redmount.xyz

Mentre il caldo di Ferragosto ci avvolge, Microsoft ci ricorda che il supporto per Windows 10 terminerà il 14 ottobre 2025: sarà l’ultimo aggiornamento mensile di sicurezza disponibile per tutte le edizioni — Home, Pro, Enterprise, Education e IoT Enterprise — di Windows 10 versione 22H2. Non è la grande estate di Microsoft: da quella data, non verranno più fornite patch di sicurezza, correzioni o assistenza tecnica per Windows 10. Un cambio epocale per chi è abituato a considerare questa versione come affidabile e immortale. Ma non tutto è perduto! Chi non è pronto a passare subito a Windows 11 può comunque proteggere i propri sistemi. L’opzione Extended Security Updates (ESU) consente di ottenere aggiornamenti aggiuntivi fino al 13 ottobre 2026 per i consumatori (e fino al 10 ottobre 2028 per scuole e imprese). L’adesione costa 30 $ per utente domestico o 61 $ per azienda, ma è completamente gratuita per chi sincronizza il backup su cloud o accumula 1 000 punti Microsoft Rewards . In...

A Black Hat USA 2025 è stata mostrata una lezione dura ma utile per chiunque gestisca identità e mail aziendali: un ricercatore ha dimostrato come, in certi ambienti ibridi che sincronizzano Active Directory locale con Microsoft Entra ID (ex Azure AD), un account cloud apparentemente a bassa priorità possa essere trasformato in un account “ibrido” con privilegi amministrativi, senza passare dalle normali barriere di autenticazione e senza far scattare gli allarmi tradizionali. La dimostrazione — presentata da Dirk-jan Mollema di Outsider Security — ha messo in luce vettori di abuso legati al server di sincronizzazione (Entra Connect), alle modalità di corrispondenza degli account tra on-prem e cloud (soft matching) e a token/claim usati nei meccanismi di delega e in Exchange ibrido. Per chi non mastica quotidianamente questi termini: molte aziende hanno ancora un Active Directory “dentro l’azienda” per utenti e servizi, e allo stesso tempo usano servizi cloud come Microsoft 365. Per fa...

Il 10 agosto 2025 è stata resa pubblica la vulnerabilità CVE-2025-8088 di WinRAR, una falla di tipo directory traversal già sfruttata in attacchi mirati da RomCom, gruppo hacker legato alla Russia e noto per operazioni di cyber-spionaggio ed estorsione. Il problema risiede nella gestione dei percorsi all’interno di archivi compressi: un file RAR malevolo può includere riferimenti a directory specifiche del sistema, forzando WinRAR a estrarre file in percorsi diversi da quelli scelti dall’utente. In particolare, è possibile copiare eseguibili nelle cartelle di avvio automatico di Windows, come %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp. Alla successiva accensione del PC, il malware viene avviato in automatico, ottenendo così persistenza sul sistema e potenzialmente consentendo il controllo remoto. Gli attacchi osservati sono stati condotti tramite campagne di spear-phishing: le vittime ricevevano email contenenti...

Negli ultimi anni, l'evoluzione delle minacce ransomware ha seguito una traiettoria prevedibile quanto allarmante: da attacchi opportunistici a colpi chirurgici, mirati, capaci di bloccare intere infrastrutture critiche in pochi minuti. A questa corsa all’armamento offensivo non è seguita un’adeguata accelerazione sul fronte della difesa in tempo reale, perché identificare un attacco ransomware nel momento esatto in cui si innesca, e fermarlo prima che abbia criptato anche solo un decimo dei dati, è ancora un’impresa per pochi. Il lavoro presentato nel paper "ranDecepter: Real-time Identification and Deterrence of Ransomware Attacks", pubblicato il 1° agosto 2025 su arXiv, propone un approccio tecnico concreto e, soprattutto, scalabile, per affrontare questo problema alla radice: riconoscere l’attacco mentre è in atto e rispondere con una deterrenza immediata, attiva, ma non distruttiva. La logica di ranDecepter si distanzia dai soliti sistemi di detection ex post, che no...

