redmount.xyz

Ho letto il report di ESET che documenta una nuova campagna di attacchi mirati alle piattaforme di webmail, basati su vulnerabilità Cross-Site Scripting (XSS). La portata è significativa: centinaia di sistemi compromessi, utenze aziendali colpite, e attori molto ben organizzati dietro le quinte. A colpire è la semplicità dell’attacco e la sua efficacia, soprattutto quando la superficie esposta è proprio l’interfaccia web della posta elettronica. Nel caso specifico, l’attacco sfrutta vulnerabilità XSS persistenti o riflessive per iniettare codice JavaScript direttamente all’interno della sessione utente. L’obiettivo è ottenere accesso alle email, sottrarre credenziali, intercettare sessioni attive o propagarsi all’interno di ambienti aziendali sfruttando la condivisione della piattaforma. Questa ennesima campagna riporta al centro una questione spesso trascurata: è più sicuro usare un client email installato rispetto a una webmail? Da un punto di vista tecnico, la risposta è sì, per una...

Il Patch Tuesday di giugno 2025 ha visto Microsoft correggere 67 vulnerabilità, di cui 11 classificate come “Critiche” e 2 zero-day già attivamente sfruttate. L’attenzione principale va rivolta a CVE-2025-33053 e CVE-2025-31152, entrambe con impatti significativi su client desktop e ambienti enterprise. CVE-2025-33053 è una falla di esecuzione di codice remoto (RCE) nel protocollo WebDAV di Windows, con CVSS 8.8. Questa vulnerabilità viene attivamente sfruttata in campagne mirate da gruppi APT, incluso Stealth Falcon, secondo quanto riportato da Microsoft e analisti di threat intelligence. L’exploit si attiva quando l’utente interagisce con un link WebDAV appositamente predisposto, spesso veicolato tramite phishing o documenti malevoli. Una volta eseguito, l’attaccante può ottenere esecuzione di codice arbitrario con i privilegi dell’utente corrente, bypassando i meccanismi UAC su molte configurazioni standard. Un’altra vulnerabilità critica, CVE-2025-31152, riguarda il client SMB di W...

In un mondo dove le minacce digitali sono sempre più sofisticate, la scoperta di una vulnerabilità zero-day nel kernel Linux non è una novità. Ma che a scoprirla sia stata un’intelligenza artificiale – questa sì, è una svolta che fa riflettere. Parliamo della CVE-2025-37899, un bug critico individuato nel modulo ksmbd del kernel Linux, responsabile dell’implementazione del protocollo SMB, usato per la condivisione di file in rete. Ma qui non è solo il bug a fare notizia: è come è stato scoperto. O3, l’IA di OpenAI che guarda dentro il codice Il ricercatore Sean Heelan ha utilizzato o3 , uno dei modelli di frontiera sviluppati da OpenAI, per analizzare circa 12.000 righe di codice del modulo. E no, non parliamo di una semplice scansione automatica. Parliamo di ragionamento avanzato , quello che normalmente richiederebbe giorni di lavoro a un team di esperti. L’IA ha seguito il flusso logico del codice, ha riconosciuto pattern sospetti e ha puntato il dito proprio lì dove il gestore...

 Nel mondo della cybersecurity, il nome "Stuxnet" è ormai leggenda. Questo malware, scoperto nel 2010, ma operativo fin dal 2007, rappresenta una delle prime vere e proprie "cyber-armi" conosciute: progettato per sabotare i sistemi industriali iraniani che gestivano l'arricchimento dell'uranio, ha segnato una svolta epocale nella storia degli attacchi informatici. Ma Stuxnet non è un caso isolato: prima e dopo di lui, altri attacchi informatici hanno avuto un impatto globale, cambiando il modo in cui stati e aziende si difendono nel cyberspazio. Prima di Stuxnet: i primi segnali Sebbene nessun attacco precedente avesse la sofisticazione o l'obiettivo strategico di Stuxnet, alcuni episodi hanno anticipato l'evoluzione della guerra cibernetica: 2003 – Slammer worm : un worm che si diffuse in pochi minuti, mandando in tilt numerosi sistemi in tutto il mondo, compresi alcuni legati alla sicurezza nucleare negli USA. 2007 – Attacchi DDoS in Estonia : una ...

