Security Weekly 11-16/5/25

Punti critici per VS Code, Active Directory e Single Sign On, ma anche tanto altro

📬 Ben ritrovati con il nostro aggiornamento settimanale sulle principali minacce, operazioni e campagne malevole osservate a livello globale, con un focus su exploit avanzati, strumenti di pentesting e vulnerabilità critiche.

Una prima rassegna di notizie cyber

🔐 Sicurezza per le pompe di calore intelligenti nel Regno Unito

Il programma "Smart Secure Electricity Systems" del Regno Unito impone nuovi requisiti di sicurezza informatica per le pompe di calore fino a 45 kW. Questi dispositivi dovranno conformarsi allo standard ETSI EN 303 645, mirato a proteggere i consumatori e la rete elettrica nazionale da potenziali minacce informatiche. L'adozione di pratiche "secure-by-design" sarà obbligatoria entro la fine del 2026 o l'inizio del 2027.

👩‍💻 She@Cyber: formazione gratuita per colmare il divario di competenze

L'Unione Europea ha lanciato il programma She@Cyber, un'iniziativa gratuita di formazione in cybersecurity rivolta a donne e gruppi sottorappresentati. Supportato da Erasmus+ e coordinato da Vernian RTI, il programma offre credenziali riconosciute dall'industria basate sul certificato ISACA Cybersecurity Fundamentals. L'obiettivo è affrontare la carenza di competenze nel settore e promuovere la diversità.

🔗 Nuovi standard di sicurezza per la blockchain

Il Blockchain Security Standards Council (BSSC) ha introdotto quattro nuovi standard per migliorare la sicurezza delle infrastrutture blockchain:

• Node Operation Standard (NOS): per operazioni sicure dei nodi

• Token Integration Standard (TIS): per l'integrazione sicura degli asset digitali

• Key Management Standard (KMS): per la gestione sicura delle chiavi crittografiche

• General Security and Privacy Standard (GSP): per requisiti di sicurezza e privacy di base

🏦 Operazione contro il servizio di scambio di criptovalute eXch

La polizia tedesca, in collaborazione con la Procura di Francoforte, ha smantellato il servizio di scambio di criptovalute eXch, sequestrando 34 milioni di euro in varie criptovalute. L'operazione ha colpito un'importante rete di riciclaggio di denaro, con eXch accusato di aver facilitato il riciclaggio di circa 1,9 miliardi di dollari dal 2014.

---

6 temi analizzati della settimana

🔧 1. Drag and Pwnd: sfruttare i caratteri ASCII per compromettere VS Code

Zakhar Fedotkin di PortSwigger ha scoperto una tecnica che sfrutta i caratteri di controllo ASCII (\x01–\x04) per manipolare terminali virtuali come node-pty, utilizzato da Visual Studio Code. Questi caratteri, originariamente destinati al controllo delle comunicazioni seriali, possono essere abusati per iniettare comandi o manipolare l'output del terminale.

Esempio:

echo -e "\x01uname -a\x04" > payload.txt

Quando questo payload viene interpretato da node-pty, può eseguire comandi non autorizzati. Questo attacco è particolarmente efficace in ambienti dove l'input del terminale non è adeguatamente sanificato.

---

🛠️ 2. KnowsMore: strumento avanzato per il pentesting di Active Directory

KnowsMore è un toolkit Python progettato per l'analisi di Active Directory, supportando l'importazione di hash NTLM, dati da BloodHound e file NTDS.dit. Consente l'analisi della qualità delle password e l'identificazione di percorsi privilegiati all'interno della rete.

Caratteristiche principali:

• Importazione di hash NTLM da vari formati

• Analisi dei dati di BloodHound senza interfaccia grafica

• Valutazione della complessità delle password

Esempio di utilizzo:

python knowsmore.py --import-ntds ntds.dit --system SYSTEM

Questo comando estrae gli hash NTLM da un file ntds.dit utilizzando il file SYSTEM per la decrittazione.

---

🔐 3. SCIM Hunting: vulnerabilità oltre il Single Sign-On

Francesco Lacerenza di Doyensec ha analizzato le implementazioni del protocollo SCIM (System for Cross-domain Identity Management), evidenziando vulnerabilità comuni come bypass di autenticazione, gestione inadeguata dei token e manipolazione degli attributi interni.

Punti critici:

• Mancanza di autenticazione/autorizzazione standard

• Assenza di isolamento tra tenant in ambienti multi-tenant

• Possibilità di provisioning non autorizzato di utenti

Un esempio di vulnerabilità è l'uso improprio delle operazioni bulk, che può portare a modifiche non autorizzate degli account utente.

---

🖥️ 4. Analisi della superficie d'attacco di Ivanti DSM

Jakob Heusinger e Tobias Neitzel di Code White hanno esaminato Ivanti Desktop & Server Management (DSM), evidenziando vulnerabilità storiche e problemi architetturali. Tra le criticità riscontrate:

• Uso di RPC per la distribuzione del software, esponendo le credenziali

• Configurazioni memorizzate in condivisioni SMB accessibili (es. DSM$)

• Vulnerabilità note come CVE-2024-29821 e CVE-2023-28129

La ricerca include anche strumenti per testare la sicurezza delle installazioni DSM, facilitando l'identificazione di configurazioni vulnerabili.

---

🔑 5. La crittografia dietro le passkey

Joop van de Pol di Trail of Bits ha approfondito la crittografia alla base delle passkey, evidenziando come l'uso di coppie di chiavi asimmetriche e il protocollo WebAuthn migliorino la sicurezza rispetto alle password tradizionali.

