BLUEKEEP, il rischio di una nuova ondata di RANSOMWARE !!
ATTENZIONE, Remote Desktop a rischio !!
Una vulnerabilità del sevizio RDP (Remote Desktop Protocol) Microsoft , conosciuto anche come Terminal Services, consentirebbe l’esecuzione di codice remoto, mettendo a GRAVISSIMO rischio i sistemi affetti.
Questa nuova vulnerabilità Microsoft CVE-2019-0708 conosciuta anche con il nome BlueKeep, sebbene Microsoft abbia rilasciato una patch, potenzialmente milioni di macchine sono ancora prive di patch e rimangono vulnerabili e potrebbe presto diventare un vettore per la diffusione di malware, generando un’epidemia di RANSOMWARE simile a quella provocata da WannaCry due anni fa.
I sistemi operativi affetti da questa grave vulnerabilità sono:
- Windows 7
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2003
- Windows XP
Se avete PC o SERVER con i suddetti sistemi operativi, effettuate subito un aggiornamento del sistema operativo e verificate che tale patch sia stata correttamente installata.
Dato il potenziale impatto a clienti e alle aziende, MICROSOFT ha preso la decisione per rendere disponibili gli aggiornamenti della protezione per le piattaforme che non sono più nel supporto mainstream (Windows Server 2003 e Windows XP) , per scaricare gli aggiornamenti per risolvere questa vulnerabilità clicca qui.
Boom di email “fraudolenti” con Oggetto: “Alto pericolo! Il tuo account è stato attaccato.”
Decine di migliaia di email “fraudolente” sono state ricevute dall’inizio di questo 2019 con la minaccia di diffondere un “video” con immagini “riservate” che ti riguardano, se non effettuato un pagamento in bitcoin entro 48 ore….
OVVIAMENTE è tutto finto !!
NON siete stati “spiati” veramente, NON esiste alcun video,
NON PAGATE ASSOLUTAMENTE !!
Disponibile per gli utenti registrati al sito il testo completo della email in oggetto disponibile a questo link
IMPORTANTE – PER TUTTI GLI UTENTI OFFICE 365
DAL PROSSIMO 28 FEBBRAIO 2019, OFFICE 365 NON SUPPORTERA’ PIU’ LA CRITTOGRAFIA 3DES
A partire dal 28 febbraio 2019, Microsoft manda definitivamente in pensione la crittografia 3DES. Per garantire il servizio più sicuro per impostazione predefinita Microsoft sposterà tutti i servizi online su Transport Layer Security (conosciuto come TLS) 1.2 per fornire la crittografia “Best-in-Class”. Di conseguenza, le connessioni a Microsoft che utilizzano la crittografia 3DES cesseranno di funzionare. Ricordiamo pertanto di assicurarvi che tutte le connessioni client-server e browser-server che utilizzano 3DES per connettersi ai servizi Office 365 siano state aggiornate. Per qualsiasi necessità contattateci senza impegno.
GDPR e CRITTOGRAFIA – OCCHIO AI FALSI MITI !!
Nel ricordare che il Regolamento Generale per la protezione dei dati personali o GDPR (General Data Protection Regulation – legge UE 2016/679) non indica requisiti minimi per la protezione dei dati, ma pone come principale focalizzazione “una nuova consapevolezza aziendale” sulla protezione dei dati personali e quindi ne derivano ben altre considerazioni da fare, pertanto, non è con una installazione di un qualcosa o l’implementazione di un sistema “x” o “z” che ci “mettiamo in regola” ma con la creazione di una vera e propria “strategia” di protezione dei dati personali (e quindi non solo con “strumenti”) , vogliamo cogliere l’occasione di porre l’attenzione su un metodo definito come “Compliance GDPR”, ovvero la CRITTOGRAFIA.
La crittografia, ribadiamolo, non è di per sé, rendere il nostro sistema o un trattamento di documenti “CONFORME” alla normativa GDPR, ma solo uno degli strumenti che possiamo utilizzare come no.
La valutazione di come e se impiegare questo strumento deve essere fatta all’interno di un “piano di protezione dei dati personali”.
Per dare un idea di ciò di cui stiamo parlando.. CRITTOGRAFIA , bene, cifriamo tutto il contenuto di un hard disk o solo una parte? su tutti i sistemi o solo su alcuni? con quale mezzo? password o certificato o entrambe? che impatto avrà la cifratura in termini di performance sul sistema e sulle procedure? cifriamo i documenti anche quando devono essere trasmessi esempio come allegati di posta elettronica o solamente quando gli trasferiamo sul cloud?
Tutte queste domande devono essere poste da professionisti, dopo una corretta analisi e la creazione di un vero e proprio “piano di protezione dei dati personali”, e non da “consulenti” che forse, hanno solo voglia di vendervi un nuovo prodotto/servizio magari con la scusa che è RICHIESTO dal GDPR !!!
CRITICITA’ SICUREZZA ACCOUNT WINDOWS
Alcuni recenti bollettini di sicurezza hanno evidenziato la frequentissima compromissione degli account Windows con password semplici, mediante attacchi di nuova generazione. Verificate le eventuali “vulnerabilità” presenti negli account di Windows dei vostri PC e correte subito ai ripari ponendovi rimedio.
I controlli e le operazioni basilari da effettuare:
- Verificare la presenza di account Windows senza password ;
- Accertarsi che le password degli account siano “complesse” ;
- Rimuovere gli utenti di uso “comune” dagli “Account amministrativi”.
Come già riportato nel nostro articolo “La scelta della vostra password è assolutamente vitale per la sicurezza delle vostre informazioni” reperibile al link http://bit.ly/2wymKO6 la complessità della password è un requisito basilare per proteggere le vostre informazioni e conseguentemente può essere valutato come un requisito “BASE” per gli adempimenti della normativa GDPR.
Se non avete familiarità con questi temi e volete controllare che il vostro “account” non sia vulnerabile, contattateci senza impegno, un nostro tecnico si metterà in contatto con voi.