Votes taken by keysersoze86

Un nuovo attacco informatico mette a rischio 300 mila sistemi online

Un gruppo di ricercatori del CISPA Helmholtz Center for Information Security in Germania hanno scoperto un nuovo tipo di attacco informatico che prende di mira gli applicativi che sfruttano il protocollo UDP (User Datagram Protocol) per la comunicazione e ha il potenziale per colpire centinaia di migliaia di sistemi connessi a internet, dato che la vulnerabilità sfruttata è presente nell'hardware di aziende tra cui Broadcom, Microsoft e MikroTik. Questo attacco, denominato Loop DoS, ha la capacità di far comunicare due server all'infinito utilizzando lo spoofing dell'IP, con conseguenze devastanti in termini di disponibilità dei servizi.

Il protocollo UDP è una componente cruciale dell'insieme dei protocolli Internet. Consente l'invio di pacchetti di dati attraverso la rete senza aver bisogno di stabilire una connessione diretta tra mittente e destinatario, una caratteristica che lo rende particolarmente vulnerabile agli attacchi di spoofing, dove un aggressore può falsificare i pacchetti con l'indirizzo IP della vittima, indirizzandoli verso server che risponderanno a questa, creando traffico indesiderato.

La metodologia dell'attacco è sorprendentemente semplice, ma efficace: un malintenzionato può far comunicare due server di applicazioni, che utilizzano una versione vulnerabile del protocollo, usando un indirizzo "spoofato", ossia contraffato. Questi server, a seguito di un errore, iniziano a inviarsi reciprocamente messaggi di errore in un ciclo senza fine, esaurendo le proprie risorse.

L'attacco non si limita a danneggiare i servizi che utilizzano protocolli UDP vecchi e ormai obsoleti come QOTD, Chargen, Echo, ma colpisce anche protocolli moderni e ampiamente diffusi come DNS, NTP e TFTP, aumentando significativamente il suo impatto potenziale.

Il professore Dr. Christian Rossow, co-autore dello studio, illustra un esempio particolarmente eloquente: gli attaccanti potrebbero sfruttare una vulnerabilità coinvolgendo due server TFTP difettosi, inducendoli a inviarsi reciprocamente messaggi di errore TFTP, generando uno stress sia sui server coinvolti che sui collegamenti di rete tra di loro.

Nello studio si sottolinea anche che i cicli rilevati a livello applicativo sono diversi da quelli osservabili a livello di rete, rendendo inutili i controlli sulla durata del pacchetto attualmente impiegati per prevenire loop a livello di rete.

Sebbene siano stati identificati circa 300.000 host vulnerabili a questi attacchi, fino ad ora non si ha notizia di attacchi di questo tipo avvenuti nel mondo reale. Tuttavia, è stata pubblicata una lista parziale (QUI) di prodotti hardware potenzialmente interessati e i ricercatori sono in contatto con i fornitori per verificare l'impatto sui loro prodotti. Tra i marchi che potrebbero essere interessati troviamo Arris, Cisco, D-Link, Honeywell, e altri, con specifiche vulnerabilità già assegnate come CVE-2024-1309 (QUI) per Honeywell.

Fonte: tomshw

GhostRace: la vulnerabilità che mette in pericolo tutte le CPU moderne

Un team di ricercatori di IBM e VU Amsterdam ha scoperto una nuova vulnerabilità che minaccia tutti i processori moderni, dato che colpisce tutte le principarli architetture (Arm compresa): si chiama GhostRace e si tratta di un attacco di esecuzione speculativa che, com’è facile immaginare, ha sollevato parecchia preoccupazione.

GhostRace, che ricade nella stessa categoria di Spectre e Meltdown, consente di accedere a dati sensibili, come password e informazioni confidenziali. La vulnerabilità sfrutta le “condizioni di gara”, un fenomeno che si verifica quando thread separati cercano di accedere a risorse condivise in modo non sincronizzato e creano così una grave falla di sicurezza. L’esecuzione speculativa è fondamentale sulle CPU moderne, ma come abbiamo visto anche in passato, può creare non pochi problemi di sicurezza.