Il 1° maggio 2025, Commvault, leader globale nelle soluzioni di protezione dei dati, ha confermato di essere stata vittima di un attacco informatico sofisticato. Un gruppo di hacker sponsorizzati da uno stato ha sfruttato una vulnerabilità zero-day, identificata come CVE-2025-3928, per violare l'ambiente Microsoft Azure dell'azienda.​ Dettagli della vulnerabilità CVE-2025-3928 La falla, con un punteggio di gravità CVSS di 8.7, risiedeva nel modulo Web Server di Commvault. Consentiva ad attaccanti remoti autenticati con privilegi limitati di installare webshells, ottenendo così accesso non autorizzato ai sistemi. La vulnerabilità interessava diversi componenti software, tra cui CommServe, Web Server e Command Center, su piattaforme Windows e Linux.​ Scoperta e risposta all'incidente L'attacco è stato rilevato il 20 febbraio 2025, quando Microsoft ha notificato attività sospette nell'ambiente Azure di Commvault. L'azienda ha immediatamente attivato il proprio pian...

Negli ultimi anni, il mercato dello spyware è cresciuto in modo esponenziale, con aziende che sviluppano strumenti sempre più sofisticati per la sorveglianza digitale. Tra queste, Paragon si è distinta come uno dei principali attori, con operazioni che hanno sollevato numerose preoccupazioni riguardo alla privacy e alla sicurezza dei cittadini. Un recente rapporto di Citizen Lab ha gettato luce sulle attività di Paragon, rivelando dettagli inquietanti sulle sue operazioni di spyware. Chi è Paragon? Paragon è un'azienda che opera nel settore della sorveglianza digitale, fornendo strumenti di monitoraggio e spyware a governi e agenzie di intelligence. Fondata da ex membri di unità militari e di intelligence, Paragon si presenta come un'azienda all'avanguardia nella lotta al terrorismo e al crimine organizzato. Tuttavia, le sue attività hanno spesso oltrepassato i confini della legalità, sollevando interrogativi etici e legali. Le operazioni di spyware Secondo il rapporto di C...

Negli ultimi anni, la crescente diffusione di spyware avanzati ha sollevato seri interrogativi sulla privacy e sulla sicurezza delle informazioni. Uno dei nomi più recenti a emergere nel panorama della sorveglianza digitale è Graphite , uno spyware sviluppato dalla società israeliana Paragon Solutions . Questo strumento ha attirato l’attenzione internazionale per il suo utilizzo da parte di governi e agenzie di intelligence, ma anche per le preoccupazioni legate ai diritti fondamentali e alla libertà di stampa. Cos’è Graphite? Graphite è uno spyware di livello governativo progettato per infiltrare dispositivi mobili e raccogliere informazioni sensibili. A differenza di altri spyware commerciali, Graphite viene venduto esclusivamente a enti statali per attività di intelligence e contrasto al crimine organizzato. Tuttavia, recenti rivelazioni indicano che è stato utilizzato anche per monitorare giornalisti e attivisti, sollevando interrogativi sulla sua gestione e sulle sue implicazioni ...

Recenti ricerche hanno rivelato la presenza di due modelli di machine learning (ML) maliziosi sulla piattaforma Hugging Face, i quali utilizzano una tecnica insolita di "pickle corrotto" per eludere i sistemi di rilevamento. Questi modelli sfruttano il formato di serializzazione Pickle di Python, noto per i suoi rischi di sicurezza, poiché può eseguire codice arbitrario al momento del caricamento e della deserializzazione. Tecnica "NullifAI" e Implicazioni per la Sicurezza La tecnica impiegata, denominata "NullifAI", consiste nell'inserimento di un payload malizioso all'inizio del file Pickle. Questo approccio consente al codice dannoso di essere eseguito prima che la deserializzazione dell'oggetto venga completata, evitando così la rilevazione da parte degli strumenti di sicurezza esistenti. In entrambi i casi analizzati, il payload malizioso è un reverse shell che si connette a un indirizzo IP predefinito. Modelli Coinvolti e Implicazioni per...

