Category Archives: Security

MDATP Threat & Vulnerability Management ora disponibile

Threat & Vulnerability Management è un nuovo componente di Microsoft Defender ATP che aiuta ad identificare, valutare e rimediate in maniera efficiente alla vulnerabilità degli endpoint.
Threat & Vulnerability Management fornisce ai team security administrators e security operations un valore unico che include:

– Risultati in real-time di endpoint detection and response (EDR) correlati alle vulnerabilità degli endpoint;
– Inestimabile contesto di machine vulnerability durante l’investigazione di incidenti;
– Processi di risanamento integrato attraverso Microsoft Intune ed il Microsoft System Center Configuration Manager.

Note: l’integrazione di Microsoft Intune e Microsoft System Center Configuration Manager (SCCM) è attualmente in distribuzione.

Oggi, siamo felici di annunciarvi che il nuovo Threat & Vulnerability Management (TVM) è disponibile in public preview all’interno del portale Microsoft Defender ATP.
È un cambio di approccio radicale alla ricerca, prioritizzazione e risanamento di vulnerabilità ed errori di configurazione degli endpoint.

Lo strumento Threat & Vulnerability Management è l’ultimissima innovazione all’interno di Microsoft Defender ATP che continua ad evolvere per fornire ai clienti strumenti potenti, integrati ed in real-time per rispondere alle minacce. I clienti che hanno attivato le feature in preview di Microsoft Defender ATP, vedranno la funzionalità all’interno della loro dashboard.

Ulteriori funzionalità di TVM verranno distribuite nei prossimi mesi.

Per informazioni su come iniziare ad utilizzare lo strumento: Gestione delle vulnerabilità & minacce.

MDATP Threat & Vulnerability Management ora disponibile
Figura 1: screenshot della dashboard Threat & Vulnerability Management


Le informazioni presenti in questo post, sono prese dall’articolo MDATP Threat & Vulnerability Management now publicly available!.

Microsoft porta Windows Defender Application Guard anche su Chrome e Firefox

Dapprima disponibile soltant su Edge, l’estensione Windows Defender Application Guard, lo scorso mese è stara resa disponibile da Microsoft anche su Chrome e Firefox.
I due browser devono essere installati sull’ultima versione beta disponibile di Windows e sono prerogativa di chi ha aderito al programma Windows insider. A breve, però, verrà distribuita la nuova release di Windows 10 e, a quel punto, le estensioni di sicurezza saranno disponibili per tutti gli utilizzatori dei due browser.

Windows Defender Application Guard è un’estensione abbastanza recente che permette all’amministratore di sistema di impostare una lista di siti e risorse di fiducia a cui l’utente può accedere in modo sicuro attraverso il browser. Se invece l’utente arriva su un sito “Tramite un esclusivo approccio di isolamento basato su hardware, Application Guard aprirà i siti Web non attendibili all’interno di un contenitore separato dal sistema operativo tramite la tecnologia di virtualizzazione Hyper-V“.

Sostanzialmente, si tratta di un meccanismo sandbox che vi permette di recarvi su sito sconosciuti o potenzialmente non sicuri senza alcun rischio. Questo perchè vengono isolati dal resto del sistema proteggendo in questo modo sia il dispositivo che i dati sensibili presenti in esso. È una funzionalità molto utile, sopratutto in un’ottica di adozione aziendale.

Windows Defender Application Guard è disponibile per i dispositivi il cui sistema operativo va da Windows 10 versione 1803 in su (solo in versione Pro o Enterprise), conosciuta anche come Redstone 4, ed è già incorporata in Microsoft Edge a partire dalla build 17053, tuttavia è disabilitata di default.
Se volete testarlo, sarà sufficiente recarsi nelle Impostazioni di Windows 10 nella sezione funzionalità.

