redmount.xyz

Mentre il caldo di Ferragosto ci avvolge, Microsoft ci ricorda che il supporto per Windows 10 terminerà il 14 ottobre 2025: sarà l’ultimo aggiornamento mensile di sicurezza disponibile per tutte le edizioni — Home, Pro, Enterprise, Education e IoT Enterprise — di Windows 10 versione 22H2. Non è la grande estate di Microsoft: da quella data, non verranno più fornite patch di sicurezza, correzioni o assistenza tecnica per Windows 10. Un cambio epocale per chi è abituato a considerare questa versione come affidabile e immortale. Ma non tutto è perduto! Chi non è pronto a passare subito a Windows 11 può comunque proteggere i propri sistemi. L’opzione Extended Security Updates (ESU) consente di ottenere aggiornamenti aggiuntivi fino al 13 ottobre 2026 per i consumatori (e fino al 10 ottobre 2028 per scuole e imprese). L’adesione costa 30 $ per utente domestico o 61 $ per azienda, ma è completamente gratuita per chi sincronizza il backup su cloud o accumula 1 000 punti Microsoft Rewards . In...

Immagina di chiedere a ChatGPT di scriverti una lettera d’amore o di aiutarti con un documento delicato di lavoro. Tutto fila liscio, le parole scorrono veloci, le risposte arrivano senza attese. Questo è possibile grazie a un trucco chiamato KV-cache, una sorta di memoria a breve termine che conserva informazioni sui token già elaborati, così il modello non deve rifare tutti i calcoli ogni volta che genera una nuova parola. È come se il modello tenesse aperto un taccuino con gli appunti della conversazione per consultarlo al volo. Ma come tutti i taccuini lasciati aperti, qualcuno potrebbe sbirciarci dentro. È proprio qui che entra in scena il lavoro dei ricercatori Zhifan Luo, Shuo Shao, Su Zhang, Lijing Zhou, Yuke Hu, Chenxu Zhao, Zhihao Liu e Zhan Qin, che hanno analizzato i rischi nascosti in questa cache temporanea. Hanno scoperto che, se non protetta, la KV-cache può diventare una fonte di dati sensibili: non solo frammenti di testo che avete inserito, ma anche informazioni deri...

A Black Hat USA 2025 è stata mostrata una lezione dura ma utile per chiunque gestisca identità e mail aziendali: un ricercatore ha dimostrato come, in certi ambienti ibridi che sincronizzano Active Directory locale con Microsoft Entra ID (ex Azure AD), un account cloud apparentemente a bassa priorità possa essere trasformato in un account “ibrido” con privilegi amministrativi, senza passare dalle normali barriere di autenticazione e senza far scattare gli allarmi tradizionali. La dimostrazione — presentata da Dirk-jan Mollema di Outsider Security — ha messo in luce vettori di abuso legati al server di sincronizzazione (Entra Connect), alle modalità di corrispondenza degli account tra on-prem e cloud (soft matching) e a token/claim usati nei meccanismi di delega e in Exchange ibrido. Per chi non mastica quotidianamente questi termini: molte aziende hanno ancora un Active Directory “dentro l’azienda” per utenti e servizi, e allo stesso tempo usano servizi cloud come Microsoft 365. Per fa...

Il 10 agosto 2025 è stata resa pubblica la vulnerabilità CVE-2025-8088 di WinRAR, una falla di tipo directory traversal già sfruttata in attacchi mirati da RomCom, gruppo hacker legato alla Russia e noto per operazioni di cyber-spionaggio ed estorsione. Il problema risiede nella gestione dei percorsi all’interno di archivi compressi: un file RAR malevolo può includere riferimenti a directory specifiche del sistema, forzando WinRAR a estrarre file in percorsi diversi da quelli scelti dall’utente. In particolare, è possibile copiare eseguibili nelle cartelle di avvio automatico di Windows, come %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp. Alla successiva accensione del PC, il malware viene avviato in automatico, ottenendo così persistenza sul sistema e potenzialmente consentendo il controllo remoto. Gli attacchi osservati sono stati condotti tramite campagne di spear-phishing: le vittime ricevevano email contenenti...