I ricercatori hanno ovviamente informato del problema i principali produttori e gli sviluppatori del kernel Linux, prima di rendere pubblica la vulnerabilità. Sulla carta, il preavviso avrebbe dovuto permettere ai produttori di sviluppare una patch correttiva, ma non sembra essere stato così: un primo tentativo di risolvere il problema è stato fatto nel kernel Linux, ma sebbene sembri promettete, non risolve del tutto la vulnerabilità; inoltre, sembra che ci sia anche un impatto sulle prestazioni, che calano del 5% circa. Gli sviluppatori sembrano non voler rilasciare una patch che incida troppo sulle performance, quindi si stanno prendendo tutto il tempo necessario per crearne una che funzioni a dovere, senza peggiorarle.

AMD sostiene che le patch per Spectre v1 si applicano anche a GhostRace, motivo per cui non sembra intenzionata a rilasciare patch dedicate, almeno per il momento. Nel documento condiviso dai ricercatori (QUI) non vengono menzionate soluzioni correttive da parte degli altri produttori, ma è probabile che si tratti solo di una questione di tempo prima che vengano rilasciate le varie patch, specialmente se, come affermato da AMD, si possono arginare gli exploit di GhostRace con le stesse tecniche usate per Spectre v1.

Fonte: tomshw

Se usi ChatGPT gli hacker ti possono spiare nonostante la crittografia

Un nuovo attacco informatico sta mettendo a rischio la privacy delle chat private gestite dagli assistenti AI, anche se queste sono crittografate. Gli assistenti AI, disponibili da poco più di un anno, stanno rapidamente diventando una parte integrante delle nostre vite, offrendo risposte e assistenza su argomenti sensibili come la gravidanza, i problemi legali e persino la salute mentale.

Tuttavia, alcuni ricercatori hanno scoperto un grave problema di sicurezza che compromette la riservatezza di queste conversazioni.

La tecnica utilizzata dagli hacker sfrutta un canale secondario presente nella maggior parte degli assistenti AI, con l'eccezione di Google Gemini. Attraverso l'utilizzo di modelli linguistici avanzati, gli aggressori possono decifrare le risposte degli assistenti AI con una precisione sorprendente.

Questo significa che anche se le conversazioni sono crittografate, un hacker che si trova in una posizione di intercettazione passiva può dedurre il contenuto delle risposte con una precisione notevole.

Yisroel Mirsky, capo del Offensive AI Research Lab presso la Ben-Gurion University in Israele, ha avvertito che attualmente chiunque può leggere le chat private inviate da servizi come ChatGPT e altri, compromettendo gravemente la privacy degli utenti.

Anche se OpenAI crittografa il traffico per prevenire tali attacchi, la ricerca ha dimostrato che il modo in cui viene utilizzata la crittografia è difettoso, esponendo il contenuto delle conversazioni.

Questo problema riguarda non solo OpenAI, ma anche altri grandi chatbot, come Microsoft Copilot. Gli hacker possono dedurre il contenuto delle risposte crittografate con un alto grado di accuratezza, compromettendo la sicurezza delle conversazioni su argomenti sensibili.

L'attacco sfrutta un canale secondario di sequenza di token, che si trova nei token utilizzati dagli assistenti AI per trasmettere le risposte in tempo reale.

Sebbene la consegna dei token sia crittografata, la trasmissione in tempo reale, token per token, espone questo canale secondario, permettendo agli hacker di accedere alle conversazioni private degli utenti.

Questa scoperta solleva gravi preoccupazioni per la sicurezza e la privacy degli utenti degli assistenti AI. È urgente che vengano adottate misure per risolvere questa vulnerabilità e proteggere le conversazioni private da occhi indiscreti.

Fonte: tomshw

Microsoft: i russi ci hanno bucato e ci hanno rubato il codice sorgente

Microsoft, una delle più grandi aziende tecnologiche al mondo, ha subito un attacco informatico particolarmente grave. I criminali, che si ritiene siano sostenuti dallo stato russo, sono riusciti a violare la rete aziendale di Microsoft e ad accedere al codice sorgente.

Non è chiaro di quale codice si tratti in particolare, ma che sia Windows, Office, Azure o qualunque altra cosa il problema è lo stesso: avere accesso a questo codice offre agli hacker la possibilità di studiare in dettaglio il funzionamento del software, potenzialmente scoprendo vulnerabilità non note che possono essere poi sfruttate in futuri attacchi.

