Author Archives:admin

Azioni preventive per difendersi da WannaCry

WannaCry è un ransomware che sfrutta una vulnerabilità intrinseca dei sistemi operativi Microsoft Windows a partire da XP (Eternal Blue)

Microsoft ha rilasciato la patch MS17-010 per tutti i sistemi operativi che chiude la vulnerabilità e rende le macchine immuni dal malware.

E’ sufficiente scaricare la versione corretta della patch per il proprio sistema operativo e lanciarla.

Prestare attenzione a sistemi 32/64 bit in quanto esistono versioni specifiche per architettura. In caso si tenti di installare la versione sbagliata, un messaggio di errore informerà che non è possibile portare a termine l’operazione, ma non farà alcun danno al sistema.

 

Per conoscere la versione del proprio sistema operativo bisogna:

  1. Premere Windows + R sulla tastiera;
  2. Nella finestra “esegui” digitare winver  e cliccare “OK”

Nel dubbio di infezione è comunque raccomandabile aggiornare le firme dell’antivirus e fare una scansione completa del sistema.

 

Best Pratices per difendersi da phishing e ransomware

Con il proliferare di attacchi phishing e ransomware, ricevuti in mezzo alla miriade di posta elettronica che si riceve quotidianamente, è spesso difficile distinguere mail legittime da quelle pericolose.

Per cercare di difendersi è necessario, oltre ad avere un sistema antivirus/antispam aggiornato e attivo:

  1. Diffidare di qualunque comunicazione apparentemente proveniente da enti/aziende specialmente se contenente allegati (fatture, bollette, spedizioni). Usare massima cautela in quanto le mail nocive sono confezionate ad arte per sembrare legittime;
  2. Nel dubbio prendere contatto con il mittente e verificare se la mail ricevuta è legittima, in caso il contatto con il mittente sia impossibile è consigliabile cancellare il messaggio: se la comunicazione è veramente legittima sarà cura del mittente inviarla nuovamente.

Avendo le opportune competenze tecniche è possibile verificare il sorgente del messaggio per cercare di identificare il vero mittente e togliersi così il dubbio sulla legittimità della comunicazione: vedere a questo proposito il nostro articolo sulle nuove tecniche di SPAM qui.

Nuove tecniche di SPAM

In questi giorni si sta verificando una nuova tipologia di “attacco” spam sfruttando come sistema quello della posta certificata (PEC).

Viene confezionato un messaggio apparentemente proveniente da un mittente legittimo, in questo caso post-certificata@pec.aruba.it (notare l’errore di ortografia) ed indirizzato ad una o più caselle mail di posta ordinaria.

Headers Forgiati

Il fatto che il mittente sia (apparentemente) una PEC e l’oggetto sia relativo a qualcosa di importante (in questo caso una fattura) è più che sufficiente per convincere l’utente della legittimità della comunicazione e porta ad aprire l’allegato che, tipicamente, è un virus quasi sicuramente di tipo ransomware (Cryptolocker o affini). In assenza di un sistema di protezione della posta elettronica la mail viene recapitata inalterata esponendo il ricevente al rischio di infezione.

Analizzando le intestazioni reali del messaggio si possono scoprire i segreti di questa mail apparentemente legittima:

Headers

Nell’immagine soprastante sono evidenziati:

  • in verde l’indirizzo IP del mittente originale, in questo caso il messaggio sembra provenire da due server diversi, 157.122.38.214 che si è identificato come asziqnmlejx.ufvmrlvshtwmk.biz e da 120.191.131.213 identificato come zi.nvrq.com;
  • in giallo il server che in ultima battuta ha spedito la mail a “noi”, in questo caso 95.242.130.102, un server di posta connesso ad internet da una linea Telecom Italia. Non è necessariamente una macchina compromessa (anche se varrebbe la pena dargli una controllata) perchè potrebbe semplicemente rimbalzare lo spam;
  • in rosso il finto mittente della mail
  • in viola il vero mittente della mail
  • in nero sono stati cancellati i destinatari reali della mail

 

 

Cambio Product Key Office

Nell’ipotesi di dover cambiare il product key di office si pò seguire la strada indicata da Microsoft e disinstallare/installare il prodotto oppure è possibile cambiare il codice al volo con un’utility Microsoft presente nel PC.

Per seguire la seconda procedura è sufficiente:

Lanciare una sessione CMD (con privilegi elevati in caso di UAC attivo).

Digitare

cd [percorsoprogrammi]\Microsoft Office\OfficeXX

dove [percorsoprogrammi] può essere %programfiles% oppure %programfiles(x86)% a seconda del fatto che office sia 32 o 64 bit mentre XX è uguale 14 per Office 2010, 15 per Office 2013, 16 per Office 2016

quindi ad esempio

cd “%programfiles(x86)%\Microsoft Office\Office15”

Attenzione alle virgolette, necessarie in quanto il percorso contiene uno spazio

Digitare

cscript ospp.vbs /dstatus

E segnare i caratteri del product key.