All’inizio degli anni 2000, prima che l’IPv6 fosse una realtà comune, per connettersi alla nuova rete servivano i tunnel broker: nodi messi in piedi da appassionati o provider che permettevano di avere un indirizzo IPv6 incapsulato dentro IPv4. In Italia c’erano nomi che oggi sembrano quasi leggendari: NGnet, Zibibbo, e poi, su scala più internazionale, SixXS, che per anni ha fornito tunnel di altissima qualità fino a dichiarare “mission accomplished” e chiudere nel 2017. Erano anni in cui IPv6 era roba da smanettoni, e la comunità IRCNet italiana era uno dei posti dove questo “potere” trovava applicazioni creative. Personalmente lo usavo per camuffare il mio IPv4: mentre con un indirizzo 95.x.x.x il server IRC mostrava il reverse DNS dell’ISP, con IPv6 potevo scegliere il mio indirizzo nel blocco assegnato, evitando di esporre il mio IP reale e cambiandolo a piacere. In quel periodo circolavano anche strumenti curiosi, come ipv6fuck.c dell’autore “schizoid”, un codice C che serviva pe...

Nel cuore della conferenza DEF CON 2025 di Las Vegas nasce un’iniziativa che unisce etica hacker, urgenza nazionale e difesa delle infrastrutture critiche. Un gruppo di volontari composto da professionisti della cybersecurity, esperti di sistemi OT, ricercatori universitari, attivisti digitali e membri della community si sta organizzando per offrire supporto diretto e gratuito alle piccole utenze idriche statunitensi. Si tratta di realtà spesso trascurate dai finanziamenti pubblici, prive di risorse per proteggere i propri impianti da attacchi informatici sempre più frequenti. Il progetto, battezzato DEF CON Franklin, nasce come risposta concreta alla recente escalation di offensive cyber contro municipi e impianti rurali. Molti degli attacchi sono stati attribuiti a gruppi APT come i CyberAv3ngers, già noti per sabotaggi contro infrastrutture idriche in Israele e negli Stati Uniti. L’iniziativa prevede un’azione sinergica tra la comunità hacker e organizzazioni come la National Rural ...

Da tempo ormai i gruppi ransomware evolvono le loro tattiche oltre al semplice cifraggio dei file, ma l’attacco del cosiddetto Akira ransomware rappresenta un salto di qualità in termini di elusione della difesa: il malware, infatti, abusa di un driver legittimo di Intel, quello usato da ThrottleStop (rwdrv.sys), per elevarsi a livello kernel e poi installare un secondo driver malevolo (hlpdrv.sys), che modifica la chiave di registro DisableAntiSpyware di Windows Defender tramite regedit.exe, disattivando ogni protezione senza alcun avviso. Ma cosa fa concretamente oltre a spegnere Defender? Questa azione è solo l’inizio di un attacco orchestrato: in diversi incidenti legati ad Akira, rilevati da GuidePoint Security a partire dal 15 luglio 2025, si evidenzia un vero e proprio percorso criminale. Innanzitutto, gli attaccanti ottengono l’accesso sfruttando potenzialmente vulnerabilità zero‑day in dispositivi SonicWall SSL‑VPN o metodologie di credential stuffing, brute force o phishing m...

Nel corso del conflitto informatico in corso tra Ucraina e attori antagonisti statali, il gruppo noto come UAC‑0099 è tornato alla ribalta con una campagna di cyber‑spionaggio aggiornata e ampliata che vede le sue vittime principali costituite da enti governativi ucraini, organizzazioni di difesa, media ed aziende collegate al complesso industriale della difesa, con attacchi mirati realizzati mediante email di phishing sofisticate che sorprendono l’utente attraverso l’uso di lenti accorgimenti come link abbreviati o archivi doppi (double‑zip) contenenti file HTA o shortcut LNK con estensioni camuffate per ingannare l’esecuzione. Secondo CERT‑UA, l’allerta rilasciata il 6 agosto 2025 descrive un’operazione in cui le email inviate da indirizzi tipo ukr.net reclamano una "convocazione in tribunale" e contengono un link abbreviato (tipicamente tramite Cuttly) che punta a un archivio estratto due volte contenente un file HTA; l’user apre il file HTA, che contiene un VBScript offus...

