittadino. I dati di Lionel Messi e Sergio Aguero sono trapelati su Twitter La prima prova che qualcuno ha violato RENAPER è emersa all'inizio di questo mese su Twitter quando un account appena registrato di nome @AnibalLeaks ha pubblicato foto di ...

WhatsApp ha affermato che sta iniziando a implementare lentamente la funzionalità di backup crittografati descritta in dettaglio a settembre. "A partire da oggi, stiamo mettendo a disposizione un ulteriore livello di sicurezza opzionale per proteggere i backup archiviati su Google Drive o iCloud con crittografia end-to-end", ha affermato la società in un post sul blog . "Nessun altro servizio di messaggistica globale su questa scala fornisce questo livello di sicurezza per i messaggi, i media, i messaggi vocali, le videochiamate e i backup delle chat dei propri utenti". Gli utenti potranno scegliere come archiviare la chiave di crittografia utilizzata. Il più semplice è che gli utenti tengano un registro della chiave casuale a 64 cifre, in modo simile a come Signal gestisce i backup, che dovrebbero reinserire per ripristinare un backup. L'alternativa sarebbe quella di archiviare la chiave casuale nell'infrastruttura di WhatsApp, denominata Backup Key Vault ...

La piattaforma di live streaming interattiva Twitch ha riconosciuto una "violazione" dopo che un poster anonimo sulla bacheca di messaggistica di 4chan ha fatto trapelare il suo codice sorgente, un concorrente Steam inedito di Amazon Game Studios, dettagli sui compensi dei creatori , kit di sviluppo software proprietario e altri strumenti interni. Il servizio di proprietà di Amazon ha affermato che "sta lavorando con urgenza per comprendere l'entità di ciò", aggiungendo che i dati sono stati esposti "a causa di un errore in una modifica della configurazione del server Twitch a cui è stato successivamente effettuato l'accesso da parte di una terza parte dannosa". "In questo momento, non abbiamo alcuna indicazione che le credenziali di accesso siano state esposte", ha osservato Twitch in un post pubblicato mercoledì in ritardo. "Inoltre, i numeri completi delle carte di credito non vengono memorizzati da Twitch, quindi i numeri com...

I ricercatori della sicurezza informatica hanno rivelato una vulnerabilità di sicurezza senza patch nel protocollo utilizzato da Microsoft Azure Active Directory che i potenziali avversari potrebbero abusare per mettere in scena attacchi di forza bruta non rilevati. "Questo difetto permette agli attori di minaccia di eseguire un solo fattore di attacchi brute-force contro Azure Active Directory ( Azure dC ) senza generare di sign-in eventi nel inquilino dell'organizzazione mirato" ricercatori di SecureWorks contatore Threat Unit (CTU) ha detto in un rapporto pubblicato di mercoledì. Azure Active Directory è la soluzione IAM (Identity and Access Management) basata su cloud aziendale di Microsoft progettata per il Single Sign-On (SSO) e l'autenticazione a più fattori. È anche un componente principale di Microsoft 365 (in precedenza Office 365), con funzionalità per fornire l'autenticazione ad altre applicazioni tramite OAuth. Il punto debole risiede nella funziona...

Il sondaggio sulla sicurezza del cloud di IDC 2021 afferma che ben il 98% delle aziende è stato vittima di una violazione dei dati del cloud negli ultimi 18 mesi. Spinte dalla pandemia, le organizzazioni piccole e grandi di tutto il mondo stanno migrando i propri dati e la propria infrastruttura in un cloud pubblico, spesso sottovalutando i problemi di privacy o sicurezza nuovi e specifici del cloud. Quasi ogni mattina, i titoli sono pieni di notizie sensazionali su decine di milioni di record sanitari o finanziari trovati in cloud storage non protetti come bucket AWS S3, BLOB di Microsoft Azure o un altro servizio di storage cloud-native da parte del numero crescente di provider di sicurezza cloud più piccoli . ImmuniWeb, un fornitore di sicurezza delle applicazioni in rapida crescita che offre una varietà di prodotti basati sull'intelligenza artificiale, ha annunciato questa settimana che la sua Community Edition gratuita , che esegue oltre 150.000 test di sicurezza giornalieri,...

Microsoft lunedì ha rivelato un nuovo malware distribuito dal gruppo di hacker dietro l'attacco alla catena di approvvigionamento SolarWinds lo scorso dicembre per fornire payload aggiuntivi e rubare informazioni sensibili dai server Active Directory Federation Services ( ADFS ). Il Threat Intelligence Center (MSTIC) del gigante tecnologico ha chiamato FoggyWeb "backdoor passiva e altamente mirata", rendendolo l'attore di minacce tracciato come l'ultimo strumento di Nobelium in una lunga lista di armi informatiche come Sunburst , Sunspot , Raindrop , Teardrop , GoldMax, GoldFinder , Sibot , Flipflop , NativeZone , EnvyScout, BoomBox e VaporRage . "Una volta che Nobelium ottiene le credenziali e compromette con successo un server, l'attore fa affidamento su tale accesso per mantenere la persistenza e approfondire la sua infiltrazione utilizzando malware e strumenti sofisticati", hanno affermato i ricercatori di MSTIC . "Nobelium utilizza Foggy...