Secondo le informazioni disponibili, Microsoft ha rivelato per la prima volta la violazione a gennaio, pochi giorni prima che un'altra grande azienda tecnologica, Hewlett Packard Enterprise, dichiarasse che gli stessi hacker avevano violato i suoi sistemi di posta elettronica basati sul cloud. L'entità esatta e lo scopo preciso dell'attività di hacking non sono chiari, ma gli esperti affermano che il gruppo responsabile ha una storia di campagne di raccolta di informazioni di vasta portata riconducibile al Cremlino.

Microsoft sta lavorando per rafforzare ulteriormente le sue misure di sicurezza. L'azienda sta anche collaborando con le autorità competenti per indagare sull'incidente e cercare di prevenire futuri attacchi.

Questo incidente dimostra che anche le aziende più moderne e ben protette possono essere vulnerabili, sottolineando l’importanza di un impegno costante e proattivo nella protezione dei dati e delle infrastrutture digitali. Insomma, non puoi stare tranquillo nemmeno se ti chiami Microsoft.

Fonte: tomshw

Windows 11 non partirà su CPU molto vecchie e il blocco non sarà aggirabile

Windows 11 presto non si avvierà più su sistemi obsoleti che finora, anche se con qualche tentennamento, erano comunque in grado di far girare il sistema operativo. La prossima versione 24H2, prevista per fine anno, bloccherà infatti l'avvio su tutti i computer che non dispongono dell'istruzione POPCNT, risalenti all'incirca a più di 15 anni fa.

POPCNT, abbreviazione di "Population Count", è una funzionalità che consente di contare rapidamente il numero di bit uguali a 1 in una rappresentazione binaria, ed è stata implementata nelle CPU a partire dal 2007 circa. Divenendo un requisito minimo di Windows 11, tutti i PC che non utilizzano processori con l'istruzione non dovrebbero riuscire ad avviare l'OS. AMD ha introdotto l'istruzione POPCNT con l'architettura Barcelona, mentre Intel lo ha fatto più tardi con i processori Nehalem.

Si tratta di piattaforme molto vecchie e raramente impiegate su sistemi ancora oggi in uso, con i PC interessati da questo cambiamento che dovrebbero rappresentare una quota irrisoria rispetto al totale. Tutti i computer più recenti, anche quelli formalmente non supportati da Windows 11 (come macchine con Intel di 7a generazione o AMD Ryzen di prima generazione), dovrebbero poter continuare a poter eseguire il nuovo sistema operativo attraverso metodi non ufficiali, come avvenuto fino ad oggi con le precedenti versioni.

Windows 11 24H2 dovrebbe essere il primo basato sulla nuova piattaforma Germanium, che dovrebbe fare uso in maniera più massiccia dell'intelligenza artificiale per varie funzionalità di sistema e nuove esperienze utente. Ne sono state avvistate alcune già nelle versioni di anteprima rilasciate agli utenti Insider: fra queste un upscaler video integrato nel sistema operativo e un dettatore vocale dei testi che fa uso della voce dello stesso utente.

Fonte: hwupgrade

Microsoft vittima di attacco informatico, sistemi violati e mail rubate

Microsoft ha reso noto venerdì scorso che alcuni dei suoi account email aziendali sono stati violati e i dati sono stati rubati da un gruppo di hacker noto come Midnight Blizzard, sponsorizzato dallo stato russo.

L'attacco è stato scoperto il 12 gennaio scorso, e l'indagine di Microsoft ha identificato i cyber-criminali come il gruppo russo noto come Nobelium o APT29.

L'azienda ha dichiarato che i cyber-criminali hanno violato i loro sistemi nel novembre 2023, utilizzando una tecnica nota come "password spray", un tipo di attacco brute force.

Questo attacco coinvolge la raccolta di una lista di possibili nomi di accesso e successivi tentativi di accesso con una particolare password. Nel caso specifico, gli hacker hanno sfruttato un account di test che non era protetto con l'autenticazione a due fattori (2FA), o l'autenticazione multifattore (MFA), non rispettando quindi le best practices di sicurezza consigliate da Microsoft.

Dopo aver ottenuto l'accesso all'account di test, i cyber-criminali hanno potuto accedere a una "piccola percentuale" degli account email aziendali di Microsoft per oltre un mese.

Tra gli account violati ci sono quelli di membri del team di leadership di Microsoft e dipendenti nei dipartimenti di sicurezza informatica e legale. Gli hacker hanno rubato email e allegati, ma l'indagine indica che inizialmente stavano cercando informazioni legate proprio al gruppo Midnight Blizzard (un altro dei nomi di Nobelium).