In uno dei canali Discord che frequento, qualcuno ha condiviso un link a un progetto chiamato PowerShell for Hackers ( https://powershellforhackers.com/ ).  Il contenuto si è rivelato degno di approfondimento: si tratta infatti di una raccolta ben strutturata di script PowerShell a scopo offensivo, pensata per dimostrare — in modo concreto — come il linguaggio possa essere utilizzato per attività di attacco, sia in ambito legittimo (pentesting, red teaming) sia in scenari malevoli. PowerShell è da tempo uno degli strumenti preferiti per eseguire operazioni in modalità fileless, sfruttando la sua presenza nativa nei sistemi Windows, l’integrazione profonda con il sistema operativo e la possibilità di aggirare in parte le misure di rilevamento tradizionali. Il repository GitHub dietro PowerShell for Hackers, curato da I-Am-Jakoby, raccoglie numerosi script che permettono operazioni come: Bypass dei controlli UAC, mediante binari di sistema abusabili (fodhelper.exe, eventvwr.exe,...

Una settimana fa avevo parlato della falla critica che ha colpito SharePoint e dell'escalation preoccupante degli attacchi rilevati nella seconda settimana di luglio. A distanza di pochi giorni, il panorama delle minacce ha continuato ad evolversi, mostrando quanto sia urgente un cambio di passo nella gestione delle patch e nella sicurezza delle infrastrutture esposte. In questo approfondimento raccolgo i principali zero-day di fine luglio 2025, con tutti i dettagli tecnici, lo stato delle patch, e le implicazioni per chi gestisce ambienti vulnerabili. Il caso SharePoint merita una ripresa aggiornata. Parliamo delle vulnerabilità CVE-2025-53770 e CVE-2025-53771, classificate con un punteggio CVSS pari a 9.8. Gli attaccanti sfruttano un caricamento di script ASPX (tipicamente denominato "spinstall0.aspx") per esfiltrare le chiavi ASP.NET MachineKey dai server SharePoint non patchati. Ciò consente di generare token di autenticazione validi e mantenere accessi persistenti a...

C’è un progetto su GitHub, che sta girando parecchio in questi giorni nella scena, si chiama WhoLeaked e a realizzarlo è stato utkusen, già noto per tool creativi e funzionali come EvilProxy o Gokeyless. Stavolta però si è spinto su un territorio più affascinante e, direi, quasi filosofico: come faccio a sapere chi ha fatto trapelare un file riservato? O peggio: come inchiodo chi ha venduto, inoltrato o scaricato qualcosa che non doveva uscire? La risposta è proprio nel nome dello strumento: “chi ha fatto la soffiata”. WhoLeaked è un file-sharing tool, quindi ti permette di distribuire un file a più persone (che siano colleghi, clienti, tester, redazioni o magari anche amanti digitali, chi lo sa), ma al tempo stesso ti protegge, perché ogni versione distribuita è leggermente diversa — invisibilmente diversa, per l’occhio umano e anche per la maggior parte degli antivirus o degli strumenti di confronto superficiali — e ogni differenza è un’impronta digitale unica che ti dice con chiarez...

Dieci anni fa nasceva il Kernel Self-Protection Project, conosciuto come KSPP, con l'obiettivo di cambiare il paradigma della sicurezza in Linux: non più semplicemente correggere vulnerabilità una per una, ma impedire in modo strutturale che intere classi di bug potessero esistere o essere sfruttate. Kees Cook, figura centrale del progetto e sviluppatore in Google, ha recentemente ripercorso dieci anni di progressi nel talk "Kernel Hardening: Ten Years Deep". Il punto di partenza era critico: in media una vulnerabilità nel kernel restava scoperta e sfruttabile per oltre cinque anni. Android e tanti altri sistemi basati su Linux venivano rilasciati con versioni vecchie del kernel, quindi prive delle ultime patch di sicurezza. Il KSPP ha introdotto un nuovo approccio: trasformare il kernel stesso in un ambiente ostile agli exploit. I risultati sono impressionanti. Grazie al lavoro del KSPP, alcune famiglie di bug sono scomparse. Array a lunghezza variabile (VLA), variabili ...