Negli ultimi anni, l'evoluzione delle minacce ransomware ha seguito una traiettoria prevedibile quanto allarmante: da attacchi opportunistici a colpi chirurgici, mirati, capaci di bloccare intere infrastrutture critiche in pochi minuti. A questa corsa all’armamento offensivo non è seguita un’adeguata accelerazione sul fronte della difesa in tempo reale, perché identificare un attacco ransomware nel momento esatto in cui si innesca, e fermarlo prima che abbia criptato anche solo un decimo dei dati, è ancora un’impresa per pochi. Il lavoro presentato nel paper "ranDecepter: Real-time Identification and Deterrence of Ransomware Attacks", pubblicato il 1° agosto 2025 su arXiv, propone un approccio tecnico concreto e, soprattutto, scalabile, per affrontare questo problema alla radice: riconoscere l’attacco mentre è in atto e rispondere con una deterrenza immediata, attiva, ma non distruttiva. La logica di ranDecepter si distanzia dai soliti sistemi di detection ex post, che no...

Negli ultimi anni si è diffusa la voce secondo cui sarebbe possibile subire un furto semplicemente passando accanto a un malintenzionato dotato di POS portatile contactless. Il principio sembra semplice: un terminale NFC viene avvicinato alla tasca o alla borsa della vittima e, grazie alla tecnologia contactless, sottrae una somma di denaro senza bisogno di autorizzazioni visibili. Ma la realtà tecnica di questo scenario è più complessa, e merita un'analisi approfondita. Il protocollo EMV utilizzato dalle carte contactless integra meccanismi di sicurezza robusti basati su crittografia a chiave pubblica. Ogni transazione genera un cryptogram unico, firmato digitalmente, che rende l'operazione non riutilizzabile e impedisce efficacemente attacchi di replay. In modalità legittima, una transazione contactless prevede l’inserimento di un importo sul terminale, l’attivazione per un breve intervallo (tipicamente inferiore ai 30 secondi), e la comunicazione tra carta e POS a pochi cent...

La crittografia post-quantistica è uno degli argomenti più cruciali per il futuro della sicurezza informatica, perché la comparsa dei computer quantistici potrebbe mettere in crisi tutti i sistemi crittografici attualmente utilizzati, dai protocolli di comunicazione sicura ai sistemi di firma digitale. Tra i tanti schemi proposti negli ultimi anni per proteggere i dati anche dall’attacco di macchine quantistiche, uno dei più studiati è stato il sistema BIKE, acronimo di Binary Key Encapsulation. BIKE è stato uno dei candidati selezionati per la quarta fase del prestigioso concorso lanciato dal NIST, l’ente americano che si occupa di definire standard di sicurezza, ma alla fine non è stato scelto come standard definitivo. Tuttavia, la sua struttura interna e le sue potenziali vulnerabilità rimangono un tema di studio fondamentale per capire meglio come funzionano i sistemi post-quantistici e quali rischi possono nascondere. In un lavoro recente pubblicato su arXiv, Michael Schaller prop...

Una settimana fa avevo parlato della falla critica che ha colpito SharePoint e dell'escalation preoccupante degli attacchi rilevati nella seconda settimana di luglio. A distanza di pochi giorni, il panorama delle minacce ha continuato ad evolversi, mostrando quanto sia urgente un cambio di passo nella gestione delle patch e nella sicurezza delle infrastrutture esposte. In questo approfondimento raccolgo i principali zero-day di fine luglio 2025, con tutti i dettagli tecnici, lo stato delle patch, e le implicazioni per chi gestisce ambienti vulnerabili. Il caso SharePoint merita una ripresa aggiornata. Parliamo delle vulnerabilità CVE-2025-53770 e CVE-2025-53771, classificate con un punteggio CVSS pari a 9.8. Gli attaccanti sfruttano un caricamento di script ASPX (tipicamente denominato "spinstall0.aspx") per esfiltrare le chiavi ASP.NET MachineKey dai server SharePoint non patchati. Ciò consente di generare token di autenticazione validi e mantenere accessi persistenti a...