VMware martedì ha pubblicato un nuovo bollettino che avverte di ben 19 vulnerabilità nei dispositivi vCenter Server e Cloud Foundation che un utente malintenzionato potrebbe sfruttare per prendere il controllo di un sistema interessato. La più urgente tra queste è una vulnerabilità di caricamento file arbitrario nel servizio Analytics (CVE-2021-22005) che ha un impatto sulle distribuzioni di vCenter Server 6.7 e 7.0. "Un malintenzionato con accesso di rete alla porta 443 su vCenter Server può sfruttare questo problema per eseguire codice su vCenter Server caricando un file appositamente predisposto", ha osservato la società , aggiungendo "questa vulnerabilità può essere utilizzata da chiunque riesca a raggiungere vCenter Server tramite rete per ottenere l'accesso, indipendentemente dalle impostazioni di configurazione di vCenter Server." Sebbene VMware abbia pubblicato soluzioni alternative per il difetto, la società ha avvertito che sono "pensate per es...

Secondo una nuova ricerca, due terzi degli incidenti di sicurezza del cloud avrebbero potuto essere evitati se la configurazione di app, database e policy di sicurezza fosse stata corretta. Mercoledì, IBM Security X-Force ha pubblicato il suo ultimo report Cloud Security Threat Landscape , dal secondo trimestre 2020 al secondo trimestre 2021. Secondo la ricerca, due dei tre ambienti cloud violati osservati dal gigante della tecnologia "sarebbero stati probabilmente prevenuti da un rafforzamento più robusto dei sistemi, come l'implementazione corretta delle politiche di sicurezza e dei sistemi di patch". Durante il campionamento degli ambienti cloud scansionati, in ogni caso di un test di penetrazione eseguito da X-Force Red, il team ha riscontrato anche problemi con credenziali o policy. "Questi due elementi si sono ridotti ai vettori di infezione iniziali più frequentemente osservati per le organizzazioni: asset configurati in modo errato, password spraying e pivot...

WhatsApp venerdì ha annunciato che lancerà il supporto per i backup delle chat crittografate end-to-end sul cloud per gli utenti Android e iOS, aprendo la strada alla memorizzazione di informazioni come messaggi di chat e foto in Apple iCloud o Google Drive in modo crittograficamente sicuro. La funzione, che sarà disponibile per tutti i suoi due miliardi di utenti nelle prossime settimane, dovrebbe funzionare solo sui dispositivi primari legati ai loro account e non sui dispositivi complementari come desktop o laptop che rispecchiano semplicemente il contenuto di WhatsApp su i telefoni. "Con l'introduzione dei backup crittografati end-to-end, WhatsApp ha creato un Backup Key Vault basato su HSM (Hardware Security Module) per archiviare in modo sicuro le chiavi di crittografia per utente per i backup degli utenti in uno spazio di archiviazione a prova di manomissione, garantendo così una maggiore sicurezza degli utenti. "Cronologia dei messaggi", ha affermato la soci...

Il team dell'Unità 42 Threat Intelligence ha identificato la prima vulnerabilità nota che potrebbe consentire a un utente di un servizio di cloud pubblico di uscire dal proprio ambiente ed eseguire codice su ambienti appartenenti ad altri utenti nello stesso servizio di cloud pubblico. Questa acquisizione senza precedenti tra account ha interessato la piattaforma Azure Container-as-a-Service (CaaS) di Microsoft. I ricercatori hanno chiamato la scoperta Azurescape perché l'attacco è iniziato da un container escape, una tecnica che consente l'escalation dei privilegi dagli ambienti container. Microsoft ha agito rapidamente per risolvere i problemi non appena Unità 42 li ha segnalati al Microsoft Security Response Center (MSRC). Non si è a conoscenza di attacchi di Azurescape in circolazione, ma è possibile che un utente malintenzionato della piattaforma Azure Container Instances (ACI) abbia sfruttato la vulnerabilità per eseguire codice sui container di altri clienti, senza ...

Giovedì Apple ha dichiarato che sta introducendo nuove funzionalità di sicurezza dei bambini in iOS, iPadOS, watchOS e macOS come parte dei suoi sforzi per limitare la diffusione di materiale sugli abusi sessuali su minori (CSAM) negli Stati Uniti A tal fine, il produttore di iPhone ha affermato che intende avviare la scansione lato client delle immagini condivise tramite ogni dispositivo Apple per contenuti noti di abusi sui minori mentre vengono caricati in iCloud Photos, oltre a sfruttare l'apprendimento automatico sul dispositivo per controllare tutti iMessage immagini inviate o ricevute da account minori (di età inferiore ai 13 anni) per avvisare i genitori di foto sessualmente esplicite condivise sulla piattaforma di messaggistica. Inoltre, Apple prevede anche di aggiornare Siri e Search per organizzare un intervento quando gli utenti tentano di eseguire ricerche per argomenti relativi a CSAM, avvertendo che "l'interesse per questo argomento è dannoso e problematico...