Nel menù a tendina che si aprirà, selezionate la voce Attiva o disattiva funzionalità di Windows.
Si aprirà a questo punto una finestra con diverse voci: scorrete l’elenco fino a trovare Windows Defender Application Guard. Cliccate sulla casella di spunta, poi su Ok ed infine riavviate il PC.
Concluso questo processo, potrete utilizzare Windows Defender Application Guard.
Come fare? Dalle impostazioni di Edge, aprite una scheda dedicata.

Se partecipate al programma Insider ed avete Windows 10 Pro o Enterprise e volete provare questa funzione sui due nuove browser disponibili, vi indichiamo i link:
Chrome;
Firefox.


Le informazioni presenti in questo post, sono prese dall’articolo:Microsoft porta le estensioni di sicurezza per Edge anche su Chrome e Firefox.

Le nuove etichette di riservatezza per le app di Office, ti aiutano a proteggere le informazioni sensibili

Durante l’ultimo Ignite, Microsoft aveva annunciato l’imminente arrivo di una serie di funzionalità che permettessero di proteggere meglio le vostre informazioni sensibili su differenti dispositivi, app, servizi cloud e on-premises.
L’obiettivo era quello di fornire un approccio coerente per ritrovamento, classificazione, etichettatura e protezione dei dati sensibili.
Oggi siamo felici di annunciarvi la general availability delle sensitivity labeling o etichette di riservatezza costruite appositamente per le app di Office, siano esse utilizzate su Mac, iOS ed Android.

Le app che ora supportano le etichette di riservatezza per gli utenti finali, sono le seguenti:
Office per Mac: Word, PowerPoint, Excel & Outlook
Office mobile apps per iOS: Word, PowerPoint & Excel (Outlook è in arrivo)
Office mobile apps per Android: Word, PowerPoint & Excel (Outlook è in arrivo)

Con queste nuove funzionalità, gli utenti possono facilmente applicare le etichette di riservatezza definite dalla vostra azienda.
L’esperienza è costruita direttamente nelle app di Office: non avrete bisogno di plugin o add-on particolari. L’aspetto è lo stesso della conosciuta e famigliare esperienza di Office, il che la rende ancora più semplice da utilizzare per gli utenti.

Grazie alle etichette di riservatezza, non solo riuscirete a proteggere le informazioni riservate dell’azienda ma avrete un prezioso aiutante per tutto ciò che riguarda gli obblighi in materia di compliance, come il GDPR.
Supponiamo che un collega del reparto HR stia lavorando su un excel che contiene informazioni personali, quali gli indirizzi email dei dipendenti. Sapendo che queste informazioni dovrebbero essere protette e mantenute private, l’utente può selezionare l’etichetta di riservatezza “Confidential-PII” direttamente dal foglio excel. Quella stessa etichetta applicherà le appropriate impostazioni di protezione a seconda di quanto configurato a livello aziendale.

Esperienza utente semplice e coerente
Gli screenshot qui sotto illustrano la user experience delle app di Office per Mac.
Il menù a tendina Sensitivity semplifica la visualizzazione delle etichette disponibili e la selezione dell’opzione appropriata.
L’esperienza è simile tra Word, PowerPoint, Excel ed Outlook.

Nuove funzioni di etichettatura sulle app di Office, ti aiutano a proteggere le informazioni sensibili
Come applicare le etichette di riservatezza sulle app di Office per Mac. Potete scegliere fra encryption, rights restrictions e visual markings, a seconda delle vostre policy label

Per le mobile app di Office, è disponibile il medesimo set di etichette di riservatezza.
Non importa quale dispositivo o piattaforma stiate utilizzando: l’esperienza è la stessa.