Microsoft sottolinea che la violazione non è stata causata da una vulnerabilità nei loro prodotti e servizi, ma da un attacco di forza bruta alle password degli account. L'azienda sta ancora indagando sulla violazione e condividerà ulteriori dettagli se appropriato. In una comunicazione con la SEC, Microsoft ha affermato che la violazione non ha avuto un impatto materiale sulle sue operazioni aziendali.

Nobelium, noto anche come Midnight Blizzard, APT29 e Cozy Bear, è un gruppo di hacker (o meglio di cyber-criminali viste le metodologie utilizzate) sponsorizzato dallo stato russo e associato al Servizio di Intelligence Estera della Russia (SVR).

Il gruppo è stato collegato a vari attacchi nel corso degli anni, tra cui quello della catena di approvvigionamento SolarWinds del 2020, che colpì anche Microsoft. Questo episodio segue una serie di attacchi informatici contro organizzazioni di alto profilo da parte di gruppi di hacking sponsorizzati ufficialmente da alcune nazioni.

Fonte: tomshw

Addio alle ultime GeForce GTX: NVIDIA si prepara a pensionare le GeForce GTX serie 16

Stando a indiscrezioni provenienti dal forum cinese Board Channel (via Videocardz), NVIDIA avrebbe deciso di interrompere la produzione dell'intera gamma di GPU GeForce GTX della serie 16 entro il primo trimestre del 2024. La casa di Santa Clara avrebbe già avvertito i partner AIB, chiudendo di fatto l'era delle soluzioni GeForce GTX.

I modelli GeForce GTX 1660 SUPER, 1660 Ti, 1660, 1650 Ti, 1650 SUPER e 1630 si apprestano quindi ad abbandonare progressivamente il mercato, lasciando alla GeForce RTX 3050 8 GB lo scettro di scheda NVIDIA meno potente sul mercato.

La famiglia GeForce GTX 1600, lo ricordiamo, si basa sulla stessa architettura Turing delle GeForce RTX 2000, ma manca di unità RT e Tensor core per accelerare ray tracing e DLSS. Il ray tracing può essere abilitato via software, ma le prestazioni crollano.

I partner AIB di NVIDIA continueranno a vendere le schede fino a esaurimento scorte. Non è da escludersi qualche bella offerta per velocizzare l'uscita di scena.

In ogni caso, la fascia entry level appare piuttosto più spoglia, con schede sempre più vecchie e poco performanti, prive delle funzionalità moderne che i giocatori richiedono. Sembra che il mercato sia sempre più polarizzato tra le iGPU (la cui potenza cresce) e le GPU dedicate, quest'ultime difficilmente rintracciabili con buone prestazioni e funzionalità al di sotto dei 250-300€.

Fonte: hwupgrade

BLUFFS, l'attacco per intercettare trasmissioni Bluetooth: coinvolge miliardi di dispositivi

BLUFFS è il nome dato collettivamente a sei nuove tipologie di attacco che possono compromettere la riservatezza delle sessioni Bluetooth, intercettando le trasmissioni e consentendo l'impersonificazione dei dispositivi: tutti presupposti sufficienti a consentire l'attuazione di pericolosi attacchi Man-in-the-Middle.

I problemi sfruttano due vulnerabilità finora sconosciute nello standard Bluetooth relative alla derivazione delle chiavi di sessione per decriptare i dati scambiati. Le falle sono state individuate da Daniele Antonioli, ricercatore presso Eurecom, che sottolinea come BLUFFS punta alla violazione della segretezza forward e future (passate e future) delle sessioni Bluetooth, compromettendo la riservatezza delle comunicazioni tra i dispositivi.

Questo è possibile sfruttando quattro falle nel processo di derivazione delle chiavi di sessione, due delle quali inedite, così da poter forzare una chiave debole e facilmente prevedibile che può essere individuata tramite un attacco brute force così da decifrare comunicazioni precedenti o manipolare quelle future. L'attacco può essere condotto nel momento in cui l'aggressore si trova nel raggio d'azione utile dei due bersagli, impersonificandosi come uno di essi per negoziare una chiave sessione debole con l'altro.

