{"id":14099,"date":"2017-08-21T09:24:57","date_gmt":"2017-08-21T07:24:57","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=14099"},"modified":"2019-11-22T11:11:20","modified_gmt":"2019-11-22T09:11:20","slug":"services-as-a-weapon","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/services-as-a-weapon\/14099\/","title":{"rendered":"Gli attacchi alla sicurezza aziendale: servizi Microsoft come arma"},"content":{"rendered":"

Gli hacker sono diventati davvero bravi a sfruttare i software legittimi. Diversi interventi alla conferenza Black Hat 2017 hanno dimostrato che le soluzioni aziendali di Microsoft possono essere molto utili nelle mani di un cybercriminale.<\/p>\n

Le aziende che utilizzano cloud ibridi devono adottare misure di sicurezza diverse da coloro che usano un sistema cloud tradizionale. Tuttavia, in realt\u00e0 non si stanno aggiornando abbastanza velocemente e questo d\u00e0 origine a numerosi punti deboli nella sicurezza che i cybecriminali possono sfruttare, come \u00e8 stato dimostrato nel mese di luglio alla conferenza Black Hat 2017. Gli studi hanno dimostrato come una tipica infrastruttura da ufficio possa effettivamente aiutare\u00a0i cybercriminali a rimanere invisibili alla maggioranza delle soluzioni di sicurezza.<\/p>\n

Una volta che, motivati finanziariamente, gli hacker si sono infiltrati in una rete aziendale, la loro pi\u00f9 grande difficolt\u00e0 \u00e8 ottenere lo scambio di dati segreti dai dispositivi infetti. In sostanza, il loro obiettivo \u00e8 fare in modo che i dispositivi infetti ricevano comandi e trasmettano le informazioni rubate senza mettere in allarme i sistemi di rilevamento delle intrusioni (IDS: Intrusion Detection System) e i sistemi di prevenzione della perdita di dati (DLP: Data Loss Prevention). I servizi Microsoft a volte non funzionano seguendo le restrizioni delle zone di sicurezza (il che aiuta i cybercriminali), e quindi i dati trasmessi da questi servizi non sono analizzati in profondit\u00e0.<\/p>\n

\"\"<\/a><\/p>\n

Uno studio condotto da Ty Miller e Paul Kalinin di Threat Intelligence mostra come i bot siano in grado di comunicare attraverso i servizi di Active Directory (AD) in una rete aziendale. Poich\u00e9 tutti i client, inclusi quelli mobile, di una rete, e la\u00a0maggior parte dei server, devono accedere a AD per l\u2019autenticazione, un server AD \u00e8 il \u201cpunto di comunicazione centrale\u201d, il che \u00e8 molto comodo per la gestione di una botnet. Inoltre, i ricercatori affermano che l\u2019integrazione di Azure AD con un server AD aziendale consente l\u2019accesso diretto a una botnet dall\u2019esterno.<\/p>\n

Come pu\u00f2 l\u2019AD aiutare a gestire una botnet ed estrarre i dati? Il concetto \u00e8 molto semplice. Per impostazione predefinita, ogni client della rete pu\u00f2 aggiornare le sue informazioni (ad esempio il numero di telefono dell\u2019utente e l\u2019indirizzo di posta elettronica) sul server AD. I campi abilitati alla scrittura includono anche alcuni che possono memorizzare fino a un megabyte di dati. Altri utenti AD possono leggere tutte queste informazioni, creando cos\u00ec un canale di comunicazione.<\/p>\n

\"The<\/p>\n

I ricercatori raccomandano di monitorare i campi AD periodicamente per evidenziare inusuali modifiche e di disabilitare la possibilit\u00e0 che gli utenti possano scrivere nella maggior parte dei campi.<\/p>\n