Nuove funzioni di etichettatura sulle app di Office, ti aiutano a proteggere le informazioni sensibili
Applica in maniera semplice le etichette di riservatezza sulle app mobili di Office per iOS

Nuove funzioni di etichettatura sulle app di Office, ti aiutano a proteggere le informazioni sensibili
…e per le app mobili di Office per Android

Una volta applicata un’etichetta di riservatezza su un documento o email, l’etichetta rimarrà su quel file anche se verrà spostato in un’altra destinazione, su un altro dispositivo, app o servizio cloud. La vostra azienda ha tutta la flessibilità di customizzare le policy per applicare differenti azioni a seconda dell’etichetta selezionata, inclusa crittografia, accesso limitato al file o applicazione di marcature visive al documento (su intestazione/piè di pagina o filigrane che indicano che il file è confidenziale o contiene informazioni sensibili).

Nuove funzioni di etichettatura sulle app di Office, ti aiutano a proteggere le informazioni sensibili
Un’email identificata come “Highly Confidential” su Outlook per Mac, viene crittografata e le vengono applicati intestazione e piè pagina

Gli amministratori possono inoltre richiedere agli utenti di fornire una giustificazione se passano ad un livello di etichette di riservatezza inferiore rispetto a quello precedentemente applicato. Per esempio, se cambiano un’etichettatura da “Confidential” a “General”. Questo può essere utile per avere utenti responsabili e mantenere un audit trail.
Potete inoltre specificare se un’etichettatura di default debba essere applicata a nuovi documenti/email. Per esempio, potete impostare un’etichettatura di default di tipo “General Business” e, successivamente, gli utenti finali possono applicarne una differente a seconda del contenuto che stanno editando.

Nuove funzioni di etichettatura sulle app di Office, ti aiutano a proteggere le informazioni sensibili
Agli utenti finali può venir chiesto di fornire una giustificazione quando retrocedono ad un più basso livello di etichetta

Le etichette di documenti ed email possono anche essere “lette” da altre app e servizi.
Ad esempio, se un documento di tipo “Highly Confidential” si trova su un dispositivo Windows, Windows Information Protection e Windows Defender ATP possono lavorare assieme per bloccare all’utente la possibilità di copiare o condividere il contenuto di quel documento su altre destinazioni di quel dispositivo quali account di email personali o account social.

Come iniziare e passaggi successivi
Per iniziare ad utilizzare queste nuove esperienze di etichetta, dovete configurarle all’interno dell’Office 365 Security & Compliance Center.
Una volta configurate, le etichette diventano disponibili nelle applicazioni di Office supportate. Se la vostra azienda le ha configurate nel portale di Azure per Azure Information Protection, dovrete prima di tutto migrarle nel Security & Compliance Center, e poi potrete usarle dalle app aggiornate di Office.
Trovate maggiori informazioni e i passaggi per la migrazione a questo articolo:
How to migrate Azure Information Protection labels to the Office 365 Security & Compliance Center.

Per saperne di più, vi rimandiamo alla documentazione ufficiale che vi fornisce maggiori informazioni sulle app supportate e sui numeri di versione.
I clienti Office 365 hanno già accesso alle app di Office aggiornate grazie all’update di gennaio.

Questo è solo l’inizio: nei prossimi mesi, Microsoft estenderà le etichette di riservatezza ad ulteriori piattaforme e app di Office. Tra queste: Outlook per iOS ed Android, Outlook on the web, app di Office su Windows e app di Office Online.
A questo link, la roadmpad di Microsoft 365 per le ultimissime informazioni.

Potete rilasciare i vostri feedback, commenti, idee ed opinioni su quest’ultima caratteristiche, all’interno della UserVoice.

ATTENZIONE: Meltdown e Spectre rivelano le falle di sicurezza dei processori di tutti i sistemi operativi