Ho appena finito di guardare un intervento di Richard Stallman in cui parla di OpenAI e dell’intelligenza artificiale. Il titolo è già tutto un programma: “L’AI di OpenAI non è AI”. E come spesso succede quando ascolto Stallman, ho avuto un mix di emozione e lucidità. Perché da una parte sono totalmente d’accordo con quello che dice — e non solo su questo — dall’altra riconosco quanto sia difficile seguirlo fino in fondo, specialmente nel mondo pratico e imperfetto in cui ci muoviamo ogni giorno. Il cuore del suo discorso è semplice, ma denso: quello che oggi chiamiamo “AI” non è affatto intelligenza. Stallman spiega che il termine stesso è fuorviante, perché attribuisce una forma di coscienza o ragionamento a dei sistemi che invece non capiscono nulla. Non fanno altro che generare parole basandosi sulla probabilità che una parola segua l’altra. Non c’è comprensione, né intenzione, né conoscenza del significato. Dice, testualmente: “These systems don’t understand anything. They just im...

Nel mondo della sicurezza informatica siamo abituati a cercare le minacce nei luoghi più ovvi: allegati email, file eseguibili, script obfuscati nei siti web. Ma pochi si fermano a pensare che anche una semplice favicon – quella piccola icona che appare accanto al titolo di una scheda nel browser – possa diventare un cavallo di Troia perfettamente funzionante. Ed è proprio questo il cuore della ricerca pubblicata su arXiv da David Noever e Forrest McKee nel luglio 2025: dimostra come sia possibile sfruttare il canale alfa di un file .ico per nascondere codice JavaScript eseguibile, creando un vettore d’attacco invisibile all’occhio umano. La tecnica si basa su un uso creativo (e malevolo) della steganografia: invece di nascondere messaggi cifrati all’interno dei pixel visibili, i ricercatori nascondono il payload sfruttando il canale della trasparenza dell’immagine, ovvero quei valori alfa che regolano l’opacità di ogni pixel. Agendo sui bit meno significativi (LSB) di questi valori, r...

Nei giorni scorsi è stato pubblicato un interessante studio da GitGuardian e Synacktiv, ripreso anche da The Hacker News, riguardo a una situazione che può sembrare banale ma che ha implicazioni di sicurezza piuttosto serie: centinaia di applicazioni scritte in Laravel sono risultate esposte a potenziali attacchi da remoto a causa della pubblicazione accidentale della variabile di ambiente APP_KEY su repository GitHub. In un’epoca in cui la cultura DevOps ha abbattuto molte barriere tra sviluppo e produzione, dove tutto è codice, anche i segreti spesso viaggiano troppo vicino al codice stesso e, a volte, finiscono involontariamente nel posto sbagliato. Quello che mi ha colpito non è tanto il numero assoluto – si parla di 600 app esposte e più di 260.000 chiavi individuate nel tempo – quanto il fatto che ci si trova di fronte a un problema silenzioso, spesso sottovalutato, ma strutturalmente legato a cattive abitudini nella gestione delle variabili sensibili. Laravel, come molti framewo...

Microsoft ha rilasciato il suo consueto aggiornamento mensile di sicurezza, e quello di luglio 2025 è particolarmente ricco: 130 vulnerabilità corrette, di cui 9 classificate come “critical” e una 0-day già attivamente sfruttata. Ogni secondo martedì del mese – il celebre Patch Tuesday – arriva puntuale il bollettino di Redmond, ma stavolta non è uno di quei mesi “di routine”. La falla sotto i riflettori è CVE-2024-38080, un privilege escalation su Windows Hyper-V che permette a un utente con privilegi bassi di ottenere i permessi SYSTEM. Secondo Microsoft, è già in fase di exploit in attacchi reali. Non è stata diffusa una proof-of-concept pubblica (per ora), ma basta questo dettaglio a renderla prioritaria per chiunque gestisca sistemi Windows in produzione. Oltre alla 0-day, ci sono anche due vulnerabilità in ambiente Exchange (CVE-2024-38023 e CVE-2024-38070) che attirano l’attenzione: sono remote code execution e potenzialmente catastrofiche in ambienti aziendali dove Exchange on-...