Antonioli propone sei tipologie di attacchi che riescono ad avere successo indipendentemente dal supporto alle funzionalità Secure Connections (SC) o Legacy Secure Connections (LSC), pubblicando su GitHub un toolkit dimostrativo a conferma dell'efficacia delle tecniche. Per mitigare BLUFFS o attacchi simili, viene proposta l'introduzione retrocompatibile di quattro modifiche: una nuova Key Derivation Function per LSC basata su mutual nonce exchange e verifica, autenticazione dei key diversifier mediante chiave di abbinamento condivisa, applicazione ove possibile della modalità SC, cache dei diversifier di sessione per prevenire il loro riutilizzo.

E' bene considerare che si tratta di falle a carico dell'artchitettura Bluetooth e non dipendenti da hardware o software specifico e pertanto hanno un impatto sulla tecnologia a livello delle sue fondamenta.

Le vulnerabilità, tracciate con il codice CVE-2023-24023, interessano le versioni del Bluetooth Core dalla 4.2 alla 5.4: si tratta di una finestra temporale che va da dicembre 2014 a febbraio 2023. Considerando quanto la tecnologia Bluetooth sia diffusa nei dispositivi elettronici di oggi e l'ampiezza delle versioni vulnerabili, BLUFFS potrebbe interessare potenzialmente miliardi di dispositivi tra smartphone, sistemi portatili e dispositivi IoT in genere.

Il Bluetooth Special Interest Group, l'organizzazione no-profit che si occupa di sviluppare e gestire le licenze dello standard Bluetooth, ha ricevuto il report di Eurecom riconoscendo il problema e rilasciando un'indicazione ufficiale, suggerendo implementazioni che rifiutino connessioni a livello di servizio su un collegamento crittografato con una chiave di forza inferiore a 7 ottetti e inferiore a 16 ottetti per quelle implementazioni che possono utilizzare sempre la Security Mode 4 Level 4. Viene inoltre sottolineato che forzare entrambi i dispositivi ad usare la modalità "Only Secure Connections" permetterà di ottenere una chiave di forza sufficiente a protezione delle trasmissioni.

Fonte: hwupgrade

AMD, la vulnerabilità CacheWarp colpisce i processori per server

AMD, e ricercatori dell'Università di Graz, hanno identificato una vulnerabilità nei processori AMD denominata CacheWarp o CVE-2023-20592 (tramite ComputerBase).

Questo exploit sfrutta una caratteristica di sicurezza presente nei processori server EPYC, concepita per renderli resistenti agli attacchi. Coinvolge i processori EPYC di prima, seconda e terza generazione (Naples, Rome e Milan), ma AMD, al momento, ha rilasciato solo un aggiornamento per i chip Milan di terza generazione.

La Secure Encrypted Virtualization (SEV) è una funzionalità esclusiva dei processori EPYC che crittografa la memoria di ogni macchina virtuale per migliorarne la sicurezza.

Ironia della sorte, SEV è proprio ciò che rende possibile la vulnerabilità CacheWarp e mette a rischio i processori EPYC. CacheWarp, difatti, non richiede l'accesso fisico al PC, a differenza dei precedenti sfruttamenti della SEV.

L'exploit CacheWarp si attiva svuotando la cache della CPU tramite l'istruzione INVD, lasciando i dati obsoleti nella RAM.

La cosa cruciale che la CPU legge è il valore per l'autenticazione, che deve essere 0 per autenticarsi con successo. In teoria, inserendo la chiave di accesso corretta si dovrebbe ottenere il valore 0, ma si scopre che il valore iniziale è anche 0, il che rende il riportare effettivamente la CPU indietro nel tempo un grosso vuoto di sicurezza.

Sebbene questo exploit colpisca i processori EPYC di prima, seconda e terza generazione, solo i chip Milan di terza generazione stanno ricevendo un nuovo microcodice con la vulnerabilità CacheWarp risolta.

In una dichiarazione a Computerbase, AMD ha sostenuto che non è necessaria una patch per i processori di prima e seconda generazione poiché "le funzionalità SEV e SEV-ES non sono pensate per la protezione".

A differenza di molte altre patch, AMD afferma che non ci dovrebbero essere impatti sulle prestazioni in seguito all'aggiornamento, in quanto CacheWarp non dipende dall'esecuzione speculativa come Spectre, il quale è stato patchato a discapito delle prestazioni.