Recenti analisi hanno messo in luce gravi vulnerabilità nell'applicazione DeepSeek per iOS, in particolare la trasmissione di dati sensibili degli utenti su Internet senza alcuna crittografia. Questo rende i dati vulnerabili a intercettazioni e manipolazioni. I principali problemi riscontrati L'audit condotto da NowSecure ha rivelato che l'app non segue le migliori pratiche di sicurezza, raccogliendo una quantità significativa di informazioni sull'utente e sul dispositivo. Inoltre, l'app impiega algoritmi di crittografia deboli, come il 3DES , utilizza chiavi di crittografia hard-coded e riutilizza vettori di inizializzazione. Questi fattori contribuiscono a un aumento significativo dei rischi per la sicurezza. Trasmissione dei dati a server non sicuri I dati vengono inviati a server gestiti da Volcano Engine , una piattaforma di cloud computing e storage di proprietà di ByteDance , la stessa azienda che possiede TikTok . Questo ha alimentato ulteriori preoccupazio...

Nel mondo del pentesting e del CTF, capita spesso di cercare proof-of-concept (PoC) su GitHub o altrove per testare vulnerabilità o comprendere meglio il funzionamento di un exploit. È una pratica comune, ma non sempre sicura. Purtroppo, alcuni PoC in circolazione sono stati deliberatamente confezionati per agire come dropper o malware, sfruttando l’ingenuità di chi li esegue senza verificarli. Un caso recente riguarda un PoC apparentemente legittimo per la CVE-2023-3824, pubblicato su GitHub. Il codice sembrava valido, ma conteneva un payload offuscato che, una volta decompresso ed eseguito, scaricava da un repository remoto diversi binari tra cui un cryptominer e uno script shell persistente. Il tutto veniva installato nella directory ~/.local/bin , e avviato tramite un servizio systemd mascherato come Xsession Auth daemon . Il repository remoto era ospitato su Codeberg, ma oggi risulta rimosso. Alcuni utenti si sono accorti del comportamento sospetto leggendo il codice o esaminand...

I siti WordPress sono presi di mira da un ceppo precedentemente sconosciuto di malware Linux che sfrutta i difetti in oltre due dozzine di plugin e temi per compromettere i sistemi vulnerabili. "Se i siti utilizzano versioni obsolete di tali componenti aggiuntivi, prive di correzioni cruciali, le pagine Web mirate vengono iniettate con JavaScript dannosi", ha affermato il fornitore di sicurezza russo Doctor Web in un rapporto pubblicato la scorsa settimana. "Di conseguenza, quando gli utenti fanno clic su qualsiasi area di una pagina attaccata, vengono reindirizzati ad altri siti". Gli attacchi comportano l'armamento di un elenco di vulnerabilità di sicurezza note in 19 diversi plug-in e temi che sono probabilmente installati su un sito WordPress, utilizzandolo per distribuire un impianto che può prendere di mira un sito Web specifico per espandere ulteriormente la rete. È anche in grado di iniettare codice JavaScript recuperato da un server remoto per reindiriz...

Microsoft mercoledì ha rivelato i dettagli di una "vulnerabilità ad alta gravità" ora corretta nell'app TikTok per Android che potrebbe consentire agli aggressori di assumere il controllo degli account quando le vittime hanno fatto clic su un collegamento dannoso. "Gli aggressori avrebbero potuto sfruttare la vulnerabilità per dirottare un account all'insaputa degli utenti se un utente mirato avesse semplicemente fatto clic su un collegamento appositamente predisposto", ha affermato Dimitrios Valsamaras del Microsoft 365 Defender Research Team in un articolo. Lo sfruttamento riuscito della falla potrebbe aver consentito ad attori malintenzionati di accedere e modificare i profili TikTok degli utenti e le informazioni sensibili, portando all'esposizione non autorizzata di video privati. Gli aggressori potrebbero anche aver abusato del bug per inviare messaggi e caricare video per conto degli utenti. Il problema, affrontato nella versione 23.7.3, interessa...

