{"id":7088,"date":"2015-12-17T17:47:20","date_gmt":"2015-12-17T17:47:20","guid":{"rendered":"https:\/\/kasperskydaily.com\/italy\/?p=7088"},"modified":"2017-11-13T17:47:52","modified_gmt":"2017-11-13T15:47:52","slug":"bad-badwinmail","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/bad-badwinmail\/7088\/","title":{"rendered":"Come pu\u00f2 una sola email, che non avete neanche letto, infettare il vostro PC?"},"content":{"rendered":"<p>Ve l\u2019abbiamo detto e ripetuto: mai cliccare su link sospetti, mai aprire file ricevuti da fonti sconosciute, cancellare sempre le email di mittenti non fidati. Tutti questi sono buoni consigli, ma non possono aiutarvi se state utilizzando Outlook poich\u00e9 queste precauzioni non vi proteggeranno dalla vulnerabilit\u00e0 BadWinmail. Per essere infettati non occorre cliccare o aprire nulla: ricevete soltanto un\u2019email e questo \u00e8 quanto. In effetti, non dovete neanche aprirla questa email.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2015\/12\/05235431\/badwinmail-featured1-1024x672.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"alignright size-full wp-image-7090\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2015\/12\/05235431\/badwinmail-featured1-1024x672.jpg\" alt=\"badwinmail-featured\" width=\"1280\" height=\"840\"><\/a><\/p>\n<p>\u00a0<\/p>\n<h3>How\u2019s that possible?<\/h3>\n<p>Se avete familiarit\u00e0 con Microsoft Office, probabilmente sapete che gli oggetti possono essere inseriti tra i file di MS Office. Non qualunque tipo di oggetti, ma la lista \u00e8 piuttosto lunga. Viene chiamata tecnologia OLE, o Object Linking and Embedding (collegamento e incorporazione di oggetti).<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Logo for <a href=\"https:\/\/twitter.com\/hashtag\/BadWinMail?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#BadWinMail<\/a> ? <a href=\"https:\/\/t.co\/gP45Iq3ShE\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/gP45Iq3ShE<\/a><\/p>\n<p>\u2014 Erlend Oftedal (@webtonull) <a href=\"https:\/\/twitter.com\/webtonull\/status\/677109696789143552?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">December 16, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>\u00c8 risultato che questa tecnologia funzioni non solo con DOC, XLS e cos\u00ec via, ma anche con la posta elettronica di Outlook. Inoltre, la sopramenzionata lista di oggetti includa, oltre a generico materiale di MS Office, anche belle cose come gli oggetti di Adobe Flash.<\/p>\n<p>Sapete perch\u00e9 i cybercriminali amano tanto Flash? Perch\u00e9 <a href=\"https:\/\/threatpost.com\/massive-adobe-flash-update-patches-79-vulnerabilities\/115598\/\" target=\"_blank\" rel=\"noopener nofollow\">ci sono un sacco di vulnerabilit\u00e0<\/a>. Alcuni di questi bug sono zero-days, ci\u00f2 significa che sono privi di patch. Queste vulnerabilit\u00e0 possono essere sfruttate per fare al vostro PC alcune cose che <a href=\"https:\/\/www.kaspersky.it\/blog\/exploits-problem-explanation\/6393\/\" target=\"_blank\" rel=\"noopener\">sicuramente non vi piacerebbero<\/a>.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Adobe Patches 23 Critical Vulnerabilities in Flash Player: <a href=\"https:\/\/t.co\/ON2iKYKk5f\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/ON2iKYKk5f<\/a> via <a href=\"https:\/\/twitter.com\/threatpost?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@threatpost<\/a> <a href=\"http:\/\/t.co\/29dRbc5KTI\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/29dRbc5KTI<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/646012750804709376?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">September 21, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>\u00c8 un problema ben noto e per combatterlo, la maggioranza degli sviluppatori compie la stessa, semplice azione: consentono al contenuto Flash di funzionare nei loro software (per esempio, i browser) solo nelle cosiddette \u201csandbox\u201d. Un codice dannoso pu\u00f2 fare di tutto all\u2019interno di queste sandbox, anche avviare una stravagante apocalisse informatica.<\/p>\n<p>L\u2019idea per\u00f2 \u00e8 che non possa uscire dalla sandbox e non colpir\u00e0 nulla al di fuori di esse, quindi i vostri file non saranno compromessi. Beh, perlomeno \u00e8 per questo che sono state progettate: a volte questo trucchetto non funziona, ma non \u00e8 questo il momento di parlarne, qui non \u00e8 proprio il caso.<\/p>\n<p>Se state aspettando per il terzo \u201c\u00e8 risultato che\u201d, ci siete arrivati. \u00c8 risultato che Outlook non utilizzi questo trucco delle sandbox per via di oggetti potenzialmente pericolosi e conduce tutto nella modalit\u00e0 normale. Significa che il codice dannoso tra gli oggetti inseriti pu\u00f2 agire come ogni altro software che avete installato sul vostro PC.<\/p>\n<p>\u00a0<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Cos\u2019\u00e8 una vulnerabilit\u00e0 #BadWinmail e perch\u00e8 \u00e8 davvero dannosa<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2Foux9&amp;text=+Cos%26%238217%3B%C3%A8+una+vulnerabilit%C3%A0+%23BadWinmail+e+perch%C3%A8+%C3%A8+davvero+dannosa+\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>\u00a0<\/p>\n<p>Il problema non si conclude con queste tre brutte notizie. Outlook \u00e8 cos\u00ec cortese che apre le email pi\u00f9 recenti prima che lo facciate voi. Cos\u00ec se l\u2019email dannosa con allegato l\u2019exploit BadWinmail \u00e8 l\u2019ultima nella vostra casella di posta in arrivo, viene lanciato immediatamente con l\u2019avvio di Outlook.