venerdì 30 dicembre 2016

Windows 10: Attivare la connessione a consumo anche su reti cablate

Windows 10 consente di impostare una connessione di rete cellulare o Wi-Fi come Connessione a consumoLe connessioni a consumo visualizzano un messaggio di avviso prima di procedere al download degli aggiornamenti del sistema operativo pertanto, tale impostazione, può essere utile nel caso si intenda rimandare l'operazione ad un momento più opportuno.

Le connessioni a rete dati/cellulare sono impostate come Connessioni a consumo per default mentre le connessioni Wi-Fi possono essere impostate dall'utente.  L'impostazione è specifica per ciascuna rete pertanto se si utilizzano più connessioni Wi-Fi/cellulare l'operazione va effettuata per ciascuna di esse.

Per impostare una connessione a consumo si procede nel seguente modo:
  • Dal menu Start selezionare Impostazioni (oppure premere la combinazione di tasti WIN+I);
  • Accedere alla sezione Rete e Internet;
    Windows 10: Impostazioni, Rete e Internet
    FIG 1 - Windows 10: Impostazioni, Rete e Internet
  • Nella sezione Wi-Fi selezionare Gestisci reti note;
    Windows 10: Wi-Fi, Gestisci reti note
    FIG 2 - Windows 10: Wi-Fi, Gestisci reti note
  • Selezionare la propria rete Wi-Fi quindi cliccare su Proprietà;
    Windows 10: Gestisci reti note
    FIG 3 - Windows 10: Gestisci reti note
  • Attivare l'opzione Imposta come connessione a consumo.
    Windows 10: Imposta come connessione a consumo
    FIG 4 - Windows 10: Imposta come connessione a consumo


Tramite un workaround è possibile abilitare la modalità Connessione a Consumo anche su reti cablate, per farlo è necessario agire tramite l'editor del registro di sistema:
  • Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio); 
  • Posizionarsi su
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\DefaultMediaCost

    La chiave DefaultMediaCost è protetta quindi bisogna impostare le autorizzazioni in modo da poterne modificare il contenuto (tasto destro sulla chiave DefaultMediaCost, selezionare Autorizzazioni e abilitare la propria utenza al controllo completo).
  • All'interno della chiave DefaultMediaCost, modificare il valore di Ethernet impostandolo a 2 (esadecimale).

    Windows 10, chiave di registro DefaultMediaCost
    FIG 5 - Windows 10, chiave di registro DefaultMediaCost 
Dopo questa modifica anche le connessioni ad Internet mediante cavo Ethernet diventeranno connessioni a consumo



giovedì 29 dicembre 2016

PowerShell: Inviare un'email tramite il cmdlet Send-MailMessage

Per inviare un'email tramite PowerShell è possibile utilizzare il cmdlet Send-MailMessage. La sintassi del comando è la seguente:

Send-MailMessage [-Attachments <String[]>] [-Bcc <String[]>] [[-Body] <String>] [-BodyAsHtml] [-Encoding <Encoding>] [-Cc <String[]>] [-DeliveryNotificationOption <DeliveryNotificationOptions>] -From <String> [[-SmtpServer] <String>] [-Priority <MailPriority>] [-Subject] <String> [-To] <String[]> [-Credential <PSCredential>] [-UseSsl] [-Port <Int32>] [<CommonParameters>]


Parametri principali


-Attachments
Consente di specificare il path e il nome dei file da allegare al messaggio.

-Bcc
Blind Carbon Copy. Permette di specificare uno o più indirizzi a cui inviare il messaggio in copia conoscenza nascosta. Tali indirizzi non vengono visualizzati dai destinatari del messaggio.

-Body
Al parametro Body va passato il corpo del messaggio.

-BodyAsHtml

La presenza di tale parametro indica che il corpo del messaggio passato a Body contiene codice HTML.

-Cc
Specifica gli indirizzi a cui inviare l'email in copia conoscenza (o copia carbone). E' possibile specificare solo l'indirizzo email oppure nome e indirizzo nel formato Nome <esempio@contoso.com>

-Credential
Per default l'email viene inviata con le credenziali dell'utente corrente. Per inviare l'email con un altro account è necessario utilizzare tale parametro.

