Questo sito fa uso di cookie tecnici per una tua migliore esperienza di navigazione. Continuando ad utilizzare il sito, accetti la nostra policy di uso dei cookie.

Log4Shell, un enorme pericolo informatico

Log4ShellIl 9 dicembre è stata resa pubblica quella che viene definita come una delle più gravi vulnerabilità degli ultimi anni, battezzata Log4Shell (codice ufficiale cve-2021-44228).

Di che cosa si tratta e perchè è così grave? Si tratta di una vulnerabilità di una libreria Java denominata Log4j che si occupa del logging delle attività degli utenti e delle applicazioni (molto spesso a scopo di problem solving); il problema è che questa libreria è utilizzata su miliardi di applicativi e software di componenti hardware basati su Java, per cui a rischio ci sono server, aziende, ma anche applicativi sensibili di banche, stati, etc.

Proprio a causa della molteplicità di soluzioni software e hardware dove è installata questa libreria, e quindi potenzialmente vulnerabili, risulta estremamente complesso anche verificare se i propri sistemi siano affetti da questa problematica e se si sia magari già stati colpiti.
Una volta resa pubblica la falla, è stata praticamente aperta una caccia agli obbiettivi vulnerabili da parte di migliaia di hackers, passando da qualche migliaio di tentativi di intrusione effettuati il 10 dicembre a quasi un milione il 14 dicembre, con una crescita progressiva molto preoccupante.
Al momento la finalità con cui è stata utilizzata la falla, è stata perlopiù quella di criptominig, ovvero lo sfruttamento della potenza di calcolo delle risorse colpite al fine di minare (produrre) criptomonete; è molto facile però prevedere che la vulnerabilità potrebbere essere presto sfruttata per operazioni di riscatto attraverso l'inoculazione di ransomware.

Ogni azienda i cui prodotti risultano vulnerabili, sta ovviamente cercando di notificare la presenza del problema e al contempo di rilasciare aggiornamenti al proprio software, ma come detto sarà un processo molto impegnativo.

Sophos, una delle maggiori società che si occupa di sicurezza informatica, ha previsto un webinar esplicativo di circa un'ora sull'argomento per il giorno 21 dicembre 2021, il link a cui potrete iscrivervi GRATUITAMENTE è QUESTO

Quello che noi di Data Commerce raccomandiamo, è ovviamente di tenere sempre i vostri sistemi informatici aggiornati e di seguire questo interessante webinar per capire come verificare se i vostri sistemi siano affetti dalla vulnerabilità e come porvi rimedio.

Pin It

Presentato Microsoft Windows 11

windows11Ieri, 24 giugno 2021, attraverso una CONFERENZA live, Microsoft ha presentato Windows 11 (nome in codice Sun Valley), sistema operativo successore di Windows 10. 

Indiscrezioni dicono che l'aggiornamento a Windows 11, come avvenne già per Windows 10, in un primo periodo potrebbe essere gratuito e non solo da Windows 10, ma anche da Windows 7,8 e 8.1!
Una notizia sicuramente molto interessante, ma che poi, una volta terminata la conferenza Microsoft, si è molto ridimensionata: questo perchè sono stati esplicitati i requisiti minimi richiesti per poter installare Windows 11.
Il nuovo sistema operativo infatti, se dal punto di vista di CPU, Ram e archiviazione non presenta rilevanti novità (CPU dual core a 64bit, 4Gb di ram e 64Gb di spazio di archiviazione), richiede 2 elementi non da poco:

  1. una scheda video compatibile con DirectX 12+
  2. un Firmware UEFI con avvio protetto e TPM 2.0

Questi due elementi tagliano fuori dal mercato una quantità enorme di PC (laptop o desktop che sia), soprattutto tra i PC un po' più "datati", ma che risultano ancora oggi efficacemente utilizzabili.
Mentre in alcuni casi sarà possibile sostituire o installare una nuova scheda video che rispecchi i requisiti minimi di sistema di Windows 11, molto meno si potrà fare per il discorso Firmware e TPM.

Che cos'è TPM?

TPM è l'acronimo di Trusted Platform Module, ed è un chip posto sulla scheda madre e progettato per funzioni correlate alla sicurezza: offre un sistema in grado di proteggere il PC da manomissioni; con la presenza del TPM eventuale software dannoso, o meglio NON CERTIFICATO, non potrà essere eseguito sul PC.
Il TPM, già dalla sua prima versione, è utilizzato da diversi anni, ma finora non era mai stato OBBLIGATORIO per l'esecuzione del sistema operativo.
Questa mossa, dichiarata da Microsoft come essenziale per una futura sicurezza nell'uso dei PC, da alcuni viene vista in realtà più come una mossa commerciale, in quanto viene reso inutilizzabile qualunque software che non sia "certificato".

Come faccio a sapere se il mio PC è pronto per Windows 11?