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha pubblicato un catalogo di vulnerabilità, anche di Apple, Cisco, Microsoft e Google, che hanno conosciuto exploit e vengono attivamente sfruttate da cyber attori malintenzionati, oltre a richiedere alle agenzie federali di dare la priorità applicare patch per quei difetti di sicurezza entro tempi "aggressivi". "Queste vulnerabilità rappresentano un rischio significativo per le agenzie e l'impresa federale", ha affermato l'agenzia in una direttiva operativa vincolante (BOD) pubblicata mercoledì. "È essenziale correggere in modo aggressivo le vulnerabilità note sfruttate per proteggere i sistemi informativi federali e ridurre gli incidenti informatici". Circa 176 vulnerabilità identificate tra il 2017 e il 2020 e 100 falle dal 2021 sono arrivate all'elenco iniziale, che dovrebbe essere aggiornato con ulteriori vulnerabilità sfruttate attivamente man mano che verrann...

Una nuova debolezza della sicurezza è stata rivelata nell'utilità di archiviazione file di prova WinRAR per Windows che potrebbe essere abusata da un utente malintenzionato remoto per eseguire codice arbitrario su sistemi mirati, sottolineando come le vulnerabilità in tale software potrebbero diventare un gateway per una serie di attacchi. Tracciato come CVE-2021-35052, il bug ha un impatto sulla versione di prova del software che esegue la versione 5.70. "Questa vulnerabilità consente a un utente malintenzionato di intercettare e modificare le richieste inviate all'utente dell'applicazione", ha affermato Igor Sak-Sakovskiy di Positive Technologies in un articolo tecnico. "Questo può essere utilizzato per ottenere l'esecuzione di codice remoto (RCE) sul computer di una vittima." Da allora il problema è stato risolto nella versione WinRAR 6.02 rilasciata il 14 giugno 2021. Sak-Sakovskiy ha notato che un'indagine su WinRAR è iniziata dopo aver os...

Microsoft ha pubblicato un nuovo avviso di avviso di una vulnerabilità di bypass della sicurezza che interessa i laptop convertibili Surface Pro 3 che potrebbe essere sfruttata da un avversario per introdurre dispositivi dannosi all'interno delle reti aziendali e sconfiggere il meccanismo di attestazione del dispositivo. Tracciato come CVE-2021-42299 (punteggio CVSS: 5.6), il problema è stato denominato in codice " TPM Carte Blanche " dall'ingegnere software di Google Chris Fenner, a cui è attribuita la scoperta e la segnalazione della tecnica di attacco. Al momento della scrittura, altri dispositivi Surface, inclusi Surface Pro 4 e Surface Book, sono stati ritenuti non interessati, sebbene altre macchine non Microsoft che utilizzano un BIOS simile potrebbero essere vulnerabili. "I dispositivi utilizzano i registri di configurazione della piattaforma ( PCR ) per registrare informazioni sulla configurazione del dispositivo e del software per garantire che il pr...

I ricercatori hanno scoperto una vulnerabilità di lettura fuori dai limiti nel linguaggio di programmazione Squirrel che può essere abusato dagli aggressori per superare le restrizioni della sandbox ed eseguire codice arbitrario all'interno di uno SquirrelVM, dando così a un malintenzionato l'accesso completo alla macchina sottostante. Tracciato come CVE-2021-41556 , il problema si verifica quando una libreria di giochi denominata Squirrel Engine viene utilizzata per eseguire codice non attendibile e interessa i rami di rilascio stabili 3.x e 2.x di Squirrel. La vulnerabilità è stata divulgata responsabilmente il 10 agosto 2021. Squirrel è un linguaggio di programmazione open source e orientato agli oggetti che viene utilizzato per lo scripting di videogiochi, nonché nei dispositivi IoT e nelle piattaforme di elaborazione delle transazioni distribuite come Enduro/X. "In uno scenario reale, un utente malintenzionato potrebbe incorporare uno script Squirrel dannoso in una...