-DeliveryNotificationOption

Il parametro DeliveryNotificationOption (abbreviabile in -dno) consente di impostare le opzioni di notifica del messaggio. I valori accettati sono:
None Nessuna notifica (impostazioni di default);
OnSuccess Si riceve una notifica se il messaggio viene recapitato correttamente;
OnFailure Si riceve un messaggio se il messaggio non viene recapitato;
Delay  Si riceve in caso di recapito ritardato;
Never Non notifica in alcun caso.
Alcune opzioni possono essere utilizzare contemporaneamente ad es. OnSuccess e OnFailure.

-Encoding
Specifica il tipo di codifica utilizzata dal corpo e dall'oggetto del messaggio. I valori accettati sono:
ASCII
UTF8
UTF7
UTF32
Unicode
BigEndianUnicode
Default
OEM
Per default è impostata la codifica ASCII.

-From
Il parametro From è obbligatorio e viene utilizzato per specificare l'indirizzo del mittente. Al parametro è  possibile passare solo l'indirizzo email oppure nome e indirizzo nel formato Nome <esempio@contoso.com>.

-Port
Questo parametro è disponibile a partire da PowerShell 3.0 e consente di indicare una porta SMTP alternativa a quella di default (la porta SMTP di default è la 25).

-Priority
Il parametro Priority permette di specificare la priorità del messaggio. I valori accettati sono:
Normal
High
Low

-SmtpServer
Permette di specificare il nome del server SMTP che invia il messaggio.

-Subject
Questo è un parametro obbligatorio. Al parametro va passato l'oggetto dell'email.

-To
Tale parametro, richiesto, permette di indicare gli indirizzi a cui spedire il messaggio. Anche in questo caso (come per i parametri From, CC e BCC) è possibile specificare solo l'indirizzo email oppure nome e indirizzo nel formato Nome <esempio@contoso.com>.

-UseSsl
Se usato, forza la connessione al server remoto tramite protocollo SSL (Secure Sockets Layer).


Vediamo alcuni esempi

Esempio 1
Send-MailMessage -SmtpServer Smtp.contoso.com -To bill.gates@example.com -From 'Giovanni Lubrano <giovanni.lubrano@contoso>' -Subject 'Riunione Aziendale' -Body '<h1>Ciao Bill</h1>' -BodyAsHtml -Priority High
Invia un messaggio a priorità alta in formato HTML.

Esempio 2
Send-MailMessage -From "Giovanni Lubrano <giovanni.lubrano@example.com>" -To "Bill Gates <bill.gates@example.com>", "Mark Zuckerberg <mark.zuckerberg@example2.com>" -Subject "Invio CV in allegato" -Body "In allegato il mio CV." -Attachments "Curriculum.pdf" -Priority High -dno onSuccess, onFailure -SmtpServer "smtp.contoso.com"
Invio di un allegato a più persone con un messaggio di solo testo, a priorità alta e con richiesta di notifica nel caso in cui il messaggio venga recapitato o nel caso in cui la consegna fallisca.




martedì 27 dicembre 2016

Windows Quick Tip: Disabilitare l'accesso al Pannello di Controllo

In alcune occasioni può essere utile impedire all'utente l'accesso al Pannello di Controllo al fine di evitare che possa fare danni. Per eseguire tale operazione è possibile utilizzare uno dei seguenti metodi.

Metodo 1
Il primo metodo consiste nell'agire manualmente all'interno del registro di sistema creando una nuova policy. Tale metodo è anche l'unico adottabile nel caso in cui si utilizzi una versione standard di Windows:
  • Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio); 
  • Posizionarsi su
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
  • Se non presente, creare una nuova chiave e nominarla Explorer;
  • Selezionare la chiave Explorer, al suo interno creare un nuovo valore DWORD (32 bit) rinominarlo in NoControlPanel e valorizzarlo ad 1.
Le modifiche saranno attive al successivo logon dell'utente.
Proibire l'accesso al Pannello di Controllo tramite registro di sistema
FIG 1 - Proibire l'accesso al Pannello di Controllo tramite registro di sistema


Per riabilitare il Pannello di Controllo, rimuovere il valore NoControlPanel oppure valorizzarlo a 0.
Dal seguente link è possibile scaricare i file .reg per disabilitare/abilitare l'accesso al Pannello di Controllo.
DOWNLOAD