Meltdown e Spectre: sono questi i nomi dati a difetti di progettazione e di funzionamento presenti in buona parte dei processori fabbricati dal 1995 in poi.
Queste vulnerabilità interessano molte CPU, Meltdown è un difetto dei processori della Intel mentre Spectre tocca non solo i processori di Intel ma anche quelli di AMD (Ryzen) e Arm usati sugli smartphone.
Queste falle nei sistemi sono in grado di rubare dati e contenuto processato sui vostri pc.
Permettono ad esempio, ad una pagina Web o a un’app ostile di rubare password, chiavi crittografiche, Bitcoin e altre criptovalute, mail, foto, documenti o altri dati o di eseguire istruzioni a suo piacimento sul vostro dispositivo. Meltdown e Spectre funzionano su PC, dispositivi mobili e nel cloud.
Questi difetti hanno una caratteristica comune: entrambi risiedono nelle funzioni di speculative execution dei processori e intaccano le barriere protettive fondamentali che isolano un processo da un altro (per esempio un’app da un’altra). Normalmente un’app non può spiare i dati usati da un’altra app, ma con Meltdown e Spectre questo isolamento cade.

Qui sotto vedete Meltodown in azione:

Google spiega che un suo ricercatore, Jann Horn, ha dimostrato che malitenzionati possono sfruttare la speculative execution per leggere la memoria di sistema, che di base dovrebbe rimanere inaccessibile. “Per esempio un soggetto non autorizzato potrebbe leggere dati sensibili nella memoria di sistema come password, chiavi crittografiche o informazioni sensibili nei software aperti.
Google assicura che non appena appreso di questa nuova classe di attacco si è mobilitata per difendere i propri sistemi e i dati degli utenti. “Abbiamo aggiornato i nostri sistemi e i prodotti interessati per proteggerci. […] Abbiamo anche collaborato con i produttori di hardware e software nell’industria per aiutarli a proteggere i loro utenti e il web in generale. Questi sforzi hanno incluso un’analisi collaborativa e lo sviluppo di nuove tecniche di mitigazione”.

Cosa fare per mettersi al sicuro?
Microsoft ha dichiarato:
“Siamo a conoscenza del problema su scala industriale e stiamo lavorando a stretto contatto con i produttori di chip per sviluppare e testare soluzioni per proteggere i nostri clienti. Stiamo per installare soluzioni di mitigazione nei servizi cloud e abbiamo pubblicato anche aggiornamenti di sicurezza per proteggere gli utenti Windows dalle vulnerabilità che coinvolgono i chip di Intel, ARM e AMD. Non abbiamo ricevuto alcuna evidenza che indichi che queste vulnerabilità siano state usate per attaccare i nostri clienti”.

Microsoft ha già pubblicato un fix per Windows 10 e Windows Server 2016
—> (KB4056892)
: aggiornamento di sicurezza d’emergenza che si occupa proprio di intervenire sulle falle. L’aggiornamento può essere installato da Windows Update sul proprio computer, ma dovrebbe comunque essere installato al primo riavvio, se è attiva l’opzione per gli aggiornamenti automatici. Con alcune tipologie di processori Intel, l’aggiornamento potrebbe portare a un rallentamento del sistema. Arriveranno fix anche per le vecchie versioni di Windows (7 e 8), ma solo martedì.

Apple ha già pubblicato un update per l’ultimo macOS (10.13.2, ma sono previsti ulteriori modifiche con il 10.13.3) e anche il kernel Linux sta ricevendo i correttivi necessari.

AMD ha invece dichiarato:
“Ci sono molte speculazioni su un potenziale problema di sicurezza legato ai microprocessori moderni e alla speculative execution. Come solitamente facciamo quando un potenziale problema di sicurezza viene identificato, AMD sta lavorando sul proprio ecosistema per verificare e rispondere all’attacco identificato e assicurarsi che i propri utenti siano protetti”.

AMD su Meldown e Spectre

“Il team di ricercatori di sicurezza ha identificato tre varianti che colpiscono la speculative execution. Il pericolo e la risposta alle tre varianti differisce dall’azienda di microprocessori, e AMD non è soggetta a tutte e tre le varianti. A causa delle differenze dell’architettura AMD, crediamo che ci sia un rischio pari quasi a zero per i processori AMD in questo momento”.