Fonte: tomshw

Reptar è una nuova vulnerabilità delle CPU Intel recenti, correte ad aggiornare

Reptar è una nuova vulnerabilità che colpisce le recenti CPU Intel Alder Lake, Raptor Lake e Sapphire Rapids, consentendo ai malintenzionati di ottenere privilegi di amministratore, accedere a informazioni sensibili, o innescare un denial of service. La falla è stata identificata come CVE-2023-23583 (QUI) e Intel ha già rilasciato una patch correttiva, quindi è fondamentale aggiornare i propri sistemi per rimanere protetti.

L’azienda ha dichiarato che "In determinate condizioni microarchitetturali, Intel ha identificato casi in cui l'esecuzione di un'istruzione (REP MOVSB) codificata con un prefisso REX ridondante può provocare un comportamento di sistema imprevedibile che si traduce in un crash/arresto del sistema o, in alcune situazioni limitate, può consentire l'escalation dei privilegi (EoP) da CPL3 a CPL0.”

La buona notizia è che, stando a Intel, è improbabile che il problema si verifichi con software del mondo reale non danno. “I prefissi REX ridondanti non dovrebbero essere presenti nel codice né generati dai compilatori. Lo sfruttamento dannoso di questo problema richiede l'esecuzione di codice arbitrario. Intel ha identificato il potenziale per l'escalation dei privilegi in situazioni limitate come parte della nostra validazione interna della sicurezza in un ambiente di laboratorio Intel controllato."

L’aggiornamento del microcode è stato rilasciato da qualche tempo, quindi i sistemi aggiornati dovrebbero essere già al sicuro; vi consigliamo comunque di verificare la presenza di aggiornamenti del sistema operativo (compresi quelli facoltativi) e del BIOS e di installarli, se presenti. L’altra buona notizia è che la patch non impatta sulle prestazioni.

Tavis Ormandy, ricercatore di vulnerabilità presso Google, ha svelato che la vulnerabilità è stata scoperta anche indipendentemente da diversi team di ricerca all’interno di Google e che è stata la squadra di SilliFuzz a battezzarla “Reptar”. Stando alle parole di Phil Venables, VP e CISO di Google Cloud, la vulnerabilità è legata a "come i prefissi ridondanti sono interpretati dalla CPU, il che porta a eludere i confini di sicurezza della CPU se sfruttata con successo."

"Abbiamo osservato comportamenti molto strani durante i test. Ad esempio, branch a posizioni inaspettate, branch incondizionati che vengono ignorati e il processore non registra più accuratamente il puntatore dell'istruzione in istruzioni xsave o call," ha detto Ormandy. "Questo sembrava già indicativo di un problema serio, ma nel giro di pochi giorni di sperimentazione abbiamo scoperto che quando più core attivavano lo stesso bug, il processore iniziava a segnalare eccezioni di verifica della macchina e si arrestava."

Fonte: tomshw

Downfall, Intel sapeva della falla da 5 anni? Acquirenti delle CPU le fanno causa

Da quando il mondo delle CPU ha scoperto gli attacchi side-channel all'esecuzione speculativa con Spectre e Meltdown nel 2018, di tanto in tanto emergono nuove varianti messe a punto da ricercatori che aggirano le contromisure implementate.

È il caso di Downfall (QUI), attacco sviluppato da Daniel Moghimi (Senior Research Scientist di Google) che prende di mira l'istruzione Gather, legata ad AVX, emerso nello scorso mese di agosto e che colpisce i processori Intel dal 2015 al 2019, ovvero dai Core di 6a generazione Skylake fino all'11a generazione Rocket Lake e Tiger Lake.

Ebbene, ad alcuni mesi di distanza Downfall torna all'onore delle cronache perché è al centro di una denuncia depositata contro Intel presso la corte federale di San Jose, California. La causa punta a diventare una vera e propria class action, ma non è detto che vi riesca.

Secondo i cinque depositari, Intel era a conoscenza del problema dal 2018 (nella documentazione ci sono presunte prove), ma non ha fatto nulla per risolverlo fino a quando l'attacco non è stato "riscoperto" nel 2022 (è stato reso pubblico a un anno di distanza). Intel avrebbe quindi lasciato le proprie CPU vulnerabili per 5 anni, continuando a vendere miliardi di chip non sicuri.

Stando alla denuncia, nel 2018 Intel avrebbe ricevuto due report separati riguardanti Downfall, o comunque un problema molto simile, ma scelse di sorvolare, forse impegnata a risolvere le più note e importanti falle Spectre e Meltdown quando invece avrebbe dovuto dedicarsi alla riprogettazione dell'architettura delle proprie CPU.