Metodo 2
Il secondo metodo consiste nell'utilizzare l’editor criteri di gruppo locali (gpedit.msc) e può essere applicato solo alle versioni Professional ed Enterprise di Windows.
  • Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare gpedit.msc seguito da invio per aprire l'editor criteri di gruppo locali;
  • Posizionarsi su Criteri Computer Locale->Configurazione utente->Modelli Amministrativi->Pannello di controllo;
    Editor Criteri di gruppo locali, Proibisci l'accesso al Pannello di controllo
    FIG 2 - Editor Criteri di gruppo locali, Proibisci l'accesso al Pannello di controllo
  • Eseguire doppio clic su Proibisci l'accesso al Pannello di controllo, selezionare l'opzione Attivata quindi confermare cliccando su OK.
     Attiva policy Proibisci l'accesso al Pannello di controllo
    FIG 3 - Attiva policy Proibisci l'accesso al Pannello di controllo
Le modifiche, in questo caso, verranno applicate immediatamente.

Quando la policy è attiva, tentando di accedere al Pannello di Controllo verrà visualizzato il messaggio mostrato in FIG 4.
Accesso negato al Pannello di Controllo
FIG 4 - Accesso negato al Pannello di Controllo




venerdì 23 dicembre 2016

MS Word: Visualizzare tutti gli stili

MS Word mette a disposizione degli utenti diversi strumenti per trasformare, in pochi istanti, l'aspetto del documento e permette di scegliere tra una nutrita serie di stili importanti non solo a livello estetico ma anche a livello semantico. MS Word non mostra tutti gli stili a disposizione ma ne visualizza solo una piccola parte. Gli stili proposti cambiano contestualmente all'utilizzo da parte dell'utente: ad es. solo dopo aver usato lo stile Titolo 2 verrà visualizzato anche lo stile Titolo 3

Per mostrare sempre tutti gli stili a disposizione (in MS Word 2010, 2013 e 2016) è possibile procedere nel seguente modo:
  • Nella scheda Home, individuare la sezione Stili e cliccare sulla piccola freccia presente in basso a destra;
  • Nel riquadro Stili che appare, cliccare su Opzioni...;
    MS Word, Opzioni Stili
    FIG 1 - MS Word, Opzioni Stili
  • Nella casella Selezionare gli stili da mostrare selezionare la voce Tutti gli stili;
  • Se si intende mantenere tale modifica anche per altri documenti selezionare l'opzione Nei nuovi documenti basati sul modello.
    MS Word, Visualizzare tutti gli stili
    FIG 2 - MS Word, Visualizzare tutti gli stili
Adesso all'interno del pannello Stili della barra multifunzione verranno visualizzati tutti gli stili disponibili.

giovedì 22 dicembre 2016

Windows 10: Verificare quali processi vengono eseguiti con privilegi elevati

Alcuni processi in ambiente Windows hanno la necessità di essere eseguiti con privilegi elevati per poter operare.
Un processo può essere avviato manualmente con privilegi elevati o come amministratore oppure autorizzato dal UAC (Controllo Account Utente). Uno sviluppatore può fare in modo, tramite una tecnica di sviluppo nota come embedded manifest, che la sua applicazione richieda il token di accesso come amministratore. In queste situazioni interviene il UAC.

Per visualizzare velocemente quali processi sono in esecuzione con privilegi elevati o autorizzati dal UAC è possibile procedere nel seguente modo:
  • Premere la combinazione di tasti CTRL+ALT+CANC e selezionare Gestione Attività;
  • Posizionarsi sulla scheda Dettagli;
  • Cliccare, con il tasto destro del mouse, sull'intestazione di una colonna e selezionare, dal menu contestuale, l'opzione Seleziona colonne;
    Gestione attività, Seleziona colonne
    FIG 1 - Gestione attività, Seleziona colonne
  • Nell'elenco selezionare Con privilegi elevati e Virtualizzazione controllo dell'account utente quindi confermare cliccando su OK;

    Seleziona colonne, Con privilegi elevati e Virtualizzazione controllo dell'account utente
    FIG 2 - Seleziona colonne, Con privilegi elevati e Virtualizzazione controllo dell'account utente