Microsoft, oltre ad aver rilasciato ufficialmete i requisiti minimi in QUESTA pagina, ha anche messo a disposizione un tool di compatibilità, in grado di analizzare il PC e di rivelare subito se il PC soddisfa i requisiti minimi per Windows 11. Il tool è scaricabile da questo LINK 

Quando sarà disponibile Windows 11?

Non è ancora stata annunciata una data ufficiale per il rilascio di Windows 11, ma Microsoft ha parlato della fine del 2021; nel frattempo sarà comunque possibile accedere alle versioni beta attraverso il canale Insider Preview già dalla prossima settimana, a partire dal 28 giugno.

Pin It

NAS Qnap. Tutti i miei dati sono illeggibili!

qlocker 620x350Da alcuni giorni ci sono utenti che, accedendo ai dati archiviati sul proprio NAS Qnap, hanno trovato un’amara sorpresa: tutti i dati sono “spariti” ed al loro posto si sono ritrovati dei file compressi con password, con conseguente illeggibilità dei dati stessi.
Purtroppo questa situazione è il risultato di uno degli ultimi ransomware immessi in rete: Qlocker. La particolarità di questo ransomware è quella di essere stato specificatamente progettato e creato per i NAS Qnap (uno dei brand più presenti nel mercato mondiale dei Network Attached Storage).

Come viene infettato il sistema?

Questo malware è stato studiato per sfruttare delle vulnerabilità presenti in QTS, il sistema operativo di Qnas, ed in alcune App come Multimedia Console, Media Streaming Add-on e Hybrid Backup Sync; il ransomware per infettare il sistema non richiede nessun intervento da parte dell’utente (il classico click su un link), ma va automaticamente ala ricerca dei NAS Qnap collegati ad internet.

Come si presenta un sistema infettato?

Un sistema infettato presenta tutti i files compressi con password in formato .7z (7zip) ed un unico file di testo (leggibile) chiamato !!!READ_ME.TXT contente le istruzioni per il pagamento del riscatto; il pagamento del riscatto DOVREBBE garantire l’invio della password per la decriptazione dei propri dati.

qlocker small

Cosa posso fare per PREVENIRE l’infezione?

I passi da compiere per mettere in sicurezza il proprio NAS sono:

  • Aggiornare QTS all’ultima versione disponibile
  • Aggiornare le app Multimedia Console, Media Streaming Add-on e Hybrid Backup Sync
  • Installare l’ultima versione disponibile dell’app Malware Remover ed eseguire una scansione
  • Aggiornare le password con versioni complesse

E’ inoltre consigliato modificare la porta di rete predefinita (8080) utilizzata per accedere all'interfaccia web del NAS

Cosa posso fare se il mio Qnap risulta infetto?

Il processo di criptazione non è un processo immediato, ma richiede parecchio tempo (proporzionale alla quantità di dati da criptare); se il processo è terminato, ormai non c’è più nulla da fare e l’unico modo di recuperare i dati è quello di ripristinarli da un backup precedente. Tale backup dovrà ovviamente essere stato archiviato esternamente al NAS; se aveste utilizzato la tecnica delle snapshot sul NAS stesso, purtroppo le stesse non saranno utilizzabili, in quanto la prima azione svolta dal malware in fase di infezione è proprio quella di cancellare tutte le snapshot presenti.
Se invece il processo di criptazione non fosse concluso, è fondamentale:

  • NON SPEGNERE il NAS
  • Installare l’app Malware Remover ed eseguire una scansione
  • Connettersi al NAS via SSH ed eseguire delle linee di codice per recuperare la chiave di decriptazione

Se voleste studiare meglio la situazione, potete andare a vedere i bullettini CVE-2020-36195 e CVE-2021-28799, vulnerabilità che Qnap ritiene siano state utilizzate dell’attacco.

Come sempre, se aveste bisogno di assistenza a riguardo, non vi resta altro che contattarci attraverso i canali abituali

Pin It

PC che si blocca quando inviate la stampa?

EDIT: SOLUZIONE DEFINITIVA A FONDO ARTICOLO


Da qualche giorno moltissimi PC sono affetti da una problematica: può succedere che avviando una stampa il PC si blocchi completamente, si riavii, o mostri un BSOD, ovvero una "schermata blu" d'errore. 