<\/p>\n<p><a href=\"https:\/\/twitter.com\/haifeili\" target=\"_blank\" rel=\"noopener nofollow\">Haifei Li<\/a>, ricercatore della sicurezza che ha scoperto il bug, ha creato la prova del concetto di un possibile attacco che sfrutta la vulnerabilit\u00e0\u00a0BadWinmail, come la chiama lui. <a href=\"https:\/\/0b3dcaf9-a-62cb3a1a-s-sites.googlegroups.com\/site\/zerodayresearch\/BadWinmail.pdf?attachauth=ANoY7cpxt27OsrN-CQr8aeNzDscsib5Q0S4sZwLu833ilNAxoZ-z5dccAiv07iV51G2sdOOIWb6Z0bEFuA8-4ezftl6q0OneshG6dn7AdnugQzXqWqhOH_FjhYJzY1N47DwlSF0DSQxe7jd-5Py4KCmD6cDohbS-wGORVNze850L7Q6sGiXjAjpf5SIbzxolvITpZrQG8Wba60nxg-vowStdt5hui2oyAg%3D%3D&amp;attredirects=0\" target=\"_blank\" rel=\"noopener nofollow\">Nelle sue ricerche<\/a> lo descrive con parole sorprendentemente semplici.<\/p>\n<p>Ha anche realizzato questo video relativamente breve, che spiega perfettamente l\u2019idea centrale di come questa vulnerabilit\u00e0 funzioni davvero:<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"sv\" dir=\"ltr\">Special Report: <a href=\"https:\/\/twitter.com\/hashtag\/BadWinmail?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#BadWinmail<\/a> \u2013 The \"Enterprise Killer\" Attack Vector in <a href=\"https:\/\/twitter.com\/hashtag\/Microsoft?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Microsoft<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Outlook?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Outlook<\/a><a href=\"https:\/\/t.co\/pOTNIh6bQs\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/pOTNIh6bQs<\/a>. <a href=\"https:\/\/t.co\/BaDEBZXCSm\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/BaDEBZXCSm<\/a>.<\/p>\n<p>\u2014 Haifei Li (@HaifeiLi) <a href=\"https:\/\/twitter.com\/HaifeiLi\/status\/676794079410192385?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">December 15, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Per capire perch\u00e9 \u00e8 veramente dannosa, immaginate soltanto che un ragazzaccio invece di aprire un\u2019innocua app calcolatrice, avvii dei <a href=\"https:\/\/www.kaspersky.it\/blog\/ransomware-10-tips\/6987\/\" target=\"_blank\" rel=\"noopener\">ransomware<\/a> sul vostro PC.<\/p>\n<p>La buona notizia \u00e8 che Haifei Li ha denunciato questo bug a Microsoft e la compagnia ha risolto questo problema l\u20198 dicembre. La cattiva notizia \u00e8 che le persone che non erano solite aggiornare velocemente i loro software hanno ancora questa vulnerabilit\u00e0. E molti di loro ce l\u2019avranno per settimane, mesi o anche anni.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/IT?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#IT<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Tip?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Tip<\/a> Disable the \u201cremind me later\u201d button to ensure critical updates installed <a href=\"https:\/\/t.co\/jVKXcJ1vWm\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/jVKXcJ1vWm<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/infosec?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#infosec<\/a> <a href=\"https:\/\/t.co\/KNnlnjk0Ej\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/KNnlnjk0Ej<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/662060641071579136?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 5, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Poich\u00e9 il report \u00e8 stato divulgato pubblicamente, un sacco di cybercriminali proveranno sicuramente a servirsi di questa vulnerabilit\u00e0 per infettare, tramite essa, migliaia o anche milioni di PC. E se vi siete mai chiesti \u00a0<a href=\"https:\/\/www.kaspersky.it\/blog\/aggiornamento-software-indispensabile\/5311\/\" target=\"_blank\" rel=\"noopener\">se \u00e8 veramente cos\u00ec importante aggiornare sempre tutti i vostri software immediatamente e utilizzare software di sicurezza<\/a>, suppongo che adesso abbiate delle buone ragioni per rispondere in modo affermativo.<\/p>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sapevate che il vostro PC pu\u00f2 essere infettato da un\u2019email che non in realt\u00e0 non avete letto?<\/p>\n","protected":false},"author":421,"featured_media":7089,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[12],"tags":[1742,485,1741,5,1676,584,1740,804],"class_list":{"0":"post-7088","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-0days","9":"tag-adobe","10":"tag-flash","11":"tag-microsoft","12":"tag-outlook","13":"tag-vulnerabilita","14":"tag-winmail","15":"tag-worm"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/bad-badwinmail\/7088\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/bad-badwinmail\/5230\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/bad-badwinmail\/6436\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/bad-badwinmail\/6889\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/bad-badwinmail\/6477\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/bad-badwinmail\/7397\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/bad-badwinmail\/10247\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/bad-badwinmail\/10868\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/bad-badwinmail\/9879\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/bad-badwinmail\/10247\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/bad-badwinmail\/10868\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/bad-badwinmail\/10868\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/0days\/","name":"0days"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7088","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=7088"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7088\/revisions"}],"predecessor-version":[{"id":11241,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/7088\/revisions\/11241"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/7089"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=7088"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=7088"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=7088"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}