In Gestione attività, all'interno della colonna Con privilegi elevati troviamo valori Si e No che indicano se il processo è stato eseguito con privilegi elevati o meno.
Nella colonna Virtualizzazione controllo dell'account utente possiamo trovare uno dei seguenti valori:
Non consentito - Processo in esecuzione come amministratore (privilegi elevati);
Abilitato - Processo soggetto alla virtualizzazione UAC;
Disabilitato - Processo non soggetto alla virtualizzazione UAC.
Gestione attività, Con privilegi elevati e Virtualizzazione controllo dell'account utente
FIG 3 - Gestione attività, Con privilegi elevati e Virtualizzazione controllo dell'account utente



mercoledì 21 dicembre 2016

Office: Installare Office Picture Manager in Office 2016/365

Microsoft Office Picture Manager è incluso in Office 2003, 2007, 2010 ma a partire da Office 2013 tale applicazione è stata rimossa dal pacchetto.
L'applicazione è stata rimossa in quanto Microsoft ritiene che Windows Photo Gallery disponga delle stesse funzionalità, tuttavia molti utenti abitudinari preferiscono ancora utilizzare Picture Manager.
In quest'articolo verrà mostrato un workaround per installare Picture Manager su Office 20132016 e 365. Picture Manager è un componente di Sharepoint Designer 2010 che è possibile scaricare gratuitamente dal sito Microsoft.

Vediamo in dettaglio come procedere.
  • Scaricare Microsoft SharePoint Designer 2010 da uno dei seguenti link in base alla versione di Office installata
    Microsoft SharePoint Designer 2010 per Office a 32-bit
    Microsoft SharePoint Designer 2010 per Office a 64-bit 
  • Download Microsoft SharePoint Designer 2010
    FIG 1 - Download Microsoft SharePoint Designer 2010
  • Eseguire il file scaricato, rispondere affermativamente all'eventuale finestra di dialogo del Controllo dell'account utente quindi accettare le condizioni di licenza e cliccare su Continua;
    Condizioni di licenza Microsoft SharePoint Designer 2010
    FIG 2 - Condizioni di licenza Microsoft SharePoint Designer 2010
  • Cliccare su Personalizza;
    FIG 3 - Personalizza installazione
  • Nella schermata successiva, cliccare su ogni sezione e selezionare la voce Escludi dall'installazione;
    Escludi dall'installazione
    FIG 4 - Escludi dall'installazione
  • Espandere la sezione Strumenti di Office, cliccare su Microsoft Office Picture Manager e selezionare Esecuzione dal computer locale;
    Microsoft Office Picture Manager, Esecuzione dal computer locale
    FIG 5 - Microsoft Office Picture Manager, Esecuzione dal computer locale
  • Cliccare su Installa per avviare l'installazione del prodotto;
    Microsoft Office Picture Manager, Avvio dell'installazione
    FIG 6 - Microsoft Office Picture Manager, Avvio dell'installazione
  • Al termine dell'installazione verrà visualizzata la finestra di FIG 7, cliccare su Chiudi.
    Microsoft Office Picture Manager, installazione completata
    FIG 7 - Microsoft Office Picture Manager, installazione completata

Adesso Microsoft Office Picture Manager è correttamente installato sulla postazione.


Microsoft Office Picture Manager
FIG 8 - Microsoft Office Picture Manager

martedì 20 dicembre 2016

Windows 10: Disabilitare l'anteprima delle schede del browser Edge tramite registro

Edge, il nuovo browser Microsoft introdotto in Windows 10, presenta un'interessante novità: l'anteprima delle schede. Sostando per qualche secondo con il cursore del mouse sull'etichetta di una scheda non attiva, viene visualizzata una piccola anteprima della pagina. 


EDGE, anteprima schede
FIG 1 - EDGE, anteprima schede


La miniatura è troppo piccola per distinguerne il contenuto e può risultare inutile se le pagine presenti nella varie schede sono simili. Se si intende disabilitare tale funzionalità è possibile agire tramite il registro di sistema:
  • Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
  • Posizionarsi su
    HKEY_CURRENT_USER\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\TabbedBrowsing
  • Se non presente, creare un nuovo valore DWORD (32 bit) assegnargli il nome TabPeekEnabled e valorizzarlo a 0.
Per rendere effettiva la modifica è necessario riavviare il browser Edge mentre per ripristinare lo stato iniziale basta eliminare il valore TabPeekEnabled.

