Archives For Microsoft Office

Ne fai parte anche tu (in realtà il tuo indirizzo di posta elettronica aziendale e/o privato), inevitabilmente: “benvenuto a bordo” del più corposo gruppo di vittime di phishing che io ricordi da qualche anno a questa parte. Radio, TV, giornali, ormai puoi leggere articoli in proposito anche nei bagni degli Autogrill o delle stazioni ferroviarie, subito accanto ai numeri di cellulare associati a piccanti sconcerie. Hai visitato un sito web per adulti e qualcuno ha catturato video e audio passando rispettivamente da webcam e microfono del tuo PC, a prescindere che questo sia possibile o no (perché di vittime prive di entrambe le periferiche ne esistono eccome), si parla persino di indirizzi di posta elettronica non presidiati e magari utilizzati da software di terze parti, io ho scoperto che il software di HelpDesk aziendale visita siti web zozzi senza farsi scoprire, bravo!

Calmati, respira, nulla di quanto detto nella mail è vero, non esistono video compromettenti che ti riguardano a meno che non sia stato tu –coscientemente– a volerli mettere in rete, e in tal caso direi che la preoccupazione viaggia sotto lo zero.

Di video compromettenti, riscatti Bitcoin e ondate di phishing

Nella versione italiana, l’attuale ondata prevede un testo che si ripete (come ogni attacco classico) e che modifica solo il campo mittente / destinatario e il valore economico del riscatto richiesto, mantenendo inalterato tutto il resto.

Le e-mail

Ciao!

Come avrai notato, ti ho inviato un’email dal tuo account.
Ciò significa che ho pieno accesso al tuo account.

Ti sto guardando da alcuni mesi.
Il fatto è che sei stato infettato da malware attraverso un sito per adulti che hai visitato.
Se non hai familiarità con questo, ti spiegherò.
Virus Trojan mi dà pieno accesso e controllo su un computer o altro dispositivo.
Ciò significa che posso vedere tutto sullo schermo, accendere la videocamera e il microfono, ma non ne sai nulla.

Ho anche accesso a tutti i tuoi contatti e tutta la tua corrispondenza.

Perché il tuo antivirus non ha rilevato il malware?
Risposta: il mio malware utilizza il driver, aggiorno le sue firme ogni 4 ore in modo che Il tuo antivirus era silenzioso.

Ho fatto un video che mostra come ti accontenti nella metà sinistra dello schermo, e nella metà destra vedi il video che hai guardato.
Con un clic del mouse, posso inviare questo video a tutte le tue e-mail e contatti sui social network.
Posso anche postare l’accesso a tutta la corrispondenza e ai messaggi di posta elettronica che usi.

Se vuoi impedirlo, trasferisci l’importo di 238€ al mio indirizzo bitcoin (se non sai come fare, scrivi a Google: “Compra Bitcoin”).

Il mio indirizzo bitcoin (BTC Wallet) è: 17YKd1iJBxu616JEVo15PsXvk1mnQyEFVt

Dopo aver ricevuto il pagamento, eliminerò il video e non mi sentirai mai più.
Ti do 48 ore per pagare.
Non appena apri questa lettera, il timer funzionerà e riceverò una notifica.

Presentare un reclamo da qualche parte non ha senso perché questa email non può essere tracciata come e il mio indirizzo bitcoin.
Non commetto errori!

Se scopro di aver condiviso questo messaggio con qualcun altro, il video verrà immediatamente distribuito.

Auguri!

In inglese la storia non cambia (c’è un diverso BTC Wallet, se ci fai bene caso), questo è ciò che ho intercettato tramite l’Exchange in Cloud che utilizziamo in ufficio e una Transport Rule creata ad-hoc, di cui ti parlerò tra breve:

Hi! As you may have noticed, I sent you an email from your account. This means that I have full access to your acc: On moment of crack USER@CONTOSO.COM password: 54428949 You say: this is my, but old password! Or: I will change my password at any time! Of course! You will be right, but the fact is that when you change the password, my malicious code every time saved a new one! I’ve been watching you for a few months now. But the fact is that you were infected with malware through an adult site that you visited. If you are not familiar with this, I will explain. Trojan Virus gives me full access and control over a computer or other device. This means that I can see everything on your screen, turn on the camera and microphone, but you do not know about it. I also have access to all your contacts and all your correspondence from e-mail and messangers. Why your antivirus did not detect my malware? Answer: My malware uses the driver, I update its signatures every 4 hours so that your antivirus is silent. I made a video showing how you satisfy yourself in the left half of the screen, and in the right half you see the video that you watched. With one click of the mouse, I can send this video to all your emails and contacts on social networks. I can also post access to all your e-mail correspondence and messengers that you use. If you want to prevent this, transfer the amount of $791 to my bitcoin address (if you do not know how to do this, write to Google: “Buy Bitcoin”). My bitcoin address (BTC Wallet) is: 1KeCBKUgQDyyMpaXhfpRi2qUvyrjcsT44o After receiving the payment, I will delete the video and you will never hear me again. I give you 48 hours to pay. I have a notice reading this letter, and the timer will work when you see this letter. Filing a complaint somewhere does not make sense because this email cannot be tracked like my bitcoin address. I do not make any mistakes. If I find that you have shared this message with someone else, the video will be immediately distributed. Bye!