Aspetti chiave:

• Le passkey utilizzano firme digitali per autenticare l'utente

• WebAuthn lega le chiavi all'origine del sito, prevenendo il phishing

• Ogni sito riceve una chiave unica, evitando il riutilizzo delle credenziali

Questo approccio riduce significativamente i rischi associati al phishing e al furto di credenziali.

---

🧨 6. CVE-2025-31201: vulnerabilità critica in RPAC

Epsilon Security ha identificato la vulnerabilità CVE-2025-31201 in RPAC (Remote Privileged Access Controller), che consente l'esecuzione remota di codice con privilegi elevati.

Dettagli tecnici:

• La vulnerabilità risiede nella deserializzazione non sicura di oggetti JSON

• Un attaccante può inviare payload appositamente creati per eseguire codice arbitrario

• L'exploit richiede l'accesso alla rete interna dove è esposto il servizio RPAC

Esempio di payload:

{
  "action": "execute",
  "payload": "malicious_code_here"
}

È fondamentale aggiornare RPAC all'ultima versione disponibile e implementare controlli di input rigorosi per prevenire tali attacchi.

---

Altre brevi notizie…

🎣 APT37 e l'operazione "ToyBox Story"

Il gruppo nordcoreano APT37 ha lanciato l'operazione "ToyBox Story", utilizzando inviti falsi a eventi di sicurezza nazionale per distribuire il malware RoKRAT tramite archivi ZIP. Dropbox è stato impiegato sia come canale di consegna che di comando e controllo (C2), sfruttando la fiducia nei servizi cloud legittimi.

🐛 Malware SnipVex e XRedRAT nei software di Procolored

Un'indagine ha rivelato la presenza dei malware SnipVex e XRedRAT nei download dei software di Procolored. XRedRAT, un trojan di accesso remoto, consente attività dannose come keylogging e download di file, mentre SnipVex, un clipbanker, sostituisce gli indirizzi BTC negli appunti per dirottare transazioni di criptovalute. Sono stati identificati 39 file infetti e un indirizzo BTC associato all'attaccante ha ricevuto circa 9,3 BTC (~100.000 dollari).

🛠️ Vulnerabilità CVE-2025-31324 in SAP NetWeaver sfruttata da ransomware

I gruppi ransomware BianLian e RansomExx stanno sfruttando la vulnerabilità CVE-2025-31324 in SAP NetWeaver, precedentemente utilizzata da APT cinesi. Questa falla consente l'esecuzione di codice remoto, facilitando l'installazione di malware come PipeMagic e l'escalation dei privilegi attraverso vulnerabilità come CVE-2025-29824.

🧬 Campagna APT "Swan Vector" mirata al settore della ricerca in Asia orientale

La campagna APT denominata "Swan Vector" ha preso di mira i settori della ricerca e dell'ingegneria in Asia orientale. Gli attaccanti utilizzano tecniche avanzate per infiltrarsi nelle reti e raccogliere informazioni sensibili, evidenziando la crescente sofisticazione delle minacce informatiche nella regione.

---

😋 FunFact

Nel 2025, un aggiornamento di Windows 11 (versione 24H2) ha riportato alla luce un bug vecchio di 20 anni in Grand Theft Auto: San Andreas. Il risultato? Il seaplane "Skimmer" è scomparso dal gioco, e forzare il protagonista CJ a salirci a bordo lo catapultava a un'altitudine di 1,087 quadrilioni di anni luce, rendendolo praticamente un astronauta intergalattico. (PC Gamer)

🔍 La causa nascosta

Il problema risiedeva in una riga incompleta nel file vehicles.ide, dove mancavano quattro parametri cruciali per la definizione del velivolo. Originariamente, lo Skimmer era classificato come barca in GTA: Vice City, e quando è stato convertito in aereo per San Andreas, i parametri specifici per gli aerei non sono stati aggiunti. Questo errore è rimasto inosservato per anni grazie a come le versioni precedenti di Windows gestivano la memoria.

💥 L'effetto Windows 11

Con l'aggiornamento 24H2, le modifiche nella gestione della memoria di Windows hanno fatto sì che il gioco leggesse valori non inizializzati, portando a comportamenti imprevedibili come il lancio di CJ nello spazio. Questo ha evidenziato quanto il codice legacy possa essere fragile e suscettibile a cambiamenti nell'ambiente di esecuzione.

🛠️ La soluzione

Il modder "Silent" ha identificato il problema e ha proposto una correzione semplice: aggiungere i parametri mancanti alla riga dello Skimmer nel file vehicles.ide. Questa modifica ha ripristinato il comportamento corretto del velivolo nel gioco.

---

Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.

Il network

Con questo piccolo schema riepilogo in breve i punti di riferimento che alimento con i miei contenuti, su diversi fronti, quasi quotidianamente.

• Ransomfeed.it - piattaforma di monitoraggio ransomware, realtime;

• inSicurezzaDigitale.com - blog di sicurezza informatica con approfondimenti tematici;

• SecureBulletin.com - news internazionali su cyber security, analisi e frodi;

• Spcnet.it - notizie geek;

• ilGlobale.it - note politiche e di economia, di rilevanza internazionale;

• Ziobudda.org - notizie Linux, open source e software libero, segnalabili e commentabili (socialnews).

• NewsDF - il raccoglitore di tutto questo, con un suo feed RSS generale, per non perdere niente di quello che pubblico.