Sono diventato membro donatore della Free Software Foundation quando avevo quindici anni. In quelle pagine e in quei principi c’era qualcosa che andava oltre il codice: c’era la libertà, quella vera, quella di scegliere, quella di capire cosa c’era dentro il software che usavi, quella di modificarlo, condividerlo, metterlo al servizio degli altri. Una visione nobile, idealista, certo. Eppure reale, concreta, fatta di server, shell, mailing list, bug da inseguire, discussioni infinite sul concetto di libertà 0. Negli anni, ammetto di essermi allontanato. Ho iniziato a usare anche sistemi non liberi, per esigenze pratiche, lavorative, per quel compromesso che spesso chi lavora nell’IT finisce per fare. Ma la FSF è rimasta lì, in piedi, come un presidio di resistenza. E oggi, quando ho ricevuto questa loro comunicazione, mi sono fermato. Perché quello che stanno subendo è semplicemente folle, e merita attenzione. Due soli amministratori di sistema a tempo pieno, supportati da un piccolo m...

Non so se fosse già successo dietro le quinte, ma questa volta è stato pubblico: Bill Gates e Linus Torvalds seduti allo stesso tavolo, a cena, accanto a due figure centrali della storia tecnica di Microsoft, David Cutler e Mark Russinovich. Una foto che in altri tempi sarebbe stata impensabile. Per chi è cresciuto negli anni in cui le contrapposizioni tra software libero e software proprietario erano nette e spesso ideologiche, questa immagine colpisce. Non perché oggi ci sia davvero da stupirsi – il mondo è cambiato, i modelli si sono contaminati – ma perché rappresenta qualcosa che, simbolicamente, chiude un’epoca. Negli anni della giovinezza informatica, quando si scopre il terminale come si scopre un mondo, ho vissuto con convinzione le posizioni della Free Software Foundation, leggendo Stallman e partecipando, anche solo mentalmente, a quella visione etica della tecnologia. C’era qualcosa di potente, allora, in quell’idea di libertà assoluta, di codice aperto, di comunità. E in p...

Ho letto il report di ESET che documenta una nuova campagna di attacchi mirati alle piattaforme di webmail, basati su vulnerabilità Cross-Site Scripting (XSS). La portata è significativa: centinaia di sistemi compromessi, utenze aziendali colpite, e attori molto ben organizzati dietro le quinte. A colpire è la semplicità dell’attacco e la sua efficacia, soprattutto quando la superficie esposta è proprio l’interfaccia web della posta elettronica. Nel caso specifico, l’attacco sfrutta vulnerabilità XSS persistenti o riflessive per iniettare codice JavaScript direttamente all’interno della sessione utente. L’obiettivo è ottenere accesso alle email, sottrarre credenziali, intercettare sessioni attive o propagarsi all’interno di ambienti aziendali sfruttando la condivisione della piattaforma. Questa ennesima campagna riporta al centro una questione spesso trascurata: è più sicuro usare un client email installato rispetto a una webmail? Da un punto di vista tecnico, la risposta è sì, per una...

Ho letto con grande interesse la notizia secondo cui la Danimarca sta valutando seriamente l’idea di sostituire il software Microsoft nei suoi uffici pubblici con soluzioni open source come Linux e LibreOffice. E trovo che sia una decisione non solo coraggiosa, ma anche profondamente sensata dal punto di vista della sicurezza informatica. Quando si parla di software governativo, si parla di infrastrutture critiche, di gestione dei dati dei cittadini, di processi decisionali delicatissimi. Eppure, per anni, molti governi hanno affidato tutto questo a software chiuso, spesso straniero, senza sapere davvero cosa ci sia sotto il cofano. Il codice sorgente, in questi casi, è una scatola nera. Nessuno può ispezionarlo, verificarne la qualità, controllare la presenza di vulnerabilità o — peggio — di comportamenti nascosti. L’open source non è la soluzione magica a tutti i problemi, ma almeno offre un principio fondamentale: la trasparenza. Se posso leggere il codice, posso capire cosa fa il s...