Per chi non volesse mettere mano al registro può scaricare, dal seguente link, i file .reg per abilitare/disabilitare l'anteprima delle schede in Edge.
DOWNLOAD

venerdì 16 dicembre 2016

Windows Quick Tip: Verificare quale processo sta utilizzando una determinata periferica

Nell'articolo Identificare il processo che utilizza un file tramite Monitoraggio Risorse è stato mostrato come individuare quale processo utilizza un determinato file/cartella.
In modo del tutto analogo è possibile verificare quale processo utilizza una determinata periferica.
In giro esistono numerosi esempi di codici malevoli in grado di attivare il microfono e la webcam in maniera invisibile e spiare la vittima. Questo metodo può essere utile nell'individuare l'uso di una periferica all'insaputa dell'utente.


Supponiamo di voler identificare quale applicazione ha preso il controllo della nostra webcam:
  • Avviare Gestione computer (WIN+R e digitare compmgmt.msc seguito da invio);
    Gestione computer, compmgmt.msc
    FIG 1 - Gestione computer, compmgmt.msc
  • All'interno di Utilità di sistema selezionare Gestione dispositivi;
  • La lista dei dispositivi è organizzata per tipologia. Selezionare il dispositivo che si intende verificare:le webcam si trovano all'interno di Dispositivi di acquisizione immagini.

    Gestione computer, Gestione dispositivi
    FIG 2 - Gestione computer, Gestione dispositivi
  • Cliccare 2 volte sul dispositivo e posizionarsi sulla scheda Dettagli;
  • All'interno della casella a discesa Proprietà selezionare Nome oggetto dispositivo fisico;
  • Nella casella Valore, cliccare con il tasto destro sul valore e selezionare Copia dal menu contestuale per copiare il nome dell'oggetto negli appunti.
    FIG 3 - Proprietà dispositivo

I passaggi appena eseguiti servono ad individuare la denominazione dell’hardware nel formato utilizzato dal computer in modo da permetterci di identificare in maniera univoca la nostra periferica. A questo punto dobbiamo verificare da quale processo è utilizzata tramite Monitoraggio risorse:
  • Avviare Monitoraggio risorse (WIN+R e digitare resmon seguito da invio);
  • Selezionare la scheda CPU;
  • Nella casella Cerca Handle, presente sulla barra del titolo Handle associati, incollare il testo copiato nei passaggi precedenti (CTRL+V);

    Monitoraggio risorse, Handle associati
    FIG 4 - Monitoraggio risorse, Handle associati

Tra i risultati della ricerca verrà visualizzato il nome del processo che sta utilizzando la periferica.



martedì 13 dicembre 2016

Kali Linux: Eseguire un attacco MITM utilizzando XEROSPLOIT

In questo articolo verranno mostrati alcuni degli attacchi MITM (man in the middle) possibili tramite l'utilizzo del framework XEROSPLOIT.

ATTENZIONE:
Danneggiare o violare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.


Prima di procedere assicurarsi che la propria distribuzione di Kali Linux sia aggiornata. I passaggi da seguire per aggiornare la distribuzione sono indicati nell'articolo Kali Linux: Messaggio "Something went wrong, printing the error: name 'src' is not defined" nell'utilizzo di SET presente su questo blog.



Installazione del framework Xerosploit

  • Avviare il terminale;
  • Digitare ed eseguire git clone http://www.github.com/Lionsec/xerosploit.git e attendere il download;
    Xerosploit, download da github
    FIG 1 - Xerosploit, download da github
  • Terminato il download accedere alla directory xerosploit digitando cd xerosploit;
  • Installare xerosploit eseguendo il comando python install.py;
  • All'avvio dell'installazione viene richiesto di specificare il sistema operativo per il quale installare il framework. Selezionare l'opzione relativa al proprio sistema. Nel nostro caso, lavorando in Kali Linux, digitare 1 seguito da invio.
    Xerosploit, selezione del sistema operativo
    FIG 2 - Xerosploit, selezione del sistema operativo
  • Al termine dell'installazione un messaggio indica se l'operazione è terminata con successo.
    Xerosploit, installazione completata con successo
    FIG 3 - Xerosploit, installazione completata con successo

Avviare il framework Xerosploit

  • Dal terminale avviare il framework lanciando il comando xerosploit
    Avvio di Xerosploit
    FIG 4 - Avvio di Xerosploit
  • Eseguire la scansione della rete tramite il comando scan