Il problema si verifica solo con stampanti di determinati brand (ovvero: Kyocera, Olivetti, Ricoh e Sharp), ed è causato dall'aggiornamento di Windows KB5000802 distribuito su Windows 10 attraverso Windows Update con il Patch Tuesday di Marzo 2021.
Microsoft è a conoscenza del problema e dovrebbe a breve risolvere, probabilmente con una patch della patch :) 
Ma come si fa a risolvere laddove il problema si è già presentato? Fondamentalmente è necessario semplicemente rimuovere l'aggiornamento incriminato e, per sicurezza, posticipare gli aggiornamenti di una settimana.
Andiamo a vedere nel dettaglio come fare:
 
- Cliccare su Start -> Impostazioni -> Aggiornamento e sicurezza
- Scegliere la voce Visualizza cronologia degli aggiornamenti -> Disinstallare gli aggiornamenti
- Cliccare sull'aggiornamento indicato come KB5000802 e poi su Disintalla
 
 update1 small
 
update2
 
Una volta confermato e disinstallato l'aggiornamento KB5000802, è consigliato andare a posticipare di una settimana gli aggiornamenti, in modo che l'aggiornamento buggato non venga nuovamente installato:
 
- Cliccare su Start -> Impostazioni -> Aggiornamento e sicurezza
- Scegliere la voce Sospendi aggiornamenti per 7 giorni
 
update3 small
 
 
AGGIORNAMENTO:

Microsoft ha rilasciato una patch definitiva per la risoluzione del problema, che però viene distribuita attraverso Windows Update come aggiornamento FACOLTATIVO, il che significa che molto probabilomente andrà installarlo manualmente. Per comodità vi abbiamo messo qui sotto i link per il dowload, differenziato a seconda della versione di Windows 10, direttamente dal Microsoft Update Catalog:

  • Versioni a 64Bit
Windows 10 20H2/2004: KB5001649
Windows 10 1909/1903: KB5001648
  • Versioni a 32Bit
Windows 10 20H2/2004: KB5001649
Windows 10 1909/1903: KB5001648
 
Come sempre se aveste problemi a risolvere il problema in autonomia ed aveste bisogno di un nostro intervento, vi basterà contattarci attraverso i soliti canali.
Pin It

Attenzione al pericolosissimo trojan EMOTET

emotet malware small

In questi giorni è in corso un'ondata di mail contenenti il Trojan EMOTET, un malware progettato per rubare tutti i tipi di informazioni sensibili, dettagli bancari inclusi, e strumenti di accesso remoto che consentono il controllo su un host compromesso.
Il trojan Emotet è veicolato tramite un file Word compresso (.zip) infetto allegato ad una mail; alla fine il sistema di propagazione sembrerebbe quindi abbastanza simile a gli altri centinaia di malware... sbagliato, perchè il livello di ingegnerizzazione sociale è molto evoluto: la mail che vi arriverà infatti

  1. ha come mittente il nominativo di qualcuno che si trova tra i vostri contatti (anche se l'indirizzo email da cui risulta arrivare, è sconosciuto)
  2. è spedita come risposta o inoltro di una vostra mail realmente esistente, quindi appare come una reale risposta o un reale inoltro
  3. il file .doc allegato è compresso con password, in modo che non possa essere analizzato a priori dagli antivirus. La password per aprirlo è contenuta nel messaggio di posta stesso, alla voce "Password archivio:..."

Oltre ad un buon antivirus in tempo reale è quindi FONDAMENTALE porre la massima attenzione per non cadere nel tranello.

C'è da considerare che gli esperti di cybersecurity di Sophos ha dichiarato che Emotet rappresenta, in termini di efficacia e di numerosità di vittime, la più importante minaccia informatica attualmente in circolo. E' stato addirittura definito “più pericoloso di WANNACRY”, l'attacco ransomware che nel 2017 ha messo in ginocchio le strutture informatiche a livello mondiale.

La grande pericolosità di Emotet è data anche dal fatto che è in continua evoluzione e spesso è utilizzato come cavallo di Troia per stabilire un contatto permanente all’interno dell’organizzazione bersaglio; nelle sue più recenti versioni, Emotet è stato osservato installare altri malware come TrickBot e QakBot, per rubare le credenziali delle vittime.
La peggiore minaccia è però rappresentata dalla variante in grado di operare in congiunzione con dei ransomware, come ad esempio Ryuk.

 

COME VERIFICARE SE SI E' INFETTI DAL MALWARE EMOTET

emocheck smallEsiste uno specifico tool chiamto EMOCHECK, scaricabile da QUI (se servisse la versione a 32Bit, può essere scaricata da QUI)
Una volta scaricato il tool sul PC, basterà avviarlo (non richiede installazione); una volta terminata la rapida scansione, avremo una risposta a video e verrà salvato un un file di testo (.txt) riassuntivo nella stessa cartella nella quale è collocato il file eseguibile di emocheck.

Se il computer non è infetto, Emocheck mostrerà la scritta “no detection”; se il PC risultasse infetto, il programma mostrerà un messaggio riportante il codice identificativo del processo malevolo in esecuzione ed anche il percorso del file infettato dal malware.

Nel caso il vostro PC risultasse infetto e voleste provvedere da soli alla rimozione, la prima cosa da fare è aprire Gestione attività e terminare il processo in esecuzione indicato da EmoCheck; successivamente si potrà riavviare il PC in Modalità Provvisoria ed eseguire una scansione completa con un buon antivirus.
Il nostro consiglio rimane comunque quello di NON chiudere la finestra di EmoCheck e contattarci per una disinfezione completa del PC.

Pin It