Recentemente abbiamo riscontrato una nuova forma di diffusione malware proveniente da indirizzi PEC.
Questo metodo di distribuzione è particolarmente efficace per due motivi:
Un esempio del messaggio è visibile nell’immagine sottostante.
Il riquadro azzurro è un link cliccabile che in questo caso porta ad un sito (chiaramente compromesso) simile al seguente:
Si raccomanda pertanto di:
Vi invitiamo a condividere queste raccomandazioni con tutti i vostri collaboratori in modo da minimizzare il rischio di infezioni virali.
WannaCry è un ransomware che sfrutta una vulnerabilità intrinseca dei sistemi operativi Microsoft Windows a partire da XP (Eternal Blue)
Microsoft ha rilasciato la patch MS17-010 per tutti i sistemi operativi che chiude la vulnerabilità e rende le macchine immuni dal malware.
E’ sufficiente scaricare la versione corretta della patch per il proprio sistema operativo e lanciarla.
Prestare attenzione a sistemi 32/64 bit in quanto esistono versioni specifiche per architettura. In caso si tenti di installare la versione sbagliata, un messaggio di errore informerà che non è possibile portare a termine l’operazione, ma non farà alcun danno al sistema.
Per conoscere la versione del proprio sistema operativo bisogna:
Nel dubbio di infezione è comunque raccomandabile aggiornare le firme dell’antivirus e fare una scansione completa del sistema.
Con il proliferare di attacchi phishing e ransomware, ricevuti in mezzo alla miriade di posta elettronica che si riceve quotidianamente, è spesso difficile distinguere mail legittime da quelle pericolose.
Per cercare di difendersi è necessario, oltre ad avere un sistema antivirus/antispam aggiornato e attivo:
Avendo le opportune competenze tecniche è possibile verificare il sorgente del messaggio per cercare di identificare il vero mittente e togliersi così il dubbio sulla legittimità della comunicazione: vedere a questo proposito il nostro articolo sulle nuove tecniche di SPAM qui.
In questi giorni si sta verificando una nuova tipologia di “attacco” spam sfruttando come sistema quello della posta certificata (PEC).
Viene confezionato un messaggio apparentemente proveniente da un mittente legittimo, in questo caso post-certificata@pec.aruba.it (notare l’errore di ortografia) ed indirizzato ad una o più caselle mail di posta ordinaria.
Il fatto che il mittente sia (apparentemente) una PEC e l’oggetto sia relativo a qualcosa di importante (in questo caso una fattura) è più che sufficiente per convincere l’utente della legittimità della comunicazione e porta ad aprire l’allegato che, tipicamente, è un virus quasi sicuramente di tipo ransomware (Cryptolocker o affini). In assenza di un sistema di protezione della posta elettronica la mail viene recapitata inalterata esponendo il ricevente al rischio di infezione.
Analizzando le intestazioni reali del messaggio si possono scoprire i segreti di questa mail apparentemente legittima:
Nell’immagine soprastante sono evidenziati:
Nell’ipotesi di dover cambiare il product key di office si pò seguire la strada indicata da Microsoft e disinstallare/installare il prodotto oppure è possibile cambiare il codice al volo con un’utility Microsoft presente nel PC.
Per seguire la seconda procedura è sufficiente:
Lanciare una sessione CMD (con privilegi elevati in caso di UAC attivo).
Digitare
cd [percorsoprogrammi]\Microsoft Office\OfficeXX
dove [percorsoprogrammi] può essere %programfiles% oppure %programfiles(x86)% a seconda del fatto che office sia 32 o 64 bit mentre XX è uguale 14 per Office 2010, 15 per Office 2013, 16 per Office 2016
quindi ad esempio
cd “%programfiles(x86)%\Microsoft Office\Office15”
Attenzione alle virgolette, necessarie in quanto il percorso contiene uno spazio
Digitare
cscript ospp.vbs /dstatus
E segnare i caratteri del product key.