Nella denuncia si parla anche di come gli aggiornamenti al microcode rilasciati quest'anno da Intel abbiano rallentato le prestazioni della CPU fino al 50% in alcune "attività informatiche ordinarie".

I possessori delle CPU Intel colpite da Downfall sarebbero stati quindi esposti ad attacchi, per poi vedere le prestazioni delle loro CPU ridursi oltremodo, con una regressione importante rispetto al comportamento originale.

Non solo, secondo i depositari della causa, "Intel aveva implementato buffer segreti" legati alle istruzioni AVX senza rivelarne l'esistenza. Questi, insieme alla vulnerabilità Downfall, fungevano da backdoor nelle CPU e avrebbero potenzialmente consentito un malintenzionato di sfruttare le istruzioni AVX per ottenere facilmente informazioni sensibili in memoria.

Fonte: hwupgrade

Edited by keysersoze86 - 15/11/2023, 07:46

SSD esterni SanDisk guasti, un firmware non basta: il problema è hardware?

Negli ultimi tempi si sono verificati gravi problemi con gli SSD esterni SanDisk Extreme Portable e Extreme PRO Portable (in particolare il modello da 4 TB), colpiti da improvvise perdite di dati, fino a diventare in alcuni casi illeggibili.

Western Digital disse che avrebbe rilasciato un firmware per risolvere la situazione. Sulla vicenda è caduto il silenzio, se non che in questi giorni, una società austriaca specializzata nel recupero dati, Attingo, ha dichiarato che il problema è tutt'altro che aggirabile con un aggiornamento software, sarebbe infatti legato a difetti di progettazione e di produzione, ovvero tutto sarebbe riconducibile all'hardware.

Markus Häfele, CEO di Attingo, ha spiegato che i componenti usati in questi SSD sono troppo grandi per il PCB, cioè sporgono e hanno uno scarso contatto. Inoltre, la saldatura usata provoca bolle, forse perché realizzata male o per fattori come l'umidità e la temperatura. Tutto questo porterebbe prima a un funzionamento intermittente e poi al definitivo trapasso dell'SSD.

Häfele consiglia quindi a tutto coloro possiedono un SSD SanDisk incriminato e iniziano a osservare sporadici problemi di fare immediatamente copie di backup: recuperare i dati è un'operazione costosa, spesso a tre cifre, per cui se sull'SSD ci sono informazioni sensibili o sentimentalmente importanti meglio salvarle in più supporti o sul cloud.

La società austriaca afferma di ricevere SSD SanDisk Extreme PRO guasti almeno una volta alla settimana. Inoltre, ha notato che le unità più recenti presentano della resina epossidica per fissare i componenti critici, segno che in casa WD potrebbero aver compreso il difetto di progettazione. Secondo Attingo, Western Digital avrebbe dovuto ritirare gli SSD dal mercato e rimetterli in commercio solo dopo una revisione del progetto. Durante l'estate i consumatori statunitensi hanno avviato azioni legali collettive (class action) contro WD per inchiodarla alle sue responsabilità.

Fonte: hwupgrade

Connessioni SSH vittime di un nuovo attacco, chiavi crittografiche a rischio

In una recente scoperta (QUI), un gruppo di ricercatori ha scoperto una potenziale minaccia alla sicurezza delle chiavi crittografiche che proteggono i dati durante il traffico SSH (Secure Shell) da computer a server. Questa vulnerabilità espone al rischio di una completa compromissione quando si verificano errori di calcolo durante la creazione di una connessione tra un computer e un server.

I ricercatori, in un’indagine durata sette anni e analizzando quasi 200 chiavi SSH osservate in scansioni pubbliche su Internet, hanno evidenziato la suscettibilità di una parte significativa di queste chiavi crittografiche. Questa scoperta suggerisce che le chiavi utilizzate nelle connessioni IPsec, un protocollo utilizzato anche dalle VPN, potrebbero correre rischi simili.

La vulnerabilità si manifesta durante la fase di generazione delle firme nella configurazione della connessione e riguarda in particolare le chiavi che utilizzano l'algoritmo crittografico RSA. Circa un terzo delle firme SSH esaminate utilizzava questo algoritmo, per un totale di circa 1 miliardo su 3,2 miliardi di firme esaminate. In particolare, circa una firma RSA su un milione esponeva la chiave privata dell'host. Una percentuale molto bassa dunque, ma secondo i ricercatori è un rischio da prendere in considerazione.