    Xerosploit, Scansione della rete
    FIG 5 - Xerosploit, Scansione della rete
  • Individuato l'indirizzo IP della vittima, digitiamolo seguito da invio. Ad es. in figura FIG 6 prendiamo di mira la postazione con IP 192.168.1.10
    Xerosploit, indirizzo IP della macchina da attaccare
    FIG 6 - Xerosploit, indirizzo IP della macchina da attaccare
  • Digitando help è possibile visualizzare tutti i moduli a disposizione. Ciascun modulo corrisponde ad un'operazione/attacco che è possibile eseguire.
    Xerosploit, moduli
    FIG 7 - Xerosploit, moduli
    I moduli inclusi nel framework sono:
    pscanConsente di effettuare la scansione delle porte della workstation remota.
    dosEffettua un attacco DoS (Denial of Service) verso la workstation specificata.
    pingEsegue un ping verso la macchina che si sta attaccando.
    injecthtmlPermette di eseguire l'inject di codice HTML all'interno delle pagine visualizzate dal browser della vittima.
    injectjsPermette di eseguire l'inject di codice javascript all'interno delle pagine visualizzate dal browser della vittima.
    rdownloadPermette di sostituire qualsiasi file scaricato tramite il browser della vittima con uno a propria scelta.
    sniffEsegue lo sniffing dei pacchetti di rete.
    dspoofPermette di dirottare tutto il traffico http su un indirizzo IP specifico.
    yplayEsegue un suono in background nel browser della vittima.
    replaceSostituisce tutte le immagini visualizzate nel browser della vittima con una a propria scelta.
    driftnetVisualizza tutte le immagini visualizzate dal browser della vittima.
    moveIl contenuto delle pagine web visualizzate dalla vittima iniziano a tremare.
    defaceSostituisce l'intero contenuto della pagina web visualizzato dalla vittima con codice HTML a propria scelta.

    Non resta che digitare il nome del modulo che si intende caricare e lanciare il comando run per eseguirlo. 

Vediamo qualche esempio di utilizzo.

Esempio 1: Uso del modulo Replace per sostituire le immagini visualizzate dal browser
Una volta avviato Xerosploit come indicato nei passaggi precedenti, caricare il modulo replace quindi digitare run per mandarlo in esecuzione.
Verrà richiesto di indicare l'immagine, comprensiva di path, che andrà a sostituire tutte quelle visualizzate dal browser della vittima (ad es. in figura FIG 8 viene indicata l'immagine /root/Desktop/wile-e-coyote.jpg )
Xerosploit, modulo replace
FIG 9 - Xerosploit, modulo replace

A questo punto quando la vittima andrà ad aprire una pagina web, tutte le immagini in essa contenute verranno sostituite da quella da noi indicata.
Per interrompere l'attacco basta premere la combinazione di tasti CTRL+C.



Esempio 2: Uso del modulo move per far vibrare il contenuto della pagina web
Caricare il modulo move ed eseguirlo tramite run. Da questo momento quando la vittima aprirà una pagina web il suo contenuto inizierà a vibrare rendendo difficile la lettura.
Xerosploit, modulo move
FIG 10 - Xerosploit, modulo move

Anche in questo caso, per terminare l'attacco, è necessario premere la combinazione di tasti CTRL+C.


venerdì 9 dicembre 2016

Windows: Modificare le impostazioni del proxy di Internet Explorer tramite registro di sistema

In alcune circostanze può essere utile procedere alla modifica delle impostazioni del proxy di Internet Explorer agendo tramite il registro di sistema.

Per disabilitare l'opzione Rileva automaticamente impostazioni:
  • Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio); 
  • Posizionarsi su HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings 
  • Rimuovere o impostare a 0 il valore DWORD AutoDetect per disattivare l'opzione Rileva automaticamente impostazioni. Per ripristinare l'opzione basta valorizzare AutoDetect ad 1.


Per impostare un determinato proxy e relativa porta:
  • Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio); 
  • Posizionarsi su 
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings 
  • Impostare il valore DWORD ProxyEnable ad 1 per abilitare l'opzione Utilizza un server proxy per le connessioni LAN. Queste impostazioni non verranno applicate alle connessioni remote o VPN.
  • All'interno del valore ProxyServer specificare il proxy e la relativa porta (ad es. proxy.dominio.ext:80).