Il Patch Tuesday di giugno 2025 ha visto Microsoft correggere 67 vulnerabilità, di cui 11 classificate come “Critiche” e 2 zero-day già attivamente sfruttate. L’attenzione principale va rivolta a CVE-2025-33053 e CVE-2025-31152, entrambe con impatti significativi su client desktop e ambienti enterprise. CVE-2025-33053 è una falla di esecuzione di codice remoto (RCE) nel protocollo WebDAV di Windows, con CVSS 8.8. Questa vulnerabilità viene attivamente sfruttata in campagne mirate da gruppi APT, incluso Stealth Falcon, secondo quanto riportato da Microsoft e analisti di threat intelligence. L’exploit si attiva quando l’utente interagisce con un link WebDAV appositamente predisposto, spesso veicolato tramite phishing o documenti malevoli. Una volta eseguito, l’attaccante può ottenere esecuzione di codice arbitrario con i privilegi dell’utente corrente, bypassando i meccanismi UAC su molte configurazioni standard. Un’altra vulnerabilità critica, CVE-2025-31152, riguarda il client SMB di W...

Per lavoro mi occupo principalmente di ambienti basati su Windows Server, nella mia sfera personale, però, coltivo da sempre la curiosità per i sistemi operativi in generale: ho più computer, tra cui un MacBook Pro con chip Apple M1, e mi piace sperimentare sia con macOS che con Linux e Windows. Non ho un sistema “preferito” in assoluto, perché ognuno ha i suoi punti di forza e i suoi contesti ideali. Per l’uso server Linux è spesso imbattibile, mentre per l’esperienza desktop trovo validi sia macOS che Windows, ognuno a modo suo. Cerco solo di restare aperto e continuare a imparare. Proprio per questo mi ha colpito l’ultima campagna malevola scoperta da CloudSEK e riportata da The Hacker News: un nuovo attacco che sfrutta il famigerato Atomic macOS Stealer (AMOS). Chi pensa che macOS sia “invulnerabile” farebbe bene a leggere due volte. Il vettore d’attacco è geniale nella sua semplicità: un finto CAPTCHA, su siti che emulano portali reali (in questo caso un clone di Spectrum), induce...

In ambito cybersec si parla spesso di malware, phishing e violazioni clamorose, ma ci sono rischi ben più silenziosi, legati a servizi che usiamo ogni giorno con troppa leggerezza. Uno di questi è Otter.ai, noto tool di trascrizione automatica che, se connesso al proprio account Google, può comportarsi in modo decisamente invasivo. Molti utenti, semplicemente registrandosi con l’account Google e senza modificare le impostazioni predefinite, si ritrovano con Otter.ai che si inserisce automaticamente in tutte le riunioni con link presenti nel calendario (Google Meet, Zoom, Teams). Il software entra in silenzio, registra l’audio, trascrive e – dettaglio ancora più critico – può condividere il contenuto con tutti i partecipanti alla call. Nessun popup, nessuna richiesta di conferma: tutto avviene in background, perché da policy Otter si considera "autorizzato" a intervenire su ogni evento del calendario una volta concessi i permessi iniziali. Il rischio? Partecipare (o peggio, fa...

Kevin Mitnick lo diceva da anni: “ L’anello debole della sicurezza informatica non è la tecnologia, sono le persone. ” E aveva ragione. In questi giorni ho letto della campagna messa in atto dal gruppo UNC6040, che ha utilizzato una versione malevola del Salesforce Data Loader per colpire aziende in Europa e America. Nessuna falla tecnica, nessuna vulnerabilità zero-day: solo ingegneria sociale ben fatta. Hanno convinto i dipendenti a installare il tool “truccato” fingendosi operatori IT, sfruttando la fiducia e la distrazione di chi si trova a lavorare sotto pressione. Funziona? Sì. Funziona ancora nel 2025, nonostante firewall, MFA e mille strumenti di sicurezza. Perché alla fine, basta una telefonata fatta bene. Non si sa ancora se tra le vittime ci siano aziende italiane, ma il punto non è chi è stato colpito oggi, bensì chi è vulnerabile domani. E la verità è che molte aziende italiane, soprattutto PMI, usano strumenti come Salesforce senza avere reali politiche di sicurezza o for...