Nel corso del 2025, gli SVG stanno rapidamente diventando uno dei formati più sfruttati per veicolare attacchi di phishing e malware in modo furtivo e sempre più sofisticato. Tradizionalmente percepiti come semplici immagini vettoriali, gli SVG — in quanto basati su XML — possono contenere script, redirect, codice JavaScript e collegamenti dinamici, sfruttando le stesse capacità che li rendono potenti strumenti di grafica. È proprio questa flessibilità a renderli oggi una vera e propria tela per l’attaccante. I gruppi criminali informatici hanno iniziato a includere allegati .svg nei messaggi email al fine di eludere i controlli antispam tradizionali. Il contenuto di questi file viene spesso offuscato usando encoding Base64 o rappresentazioni esadecimali, combinati con tecniche di evasione DOM come MutationObserver, setTimeout, eval e document.write. Alcuni SVG si presentano all’apparenza come semplici loghi o icone, ma una volta aperti nel browser — anche con un clic accidentale da we...

Quando parliamo di attacchi informatici a infrastrutture critiche, spesso li immaginiamo in un futuro distopico o nei racconti sensazionalistici dei telegiornali. Ma quello che è successo ad Aeroflot il 28 luglio 2025 non è fiction, è cronaca. Ed è un caso che va letto riga per riga, perché fotografa alla perfezione la vulnerabilità di un’intera nazione – e non solo – quando tecnologia, arroganza e guerra si intrecciano. Due gruppi, Silent Crow e Cyber Partisans BY, hanno rivendicato l’azione. Non due nomi usciti dal nulla, ma due entità note per operazioni ben pianificate in ambito cyber contro obiettivi russi, spesso legati alla macchina statale o militare. La ricostruzione che propongono è dettagliata, quasi chirurgica. Parlano di accesso ottenuto oltre un anno fa, mantenuto silenziosamente per mesi. Nessun ransomware, nessuna estorsione: solo penetrazione silenziosa, osservazione, raccolta, e poi distruzione sistematica. Hanno avuto tempo. Tempo per capire come era strutturata la r...

Immagina di avere un assistente virtuale super intelligente, capace di rispondere a qualsiasi domanda, scrivere testi, analizzare dati e addirittura aiutarti con il codice. Ora immagina che qualcuno riesca a fargli fare cose che non dovrebbe, semplicemente... parlando con lui. Questo è il rischio degli attacchi chiamati prompt injection. I modelli linguistici come ChatGPT, Gemini o Claude funzionano “a comando”: gli scrivi una richiesta (chiamata prompt) e loro rispondono. Ma se l’attaccante nasconde un’istruzione maliziosa dentro un messaggio apparentemente innocuo, il modello potrebbe eseguire quel comando, senza rendersene conto. È come se una parola magica nascosta dentro un’email riuscisse a ipnotizzare l’assistente. Questa tecnica, che può sembrare fantascienza, è reale e già sfruttata. Si può usare per rubare dati, aggirare filtri, diffondere disinformazione o sabotare un’app che si affida a un modello linguistico. È un rischio concreto per tutti i sistemi che usano l’intelligen...

Negli ultimi anni, la cybersecurity ha vissuto un’accelerazione impressionante non solo sul fronte difensivo, ma soprattutto su quello offensivo. Un’area in particolare continua a sollevare interrogativi, fascino e inquietudine allo stesso tempo: il mercato degli exploit zero-day. Non parlo solo della caccia ai bug nei bug bounty o nei CVE pubblici, ma di quell’ecosistema parallelo, chiuso e silenzioso, dove le vulnerabilità più preziose vengono vendute a peso d’oro prima ancora che vengano rese note. Un mercato dove la trasparenza non è prevista e i clienti non si annunciano. In questo spazio vivono aziende come Crowdfense, Zerodium, NSO Group, Cytrox e altri operatori meno noti ma altrettanto incisivi. Crowdfense, per chi mastica già questo ambiente, è uno dei nomi più rispettati. Ha sede a Dubai, ma è tutto fuorché un semplice broker. È una piattaforma che compra vulnerabilità zero-day su sistemi complessi – parliamo di exploit per iOS, Android, Windows, macOS, router, firmware, br...