Martedì Microsoft ha lanciato patch di sicurezza per contenere un totale di 71 vulnerabilità in Microsoft Windows e altri software, inclusa una correzione per una vulnerabilità di escalation dei privilegi attivamente sfruttata che potrebbe essere sfruttata insieme a bug di esecuzione di codice remoto per prendere il controllo su sistemi vulnerabili. Due dei difetti di sicurezza affrontati sono classificati come critici, 68 sono classificati come importanti e uno è classificato come livello di gravità basso, con tre dei problemi elencati come noti pubblicamente al momento del rilascio. I quattro giorni zero sono i seguenti: CVE-2021-40449 (punteggio CVSS: 7,8) - Vulnerabilità relativa all'elevazione dei privilegi di Win32k CVE-2021-41335 (punteggio CVSS: 7,8) - Vulnerabilità dell'elevazione dei privilegi del kernel di Windows CVE-2021-40469 (punteggio CVSS: 7.2) - Vulnerabilità dell'esecuzione di codice remoto del server DNS di Windows CVE-2021-41338 (punteggio CVSS: ...

I manutentori di LibreOffice e OpenOffice hanno inviato aggiornamenti di sicurezza al loro software di produttività per porre rimedio a molteplici vulnerabilità che potrebbero essere utilizzate da attori malintenzionati per alterare i documenti e farli apparire come se fossero firmati digitalmente da una fonte attendibile. L'elenco dei tre difetti è il seguente: CVE-2021-41830 / CVE-2021-25633 - Manipolazione di contenuti e macro con doppio attacco certificato CVE-2021-41831 / CVE-2021-25634 - Manipolazione del timestamp con avvolgimento della firma CVE-2021-41832 / CVE-2021-25635 - Manipolazione del contenuto con attacco di convalida del certificato Il successo dello sfruttamento delle vulnerabilità potrebbe consentire a un utente malintenzionato di manipolare il timestamp dei documenti ODF firmati e, peggio ancora, alterare il contenuto di un documento o autofirmare un documento con una firma non attendibile, che viene quindi ottimizzata per modificare l' algoritmo d...

Martedì la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha pubblicato un avviso relativo a molteplici vulnerabilità di sicurezza che interessano tutte le versioni dei controller Honeywell Experion Process Knowledge System C200, C200E, C300 e ACE che potrebbero essere sfruttate per ottenere l'esecuzione di codice remoto e la negazione di -condizioni di servizio (DoS). "Una libreria di componenti di controllo (CCL) può essere modificata da un malintenzionato e caricata su un controller in modo tale che il codice dannoso venga eseguito dal controller", ha osservato Honeywell in una notifica di sicurezza indipendente pubblicata all'inizio di febbraio. Rei Henigman e Nadav Erez della società di sicurezza informatica industriale Claroty hanno il merito di aver scoperto e segnalato i difetti. Experion Process Knowledge System (PKS) è un sistema di controllo distribuito ( DCS ) progettato per controllare grandi processi industriali che abbraccia...

Apache ha rilasciato patch per affrontare due vulnerabilità di sicurezza, tra cui un percorso di attraversamento del percorso e un difetto di divulgazione dei file nel suo server HTTP che, secondo quanto riferito, viene attivamente sfruttato in natura. "È stato riscontrato un difetto in una modifica apportata alla normalizzazione del percorso in Apache HTTP Server 2.4.49. Un utente malintenzionato potrebbe utilizzare un attacco di attraversamento del percorso per mappare gli URL a file al di fuori della radice del documento prevista", hanno osservato i manutentori del progetto open source in un avviso pubblicato martedì. "Se i file al di fuori della radice del documento non sono protetti da 'richiedi tutto negato', queste richieste possono avere successo. Inoltre, questo difetto potrebbe far trapelare la fonte dei file interpretati come gli script CGI." Il difetto, registrato come CVE-2021-41773 , interessa solo la versione del server HTTP Apache 2.4.49. A...