\"Researchers<\/p>\n

Uno studio condotto da Craig Dods di Juniper Networks fa luce su un\u2019altra tecnica per l\u2019estrazione dei dati segreti, utilizzando i servizi di Office 365. Una delle tecniche pi\u00f9 comuni si avvale di OneDrive for Business, utilizzato da quasi l\u201980% dei clienti di Microsoft Online Services. Gli hacker lo apprezzano perch\u00e9 gli addetti IT aziendali di solito si fidano dei server Microsoft, che permettono connessioni ad alta velocit\u00e0 e di evitare la cifratura dei dati durante i caricamenti. Di conseguenza, il compito degli hacker si riduce a collegare un disco OneDrive a un computer obiettivo utilizzando altre credenziali di un utente non aziendale. In questo caso, la copia di dati su OneDrive non \u00e8 considerata un tentativo di abbandonare il perimetro aziendale, quindi i sistemi di sicurezza suppongono che il disco connesso sia quello di un\u2019azienda. Il disco pu\u00f2 essere collegato in modalit\u00e0 invisibile, abbassando le probabilit\u00e0 di rilevamento. Un hacker ha bisogno di altri due strumenti Microsoft per fare ci\u00f2, ovvero Internet Explorer e PowerShell. Di conseguenza, una botnet pu\u00f2 copiare liberamente i dati sul \u201cproprio\u201d disco, e il cybercriminale pu\u00f2 semplicemente scaricarli da OneDrive.<\/p>\n

<\/p>\n

Secondo Dods, per rimanere protetti da un tale attacco, gli utenti devono limitare l\u2019accesso riconoscendo solo i sottodomini di Enterprise Office 365 appartenenti all\u2019azienda. \u00c8 inoltre consigliabile eseguire un\u2019ispezione approfondita del traffico cifrato e analizzare il comportamento degli script di PowerShell in una sandbox.<\/p>\n

Dobbiamo comunque considerare che si tratta di minacce ancora ipotetiche. Per utilizzare queste tecnologie, i cybercriminali dovrebbero innanzitutto riuscire a infiltrarsi in qualche modo nell\u2019infrastruttura della vittima. Una volta fatto ci\u00f2, tuttavia, la loro attivit\u00e0 non solo non sar\u00e0 rilevabile dalla maggior parte\u00a0delle soluzioni di sicurezza aggiornate, ma anche da un osservatore impreparato. Ecco perch\u00e9 ha senso analizzare periodicamente l\u2019infrastruttura IT per individuare eventuali vulnerabilit\u00e0. Noi, ad esempio, mettiamo a disposizione tutta una serie di servizi specifici<\/a><\/u>\u00a0per analizzare ci\u00f2 che accade nella vostra infrastruttura dal punto di vista dell\u2019Information Security e, se necessario, andare alla ricerca di eventuali intrusioni nel sistema.<\/p>\n","protected":false},"excerpt":{"rendered":"

Il Black Hat 2017 ha dimostrato che Microsoft Enterprise Solutions potrebbe essere molto utile nelle mani degli attaccanti.<\/p>\n","protected":false},"author":32,"featured_media":14100,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2956],"tags":[2504,2513,2524,1168,2507,2525],"class_list":{"0":"post-14099","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-bhusa","10":"tag-klbh17","11":"tag-active-directory","12":"tag-black-hat","13":"tag-black-hat-2017","14":"tag-office-360"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/services-as-a-weapon\/14099\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/services-as-a-weapon\/11095\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/services-as-a-weapon\/9192\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/services-as-a-weapon\/4926\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/services-as-a-weapon\/12406\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/services-as-a-weapon\/11630\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/services-as-a-weapon\/11158\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/services-as-a-weapon\/14087\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/services-as-a-weapon\/18452\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/services-as-a-weapon\/17971\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/services-as-a-weapon\/9589\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/services-as-a-weapon\/14420\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/services-as-a-weapon\/8296\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/services-as-a-weapon\/17703\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/services-as-a-weapon\/17709\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/services-as-a-weapon\/17670\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/black-hat\/","name":"black hat"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/14099","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=14099"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/14099\/revisions"}],"predecessor-version":[{"id":18744,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/14099\/revisions\/18744"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/14100"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=14099"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=14099"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=14099"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}