Digitare
cscript ospp.vbs /inpkey:[nuovo product key]
In caso venga restituito un errore digitare
cscript ospp.vbs /unpkey:[codice vecchio]
dove [codice vecchio] sono i caratteri recuperati precendentemente
Ad operazione completata dovrebbe essere possibile attivare office aprendo una delle applicazioni della suite e seguendo le istruzioni di attivazione.
N.b. Le seguenti istruzioni sono indirizzate a persone esperte e possono rendere inutilizzabile il proprio server; Jestersoft non si ritene responsabile di danni derivanti da un uso improprio.
In alcuni casi è possibile che un server DNS basato su Windows non riesca a risolvere correttamente domini esterni a meno chè non si imposti un server di forward.
Questo fatto à causato da un problema intrinseco nella risoluzione dei nomi di windows e può essere corretto con il seguente comando eseguito da un prompt dei comandi (in modalità elevata in caso ci si trovi su Windows 2008 o superiore con UAC abilitato):
dnscmd /config /EnableEDNSProbes 0
Maggiori informazioni sono reperibili sulla seguente KB https://support.microsoft.com/en-us/kb/832223
In Microsoft Outlook, utilizzando un certificato digitale per firmare i messaggi in uscita è possibile incontrare il messaggio di errore
“Errore nel sistema di protezione inferiore. Chiave non utilizzabile nello stato specificato”, come da immagine sottostante
Per risolvere l’inconveniente seguire le istruzioni riportate nel seguente articolo della Knowledge Base Microsoft http://support.microsoft.com/kb/258527
N.b. Le seguenti istruzioni sono indirizzate a persone esperte e possono rendere inutilizzabile il proprio server; Jestersoft non si ritene responsabile di danni derivanti da un uso improprio.
In una rete Small Business 2008 può capitare che Outlook 2007 connettendosi ad Exchange 2007 continui a richiedere le credenziali di accesso all’account.
Per risolvere l’inconveniente è sufficiente, sul server:
1) Aprire Gestione Internet Information Services (IIS)
2) Sotto la voce Siti espandere SBS Web Applications cliccare su Autodiscover
3) Aprire Impostazioni SSL e selezionare “Richiedi SSL”, “Richiedi SSL a 128 bit” e “Accetta” nella sezione certificati client
4) Ripetere i passi 2) e 3) anche per la voce “OAB”
5) Riavviare IIS ed accertarsi che i siti ripartano dopo il riavvio
Le stesse istruzioni funzionano in maniera analoga anche per Exchange installato su Windows Server Standard (non SBS) con le oppurtune modifiche ai percorsi di Autoriscover e OAB
Se all’avvio di Outlook viene visualizzato il messaggio “Impossibile aprire la finestra di Outlook.” si può provare a risolvere il problema con la seguente procedura.
1) Assicurarsi che non ci siano processi di Outlook in esecuzione
2) Da Start -> Esegui digitare “outlook /resetnavpane” senza apici
Outlook si dovrebbe avviare correttamente; qualora il problema persistesse si possono tentare i passaggi descritti al seguente articolo della Knowledge Base Microsoft: http://support.microsoft.com/kb/252304
La presente procedura costituisce un workaround per il problema ma si tratta di una soluzione non supportata in alcun modo da Microsoft ed è da utilizzarsi esclusivamente per scopi di test. Queste istruzioni sono fornite senza alcun tipo di garanzia e/o di supporto e se ne raccomanda l’uso a personale qualificato. Jestersoft declina ogni responsabilità per l’uso improprio o per potenziali danni derivanti dall’uso delle presenti istruzioni. L’uso improprio di strumenti di modifica del registro di configurazione può rendere il sistema inutilizzabile.
Normalmente Internet Explorer apre i collegamenti salvati sul desktop in una finestra già aperta, per far si che li apra sempre in una nuova finestra è necessario:
In alternativa è possibile scaricare il file di registro che apporta la modifica dopra descritta cliccando qui.
Nota bene: è un settaggio per utente, andrà quindi ripetuto per tutti gli utenti in cui si renda necessario.