Complessità spicciole

Appurato che l’utilizzo non autorizzato di dispositivi come microfono e webcam è stato reso possibile in passato da backdoor scoperte e rese poi pubbliche, quindi ormai inutilizzabili (anche di questi argomenti puoi leggere ciò che vuoi sul web, non è difficile), e che è quindi consigliato prendere precauzioni (molti PC oggi propongono occhielli che è possibile chiudere quando non si utilizza la webcam, e ci sono delle applicazioni che avvisano nel caso in cui un qualsiasi software o servizio stia tentando l’accesso silente al microfono, per esempio), quanto affermato dall’autore dell’attacco è abbastanza improbabile:

  • la mail arriva sì dal tuo stesso nome, cognome e indirizzo di posta elettronica, ma non è realmente così. Analizzando l’header scoprirai che il mittente usa un indirizzo IP non autorizzato all’invio di mail con il tuo dominio (fallisce la verifica del record SPF, ma non solo), molto spesso africano (questo è ciò che rilevo dall’ondata che stiamo analizzando con Microsoft da un paio di giorni a questa parte): redirect.li/map/?ip=41.187.116.102. Se hai bisogno di uno strumento pratico per l’analisi degli header di posta elettronica, ti consiglio quello ufficiale Microsoft all’indirizzo mha.azurewebsites.net/pages/mha.html. Per questo stesso motivo la casella di posta elettronica reale è in salute, non violata, e chi attacca non può avere avuto accesso alla tua casella di posta elettronica, né tanto meno ai contatti della rubrica.
  • I malware possono pressoché tutto se hanno accesso indisturbato alla tua macchina, ma per poterti infettare dovrai aver installato qualcosa tu di tua sponte (all’incirca), non ci si prende delle malattie solo perché hai sfiorato o sei rimasto per più tempo su un sito web per adulti. Altra clamorosa stupidata è quella relativa al driver e all’aggiornamento delle firme ogni 4 ore.

pourparler

  • Qualcuno sa spiegarmi cosa vuol dire accontentarsi di metà video destra o sinistra? Non è una complessità, più che altro è curiosità, ma proseguiamo.
  • Hai notato che non c’è riferimento alcuno al fatto che il pagamento verrà verificato? Tu paga, io cancello, ma non hai modo di verificare che questo venga realmente fatto, non ti suona un pelo strano?
  • All’interno della mail si parla di conto alla rovescia, ma non c’è sistema alcuno integrato che lo permetta. È una cosa fattibile, si usano dei “pixel” come fossero immagini che –una volta visualizzate– possono effettivamente far partire un avviso al mittente, ma l’ondata di cui siamo un po’ tutti partecipi attualmente non contiene al suo interno nulla di tutto questo. Sulla base di tutto questo viene meno anche la scoperta della condivisione (quella per la quale verrà condiviso immediatamente il video, senza possibilità di appello).

Consigli

Immagino tu ne stia cercando, è ragionevole considerando che forse non sei ferrato in materia e probabilmente un piccolo attacco di panico lo hai anche avuto. Provo a buttare giù qualche linea guida che spero possa tornarti utile, ma se vuoi chiedere dell’altro non farti problemi, sei il benvenuto, puoi utilizzare l’area commenti qui di seguito o se preferisci (e sei iscritto a Reddit) il sub /r/Gioxx.

  • Vuoi cambiare password? Non è necessario, ma fallo se ciò ti fa sentire più sicuro. Ti ricordo che sarebbe opportuno utilizzare password diverse per ogni servizio, non facilmente riconducibili a te ma non per questo motivo troppo complesse, dai un’occhiata a questo mio vecchio articolo in merito. Se non sai come ricordarle tutte o come gestirle al meglio, ti consiglio di leggere L’ecosistema “KeePass based”: gestire password tra più sistemi.
  • L’antivirus è certamente fondamentale. A prescindere dalla tua scelta (vendor / prodotto), è sempre bene averne uno aggiornato, al quale permettere di effettuare scansioni complete programmate (quotidiane se possibile, settimanali come minimo). A questo puoi associare, nel caso già non lo facesse lui, un software antispam e uno antimalware (come MBAM), da utilizzare di tanto in tanto per capire se ci sono ospiti scomodi (anche se non troppo) a bordo della macchina.
  • Il browser è il centro della tua quotidianità. Non mi importa se sei pro o contro Firefox, se sei fanboy di Google o chissà quale altro prodotto, l’importante è utilizzare un browser costantemente aggiornato e sicuro, evita Internet Explorer e anche Edge (almeno fino a quando questo non sarà basato sul progetto Chromium), proteggiti ulteriormente utilizzando componenti aggiuntivi che non permettono di essere tracciati durante la navigazione.