Impostazioni Proxy
FIG 1 - Impostazioni Proxy


Per automatizzare l'operazione è possibile creare un piccolo script batch con le seguenti righe 
@ECHO OFF
ECHO Configurazione proxy
TIMEOUT /T 3 /NOBREAK
ECHO Disabilitazione opzione Rileva automaticamente impostazioni
REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v AutoDetect /t REG_DWORD /d 0 /f
ECHO Impostazione proxy e relativa porta
REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 1 /f
REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "proxy.domain.ext:PortNumber" /f
ECHO Impostazione proxy terminata. Riavviare Internet Explorer
pause:

Cliccando sul seguente link è possibile scaricare lo script batch e il file .reg

Aprendo il file ImpostaProxy.bat o ImpostaProxy.reg con un editor di testo come Blocco Note, sostituire proxy.domain.ext:PortNumber con il proxy desiderato e relativa porta.

mercoledì 7 dicembre 2016

Windows: Gestire il ripristino di sistema tramite PowerShell

La funzione ripristino di sistema ha fatto il suo debutto con Windows XP. Tale funzionalità risulta molto utile nel caso si riscontrino problemi con Windows, permettendo il ripristino dell'intero sistema ad una data antecedente a quella in cui si è presentato il problema.

In quest'articolo verrà mostrato come gestire tale funzionalità tramite i seguenti comandi PowerShell:
Enable-ComputerRestore
Disable-ComputerRestore
Checkpoint-Computer
Get-ComputerRestorePoint
Restore-Computer

Per poter utilizzare tali cmdlet è necessario eseguire PowerShell come amministratore:
Dal menu Start ricercare PowerShell, quindi cliccare sul collegamento con il tasto destro del mouse e selezionare Esegui come amministratore. All'eventuale richiesta di conferma visualizzata dal UAC (Controllo dell'account utente), confermare cliccando su SI.

Windows 10: Avviare PowerShell come amministratore
FIG 1 - Windows 10: Avviare PowerShell come amministratore

I cmdlet indicati permettono di abilitare/disabilitare la protezione ripristino di sistema, creare nuovi punti di ripristino ed eseguire il restore. Vediamoli in dettaglio.

Enable-ComputerRestore
Enable-ComputerRestore consente di abilitare il ripristino di sistema e specificare su quali dischi attivare la protezione. I dischi su cui va abilitata la protezione da parte del ripristino di sistema vanno specificati separati da virgola come indicato di seguito 
Enable-ComputerRestore "C:\", "D:\"
Sui dischi/partizioni non specificati esplicitamente all'interno del comando, la protezione verrà disabilitata. Impostazioni più dettagliate, come la percentuale del disco da utilizzare, possono essere settate tramite il Pannello di Controllo oppure agendo sulle chiavi di registro presenti in 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore


Disable-ComputerRestore
La sintassi del comando Disable-ComputerRestore è del  tutto analoga a quella vista per Enable-ComputerRestore con la differenza che in questo caso la protezione viene disabilitata per i dischi/partizioni specificati.
Disable-ComputerRestore "C:\", "D:\"


Checkpoint-Computer
Checkpoint-Computer consente di creare un nuovo punto di ripristino. La sintassi è molto semplice, basta far seguire al comando una breve descrizione, contenuta tra apici, da assegnare al punto di ripristino. Ad es.
Checkpoint-Computer "Punto di ripristino antecedente ad Office 2016"


Get-ComputerRestorePoint
Il cmdlet Get-ComputerRestorePoint visualizza tutti i punti di ripristino disponibili e basta eseguirlo senza alcun parametro
Get-ComputerRestorePoint
Oltre alla data/ora e la descrizione del punto di ripristino viene riportato anche il relativo numero sequenziale (SequenceNumber).
Nel caso in cui sia già stato eseguito un ripristino di sistema è possibile verificare il punto di ripristino utilizzato tramite il comando 
Get-ComputerRestorePoint -LastStatus