La terza parte chiamata in causa è ARM, queste le sue parole:
“ARM sta lavorando con Intel e AMD per risolvere un metodo di analisi side-channel che sfrutta le tecniche di speculative execution usate in determinati processori di fascia alta, inclusi alcuni nostri Cortex-A. Questo metodo richiede che il malware giri localmente e potrebbe causare l’accesso ai dati da memoria privilegiata. I nostri Cortex-M, che sono diffusi nei dispositivi IoT connessi a basso consumo, non sono interessati dal problema”.

Ogni processore Intel che implementa l’esecuzione out-of-order è potenzialmente affetto dal problema, il che vuol dire ogni processore dal 1995 – salvo Intel Itanium e Intel Atom prima del 2013. Meltdown è stato testato con successo sulle generazioni di chip Intel distribuite dal 2011. Al momento non è chiaro se i processori ARM e AMD siano affetti da Meltdown.

Per quanto riguarda Spectre, quasi tutti i prodotti hardware al mondo sono colpiti dal problema: desktop, portatili, server e smartphone. Tutti i processori moderni in grado di mantenere molte istruzioni in volo sono potenzialmente vulnerabili.

Raccomandiamo perciò a tutti di aggiornare immediatamente i propri sistemi operativi!!

FAQ
Sono potenzialmente affetto dal bug?
Quasi sicuramente sì.

Posso individuare se qualcuno ha utilizzato Meltdown o Spectre contro di me?
Probabilmente no. Lo sfruttamento delle falle dei processori non lascia alcuna traccia nei tradizionali log files.

Il mio antivirus è in grado di identificare o bloccare l’attacco?
Beh, in teoria è possibile, in pratica è difficile che accada. Diversamente dai soliti malware Meltdown and Spectre sono difficili da distinguere dalle normali applicazioni.

Cosa può venir rivelato?
Se il vostro sistema è stato attaccato, il malware potrà leggere il contenuto in memoria nel vostro computer. Questo contenuto può includere password e dati sensibili conservati sul sistema.

Esiste un rimedio?
Attualmente ci sono patches contro Meltdown for Linux ( KPTI o KAISER), Windows, e OS X. Sono tutti al lavoro per fortificare i sistemi nei confronti di futuri attacchi di Spectre.

Quali sistemi possono essere attaccati da Meltdown?
Desktop, Laptop, e Cloud computers e, in particolare, qualsiasi processore che implementa l’esecuzione out-of-order è potenzialmente affetto dal problema, il che vuol dire ogni processore dal 1995 – salvo Intel Itanium e Intel Atom prima del 2013. Meltdown è stato testato con successo sulle generazioni di chip Intel distribuite dal 2011. Attualmente Meltdown è stato verificato solo sui processori Intel. Al momento non è chiaro se i processori ARM e AMD siano affetti da Meltdown”.

Quali provider cloud possono essere attaccati da Meltdown?
Tutti i cloud provider che utilizzano Intel CPUs and Xen PV come virtualizzazione che non hanno attivato la patche. Sono inoltre colpiti i cloud provider senza un hardware di virtualizzazione che si appoggiano su container che condividono kernel, come Docker, LXC, o OpenVZ.

Qual è la differenza tra Meltdown e Spectre?
Meltdown rompe il fondamentale meccanismo che separa le applicazioni utente dal sistema operativo. In questo modo, un programma di accedere alla memoria di altri programmi e del sistema.
Spectre rompe invece l’isolamento fra diverse applicazioni.
Entrambi gli attacchi utilizzano canali laterali per ottenere informazioni dalla memoria del sistema.
Both attacks use side channels to obtain the information from the accessed memory location. For a more technical discussion we refer to the papers ( Meltdown and Spectre)

Cosa sono CVE-2017-5753 e CVE-2017-5715?
Sono i modi ufficiali con cui ci si riferisce a Spectre.

Cos’è CVE-2017-5754?
È la nomenclatura ufficiale con cui ci si riferisce a Meltdown.