L'attacco che ha colpito Microsoft SharePoint nel luglio 2025 rappresenta uno degli episodi più rilevanti dell'anno nel panorama della sicurezza informatica. Come spesso accade, tutto è iniziato nel silenzio: nei primi giorni del mese, alcuni server SharePoint on-premises hanno cominciato a manifestare comportamenti anomali. Solo più tardi si è compreso che si trattava dell'inizio di una campagna di attacchi mirati che avrebbe coinvolto almeno tre gruppi di hacker collegati allo Stato cinese: Linen Typhoon, Violet Typhoon e Storm-2603. Microsoft ha pubblicato una prima comunicazione tecnica l'8 luglio, accompagnata da una patch per due vulnerabilità note, CVE-2025-49704 e CVE-2025-49706, inizialmente ritenute sufficienti. Tuttavia, già dal 7 luglio erano stati osservati exploit attivi contro versioni vulnerabili di SharePoint installate in locale, e nei giorni successivi è emerso che le patch non coprivano nuove varianti dell'attacco che sfruttavano ulteriori falle ...

Dieci anni fa nasceva il Kernel Self-Protection Project, conosciuto come KSPP, con l'obiettivo di cambiare il paradigma della sicurezza in Linux: non più semplicemente correggere vulnerabilità una per una, ma impedire in modo strutturale che intere classi di bug potessero esistere o essere sfruttate. Kees Cook, figura centrale del progetto e sviluppatore in Google, ha recentemente ripercorso dieci anni di progressi nel talk "Kernel Hardening: Ten Years Deep". Il punto di partenza era critico: in media una vulnerabilità nel kernel restava scoperta e sfruttabile per oltre cinque anni. Android e tanti altri sistemi basati su Linux venivano rilasciati con versioni vecchie del kernel, quindi prive delle ultime patch di sicurezza. Il KSPP ha introdotto un nuovo approccio: trasformare il kernel stesso in un ambiente ostile agli exploit. I risultati sono impressionanti. Grazie al lavoro del KSPP, alcune famiglie di bug sono scomparse. Array a lunghezza variabile (VLA), variabili ...

Negli anni Novanta, un gruppo di giovani entusiasti cinesi, autodidatti di hackeraggio, si è aggregato in una comunità chiamata “Honkers” – dall’unione di hong (rosso, patria) e heike (hacker). All’inizio erano motivati da un senso di orgoglio patriottico, reagendo a torti reali o percepiti nei confronti della Cina: deface di siti giapponesi, DDoS contro Taipei o organizzazioni nordamericane. Non erano sofisticati, ma il sentimento era condiviso e potente. Col passare del tempo, quei “giovani eroi del web” attirarono l’attenzione delle istituzioni statali. La storia di Tan Dailin, noto come Wicked Rose, racconta il passaggio netto da autodidatta idealista a hacker reclutato dal PLA e dal Ministry of State Security (MSS). Dopo aver vinto competizioni, frequentato campi di addestramento e progettato rootkit e exploit, Tan passò alle missioni sponsorizzate dallo Stato – fino ad essere poi incriminato negli U.S.A. per le attività di APT 41, gruppo ormai legato a operazioni di cyber-espiona...

 TikTok è tornata nel mirino delle autorità europee, e a questo punto non è più una notizia sorprendente, ma un tassello in un mosaico sempre più chiaro. L’Irlanda ha aperto una nuova indagine formale per chiarire se i dati degli utenti europei siano stati accessibili dalla Cina, nonostante le rassicurazioni ufficiali e i miliardi investiti nel cosiddetto Project Clover, l’infrastruttura di data center pensata per convincerci che tutto resti entro i confini europei. Quello che mi inquieta, più di tutto, è che non stiamo parlando di ipotesi, ma di fatti già ammessi: TikTok ha riconosciuto che l’accesso ai dati europei da parte di personale in Cina è effettivamente avvenuto. Eppure continuiamo a usare quell’app, continuiamo a scorrere video, a regalare dati, espressioni facciali, movimenti, abitudini. È una forma di rassegnazione dolce, mascherata da intrattenimento. Da persona che ha un minimo di rispetto per la coerenza tra ciò che si dichiara e ciò che si fa, trovo difficile rest...