Digitare

cscript ospp.vbs /inpkey:[nuovo product key]

In caso venga restituito un errore digitare

cscript ospp.vbs /unpkey:[codice vecchio]

dove [codice vecchio] sono i caratteri recuperati precendentemente

Ad operazione completata dovrebbe essere possibile attivare office aprendo una delle applicazioni della suite e seguendo le istruzioni di attivazione.

 

Risoluzione DNS Windows Server

N.b. Le seguenti istruzioni sono indirizzate a persone esperte e possono rendere inutilizzabile il proprio server; Jestersoft non si ritene responsabile di danni derivanti da un uso improprio.

In alcuni casi è possibile che un server DNS basato su Windows non riesca a risolvere correttamente domini esterni a meno chè non si imposti un server di forward.

Questo fatto à causato da un problema intrinseco nella risoluzione dei nomi di windows e può essere corretto con il seguente comando eseguito da un prompt dei comandi (in modalità elevata in caso ci si trovi su Windows 2008 o superiore con UAC abilitato):

dnscmd /config /EnableEDNSProbes 0

Maggiori informazioni sono reperibili sulla seguente KB https://support.microsoft.com/en-us/kb/832223

 

Outlook: Errore nel sistema di protezione inferiore

In Microsoft Outlook, utilizzando un certificato digitale per firmare i messaggi in uscita è possibile incontrare il messaggio di errore

“Errore nel sistema di protezione inferiore. Chiave non utilizzabile nello stato specificato”, come da immagine sottostante

Errore Outlook

Per risolvere l’inconveniente seguire le istruzioni riportate nel seguente articolo della Knowledge Base Microsoft http://support.microsoft.com/kb/258527

SBS2008: Outlook 2007 continua a richiedere la password di Exchange

N.b. Le seguenti istruzioni sono indirizzate a persone esperte e possono rendere inutilizzabile il proprio server; Jestersoft non si ritene responsabile di danni derivanti da un uso improprio.

In una rete Small Business 2008 può capitare che Outlook 2007 connettendosi ad Exchange 2007 continui a richiedere le credenziali di accesso all’account.

Per risolvere l’inconveniente è sufficiente, sul server:

1) Aprire Gestione Internet Information Services (IIS)
2) Sotto la voce Siti espandere SBS Web Applications cliccare su Autodiscover
3) Aprire Impostazioni SSL e selezionare “Richiedi SSL”, “Richiedi SSL a 128 bit” e “Accetta” nella sezione certificati client
4) Ripetere i passi 2) e 3) anche per la voce “OAB”
5) Riavviare IIS ed accertarsi che i siti ripartano dopo il riavvio

Le stesse istruzioni funzionano in maniera analoga anche per Exchange installato su Windows Server Standard (non SBS) con le oppurtune modifiche ai percorsi di Autoriscover e OAB

Tags:, , , ,

Outlook: Impossibile aprire la finestra

Se all’avvio di Outlook viene visualizzato il messaggio “Impossibile aprire la finestra di Outlook.” si può provare a risolvere il problema con la seguente procedura.

1) Assicurarsi che non ci siano processi di Outlook in esecuzione

2) Da Start -> Esegui  digitare “outlook /resetnavpane” senza apici

Outlook si dovrebbe avviare correttamente; qualora il problema persistesse si possono tentare i passaggi descritti al seguente articolo della Knowledge Base Microsoft: http://support.microsoft.com/kb/252304

Tags:, ,

Forzare internet explorer ad aprire i collegamenti in una nuova finestra

La presente procedura costituisce un workaround per il problema ma si tratta di una soluzione non supportata in alcun modo da Microsoft ed è da utilizzarsi esclusivamente per scopi di test. Queste istruzioni sono fornite senza alcun tipo di garanzia e/o di supporto e se ne raccomanda l’uso a personale qualificato. Jestersoft declina ogni responsabilità per l’uso improprio o per potenziali danni derivanti dall’uso delle presenti istruzioni. L’uso improprio di strumenti di modifica del registro di configurazione può rendere il sistema inutilizzabile.

Normalmente Internet Explorer apre i collegamenti salvati sul desktop in una finestra già aperta, per far si che li apra sempre in una nuova finestra è necessario:

  • aprire REGEDIT
  • andare alla chiave HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
  • creare un nuovo valore DWORD (o modificare quello esistente) chiamato “AllowWindowReuse” e impostarne il valore a 0
  • chiudere REGEDIT e riavviare il PC

In alternativa è possibile scaricare il file di registro che apporta la modifica dopra descritta cliccando qui.

Nota bene: è un settaggio per utente, andrà quindi ripetuto per tutti gli utenti in cui si renda necessario.

Tags:, ,

Fix: Periferica USB non riconosciuta

Qualora connettendo una qualsiasi periferica USB (pendrive, mouse, ecc…) il PC riporti un messaggio tipo: “Periferica USB non riconosciuta” è sufficiente:

  • spegnere il computer
  • scollegarlo dall’alimentazione elettrica (in caso di notebook bisogna anche togliere la batteria)
  • attendere un paio di minuti
  • ricollegare l’alimentazione (in caso di notebook la batteria va messa prima di ricollegare l’alimentazione!!)
  • riaccendere il pc

e il gioco è fatto.

Tags:, ,