Microsoft ha risolto oltre 70 CVE nell’ultimo aggiornamento Patch Tuesday dell’anno

L'aggiornamento Patch Tuesday di dicembre 2024 di Microsoft ha introdotto 71 correzioni di sicurezza, inclusa una vulnerabilità zero-day di Windows (CVE-2024-49138) attivamente sfruttata per l'escalation dei privilegi. Questo porta il numero totale di patch dell'anno a 1.020, il secondo più alto dopo il 2020.

La vulnerabilità critica CVE-2024-49112 in Windows LDAP, con un punteggio CVSS di 9.8, consente l'esecuzione di codice remoto non autenticato, mettendo a rischio i controller di dominio. Microsoft suggerisce di disconnettere i controller di dominio da Internet, sebbene gli esperti raccomandino invece un’applicazione rapida delle patch.

Un altro problema urgente, CVE-2024-49117 in Hyper-V, permette attacchi tra macchine virtuali con autenticazione di base. Nove vulnerabilità critiche riguardano i Remote Desktop Services, tra cui un difetto use-after-free (CVE-2024-49132) che consente l'esecuzione di codice remoto.

Altri rischi includono l'escalation dei privilegi nel file system resiliente di Windows (CVE-2024-49093) e una vulnerabilità RCE (CVE-2024-49063) in Musik, un progetto di intelligenza artificiale.

Invitiamo le organizzazioni a eseguire immediatamente le patch, soprattutto per le vulnerabilità che riguardano i servizi remoti, per evitare lo sfruttamento e garantire una sicurezza robusta dei sistemi. Per saperne di più, clicca QUI.

Il malware Malichus sfrutta una vulnerabilità zero-day in Cleo per rubare dati sensibili

I ricercatori di cyber security hanno identificato una vulnerabilità zero-day critica nel software di trasferimento file di Cleo, sfruttata attivamente dal malware Malichus per facilitare il furto di dati. Questo difetto consente agli aggressori di eseguire codice arbitrario da remoto, compromettendo informazioni sensibili. Malichus, un malware sofisticato, utilizza questa vulnerabilità per infiltrarsi nei sistemi, esfiltrare dati e stabilire accessi persistenti.

Cleo ha rilasciato patch per risolvere il problema e gli utenti sono fortemente invitati ad aggiornare immediatamente i loro sistemi per mitigare i rischi potenziali. Questo incidente sottolinea l'importanza di aggiornamenti tempestivi del software e di misure di sicurezza robuste per proteggersi dalle minacce emergenti.

Il ransomware Lynx prende di mira Electrica Group in un attacco significativo

La Direzione Nazionale di Cyber security della Romania (DNSC) ha confermato che il gruppo ransomware Lynx ha violato Electrica Group, un importante fornitore di elettricità che serve oltre 3,8 milioni di utenti in Muntenia e Transilvania. Electrica, quotata alle borse di Londra e Bucarest, ha riferito dell'attacco in corso, rassicurando gli investitori che i sistemi critici, inclusi SCADA, non sono stati compromessi.

Il ransomware Lynx è attivo da metà 2024, con oltre 78 vittime, tra cui settori energetici e industriali negli Stati Uniti. Utilizzando un encryptor collegato al malware INC Ransom, Lynx sfrutta tattiche ransomware-as-a-service per colpire entità a livello globale.

DNSC, in collaborazione con Electrica, ha fornito uno script YARA per aiutare le organizzazioni a rilevare tracce di malware e ha invitato tutte le entità a scansionare i propri sistemi, soprattutto nel settore energetico. L'agenzia ha avvertito di non pagare riscatti e ha sottolineato la necessità di vigilanza di fronte a crescenti minacce cyber.

Questo attacco segue una serie di incidenti di alto profilo in Romania, tra cui un assalto ransomware Backmydata agli ospedali e attacchi informatici contro l'infrastruttura elettorale.

Attacco informatico a Krispy Kreme interrompe gli ordini online, indagini in corso

Krispy Kreme ha rivelato un attacco informatico del 29 novembre che ha significativamente interrotto il sistema di ordinazione online in alcune parti degli Stati Uniti, sebbene i negozi fisici e le consegne giornaliere non siano stati interessati. Le vendite online hanno rappresentato il 15,5% dei ricavi del terzo trimestre 2024 dell'azienda, amplificando l'impatto.

La violazione, divulgata tramite un deposito 8-K alla SEC, ha spinto Krispy Kreme a coinvolgere esperti di cyber security e a notificare le forze dell'ordine federali. L'azienda continua a valutare la portata e l'impatto, prevedendo perdite materiali derivanti dall'arresto delle vendite digitali e dalle spese per la cyber security, parzialmente compensate dall'assicurazione.

Gli esperti ipotizzano che l'attacco evidenzi vulnerabilità nei sistemi interconnessi. Krispy Kreme ha rassicurato gli stakeholder che gli impatti a lungo termine sulla propria condizione finanziaria rimangono improbabili mentre i lavori di recupero progrediscono.

Operazione PowerOFF smantella piattaforme DDoS a pagamento, effettuati arresti

Le forze dell'ordine di 15 paesi hanno smantellato 27 piattaforme DDoS a pagamento, arrestato tre amministratori e identificato 300 clienti nell'ambito dell'Operazione PowerOFF, una repressione internazionale sul crimine informatico DDoS.

Queste piattaforme, note anche come "booters" o "stressers," consentono ai clienti paganti di lanciare attacchi utilizzando botnet per interrompere servizi online. Tali attacchi, particolarmente durante le festività, possono causare gravi interruzioni di servizio e perdite economiche.

Europol ha coordinato l'operazione, fornendo supporto analitico e forense. Tra i siti sequestrati ci sono zdstresser.net e orbitalstress.net, che ora mostrano avvisi delle forze dell'ordine. La polizia olandese ha arrestato quattro sospetti responsabili di migliaia di attacchi e identificato 200 utenti delle piattaforme, emettendo avvisi o avviando procedimenti.

Le autorità continuano a indagare, puntando a limitare questi servizi e a perseguire gli utenti.

Il gruppo ransomware Termite colpisce Blue Yonder, rubando dati

Il gruppo ransomware Termite ha rivendicato la responsabilità di un attacco informatico al fornitore statunitense di tecnologia per la supply chain Blue Yonder, rubando 680 GB di dati. La filiale di Panasonic con sede a Scottsdale, in Arizona, serve oltre 3.000 clienti, tra cui Morrisons, Sainsbury's, Tesco e Starbucks.

Blue Yonder ha confermato che l'attacco ha interrotto il suo "ambiente ospitato di servizi gestiti" il 21 novembre. Esperti esterni di cyber security hanno assistito nell'indagine, rivelando che gli attori delle minacce hanno infiltrato la rete, iniettato codice dannoso e criptato sistemi critici.

L'incidente ha causato interruzioni operative, con Starbucks che avrebbe gestito i pagamenti manualmente. Termite afferma di possedere database, elenchi email, documenti e registri assicurativi. Blue Yonder ha dichiarato di lavorare con aziende di cyber security per affrontare la violazione, rafforzare le difese e supportare i clienti colpiti.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.