L'aspetto sorprendente di questa scoperta risiede nel fatto che software SSH ampiamente utilizzati, tra cui il diffuso OpenSSH, hanno una contromisura per decenni, controllando i difetti delle firme prima di inviarle su Internet.

Ciò nonostante, è stato possibile per i ricercatori individuare la vulnerabilità; ma soprattutto sono riusciti a ricostruire un buon numero di chiavi private.

Finora i ricercatori ritenevano che i difetti di firma riguardassero solo le chiavi RSA del protocollo TLS (Transport Layer Security), che cripta le connessioni web e di posta elettronica, mentre si pensava che il traffico SSH fosse immune. Il che è interessante per TLS 1.3 (uscito nel 2018) già includeva ulteriori contromisure, crittografando i messaggi di handshake durante la negoziazione di sessioni web o e-mail, proteggendo dalla compromissione delle chiavi in caso di errori di calcolo. Keegan Ryan, un ricercatore coinvolto nello studio, ha suggerito che altri protocolli potrebbero necessitare di una protezione aggiuntiva simile.

I ricercatori sottolineano l'importanza di difendersi da questi errori a causa dell'enorme volume di traffico Internet. Sebbene le più diffuse implementazioni di SSH includano protezioni, lo studio ha rivelato che alcune implementazioni prive di tali protezioni sono ancora comuni.

Fonte: tomshw

Ciao QUA trovi il modo per contattarli

AMD ha scoperto 31 vulnerabilità nei suoi processori, aggiornamenti in arrivo

AMD ha identificato 31 vulnerabilità che interessano i suoi microprocessori, dagli EPYC ai Ryzen. Con due bollettini rilasciati la scorsa settimana (QUI e QUI), la società statunitense ha reso noto di aver risolto 28 vulnerabilità legate ai processori server EPYC.

"Durante una revisione della sicurezza in collaborazione con Google, Microsoft e Oracle sono state scoperte potenziali vulnerabilità in AMD Secure Processor (ASP), AMD System Management Unit (SMU), AMD Secure Encrypted Virtualization (SEV) e altri componenti della piattaforma che sono state mitigate con pacchetti AMD EPYC AGESA PI".

Quattro vulnerabilità hanno una severità elevata, quindici sono di livello medio e altre nove presentano una bassa pericolosità. Delle quattro vulnerabilità di livello High, tre consentono l'esecuzione arbitraria di codice mediante diversi vettori di attacco, mentre una permette di scrivere dati in determinate regioni relative a SMM e SEV-ES portando alla perdita di integrità e disponibilità dei dati.

Per quanto riguarda il secondo bollettino, AMD indica tre vulnerabilità di livello High, Medium e Low che interessano i processori Athlon, Ryzen e Threadripper. Esclusi dal lotto gli ultimi processori Ryzen 7000 (Zen 4) per piattaforme AM5. "In collaborazione con diverse terze parti, le piattaforme AMD sono state analizzate per potenziali rischi di sicurezza. Potenziali vulnerabilità in AMD Secure Processor (ASP), AMD System Management Unit (SMU) e altri componenti della piattaforma sono state scoperte e vengono mitigate nei pacchetti software AGESA PI associati ai processori AMD Athlon, Ryzen e Threadripper".

Nel bollettino viene indicata per le diverse serie di processori la revisione di AGESA che mitiga le vulnerabilità; dall'elenco sembra che non tutti i processori indicati abbiano però ricevuto un nuovo AGESA per mitigare le falle di sicurezza e non è chiaro se e quando lo riceveranno.

L'AGESA è il codice usato dai produttori OEM per realizzare il BIOS / UEFI installato sulle motherboard, quindi è necessario verificare sul sito del produttore della scheda madre l'esistenza di un BIOS aggiornato per il modello in vostro possesso. Qualora non fosse già disponibile un firmware basato sul nuovo AGESA bisognerà aspettare verosimilmente qualche settimana.

Al momento non è chiaro se i correttivi relativi alle falle elencate impattino sulle prestazioni, come visto in passato per le varie patch rilasciate da Intel e AMD per mitigare le falle Spectre e Meltdown e le loro derivazioni.

Fonte: hwupgrade