Restore-Computer
Per ripristinare il sistema si utilizza il cmdlet Restore-Computer indicando il relativo SequenceNumber del punto di ripristino che si intende utilizzare:
Restore-Computer -RestorePoint <SequenceNumber>
Ad esempio, supponendo di voler ripristinare il punto di ripristino avente come SequenceNumber 10 il comando è il seguente
Restore-Computer -RestorePoint 10
Per conoscere il SequenceNumber del punto di ripristino più recente si utilizza il comando 
(Get-ComputerRestorePoint)[-1].sequencenumber
Combinando i 2 cmdlet Restore-ComputerGet-ComputerRestorePoint, come indicato di seguito, possiamo automatizzare il restore al punto di ripristino più recente:
Restore-Computer -RestorePoint (Get-ComputerRestorePoint)[-1].sequencenumber
Il cmdlet Restore-Computer viene eseguito senza richiedere alcuna conferma all'utente. Per visualizzare un messaggio di conferma bisogna aggiungere al cmdlet il parametro -confirm:$true
Restore-Computer -RestorePoint (Get-ComputerRestorePoint)[-1].sequencenumber -confirm:$true

Cmdlet PowerShell per la gestione dei punti di ripristino
FIG 2 - Cmdlet PowerShell per la gestione dei punti di ripristino





lunedì 5 dicembre 2016

Ransomware Vindows

Il ransomware Vindows è stato individuato per la prima volta dal ricercatore di sicurezza Jakub Kroustek di AVG. Il ransomware, realizzato in C#, agisce sui file aventi le seguenti estensioni:

txt, doc, docx, xls, xlsx, ppt, pptx, odt, jpg, png, csv, sql, mdb, sln, php, asp, aspx, html, xml, psd

Il ransomware, individuando tali file sul sistema, provvede a crittografarli utilizzando l'algoritmo AES e aggiungendo l'estensione .Vindows. Terminata questa operazione apparirà a video la seguente schermata (FIG 1) in cui in cui si invita l'utente a chiamare un servizio di supporto per sbloccare i file dopo il pagamento del riscatto di $349.


Vindows si spaccia per un supporto tecnico e chiede soldi per il recupero dei file
FIG 1 - Vindows si spaccia per un supporto tecnico e chiede soldi per il recupero dei file
Chiamando il numero indicato nel messaggio, risponde un'operatore di un call center (presumibilmente dislocato in India) che si spaccia per il servizio di assistenza Microsoft. L'operatore accede da remoto al computer della vittima, apre una pagina del supporto Microsoft per poi sostituirla con un indirizzo diverso ospitato da JotForm. In questo modo la vittima, credendo di trovarsi ancora sul sito Microsoft, compilerà il modulo mostrato a video con i propri dati personali.


Vindows, viene richiesto di compilare un form con i propri dati e la carta di credito
FIG 2 - Vindows, viene richiesto di compilare un form con i propri dati e la carta di credito


All'interno del codice del ransomware sono presenti 2 API Pastebin (api_dev_key e api_user_key) utilizzate per salvare su una pagina Pastebin il nome del computer infetto e la chiave AES con cui sono stati crittografati i file.



Come Decriptare i file


Malwarebytes e un esperto di sicurezza indipendente @TheWack0lian, hanno rilasciato tool per decriptare le varianti di questo nuovo ransomware. Per recuperare i file criptati dal ransomware Vindows è possibile utilizzare uno dei seguenti tool:

Il tool più semplice da utilizzare è VindowsUnlocker: una volta avviato basta cliccare sul pulsante Decrypt e attendere che termini il recupero dei file.


VindowsUnlocker (Vindows Locker Decrypter)
FIG 3 - VindowsUnlocker (Vindows Locker Decrypter)


Windows Quick Tip: Velocizzare la comparsa del pop-up menu

In ambiente Windows posizionando il mouse su un oggetto, come ad es. sulla data e ora nella system tray, dopo un pò appare un pop-up menu contenente del testo con maggiori informazioni sull'oggetto.


Pop-up menu
FIG 1 - Pop-up menu

Per anticipare o ritardare la visualizzazione del pop-up menu è possibile agire tramite il registro di sistema come indicato nei seguenti passaggi:

  • Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
  • Posizionarsi su
    HKEY_CURRENT_USER\Control Panel\Mouse
  • Modificare il Valore stringa nominato MouseHoverTime. Il valore di default è 400. Il valore indica il ritardo, espresso in millisecondi, nella visualizzazione del menu pertanto a valori più bassi corrisponde una maggiore velocità.
La modifica sarà effettiva al successivo logon.


Editor del registro, MouseHoverTime
FIG 2 - Editor del registro, MouseHoverTime