Exchange in Cloud

Di video compromettenti, riscatti Bitcoin e ondate di phishing 1

Se sei amministratore di server Exchange in Cloud (la soluzione proposta da Office 365) crea una nuova Transport Rule per proteggere i tuoi utenti. Collegati all’ECP e spostati sotto mail flowrules, quindi crea la regola partendo dal template di Bypass spam filtering (anche se così non sarà) e:

If the message…

  • Includes these patterns in the message subject or body: ‘bitcoin’ or ‘pornografico’ or ‘masturbazione’ or ‘BTC Wallet’
  • and Is received from ‘Outside the organization’

Do the following…

  • Set audit severity level to ‘High’
  • and Deliver the message to the hosted quarantine.
  • and Stop processing more rules
  • and Send the incident report to ADMINS@CONTOSO.COM (sostituiscilo con un tuo indirizzo di posta elettronica), include these message properties in the report: sender, recipients,
  • subject, matching rules, matching content

Rule mode

  • Enforce

Additional properties

  • Sender address matches: Header

La regola potrebbe certamente fermare in Quarantena del materiale lecito che nulla c’entra con l’attacco, ma considerando la quantità di mail oggi in ingresso ti assicuro che i falsi positivi possono essere contati sulle dita di una sola mano. Ti toccherà quindi tenere d’occhio la coda di mail bloccate, ma è cosa assai semplice (per il momento), che potrai fare più volte nel corso di una giornata (protection.office.com/#/quarantine, da mostrare per “Criterio“).

Sono ancora in contatto con il supporto Microsoft per migliorare ulteriormente l’intercettazione di queste mail tramite RegEx, aggiornerò l’articolo non appena ci saranno sviluppi (testati e funzionanti) in merito.

Letture e conclusioni

Ottenere il tuo indirizzo di posta elettronica e bersargliarlo con attacchi di questo tipo è cosa ormai assai semplice. Se non sei tu a inserirlo in moduli (e quindi database) facilmente attaccabili e dai quali ottenere –come manna dal cielo– informazioni facilmente rivendibili, saranno altri a farlo per conto tuo (senza necessariamente la tua autorizzazione), esempi pratici di ciò sono quelli discussi da Troy Hunt (ripresi poi in italiano da Michele Nasi) nel suo articolo The 773 Million Record “Collection #1” Data Breach (in italiano qui: ilsoftware.it/articoli.asp?tag=Diffuso-in-rete-un-archivio-con-773-milioni-di-indirizzi-email-e-password-verificate-se-ci-sono-anche-i-vostri_18617).

Ti ho parlato già di strumenti come HIBP o Firefox Monitor, trovi qualche informazione in più qui: Firefox Monitor ti avvisa in caso di furto credenziali.

Occhi sempre bene aperti! ;-)


immagine di copertina: unsplash.com / author: rawpixel

Condividi l'articolo con i tuoi contatti:

Ho rimesso mano al ChannelSelector per Office di cui ti avevo parlato un anno fa circa, un po’ per mettere a posto i nuovi nomi dei canali di aggiornamento adottati da Microsoft, un po’ per cambiare il metodo di intervento sul registro, in accordo con ciò che oggi è ormai capace di fare il Click2Run ufficiale che teoricamente utilizzi per mandare in downgrade o upgrade forzato una suite Office dal prompt dei comandi. Andiamo con ordine però, nell’articolo ti spiegherò le novità dello script, i riferimenti da adottare per il Registro di Sistema e l’uso in alternativa del C2R disponibile nella cartella Common Files di Office, soluzione che continua a rimanere ufficiale, pensata e distribuita direttamente da Microsoft.

Office 365 ProPlus (2016): aggiornamento di ChannelSelector

Il nuovo ChannelSelector

Tolto il blocco informativo iniziale con i riferimenti e le fonti utilizzate, cambia il metodo di azione sul Registro di Sistema (regedit), andando a compilare / modificare il campo CDNBaseUrl che determina l’URL dal quale scaricare i file di installazione o aggiornamento di Office, si passa poi alla rimozione delle altre chiavi di registro precedentemente valorizzate, così da permettere al tuo Office di popolarsele autonomamente al successivo avvio e conseguente ricerca aggiornamenti (inevitabile, considerando che stai cambiando canale di distribuzione).

Rimangono invece disponibili e valide le altre opzioni, fatte per conoscere il branch utilizzato e bloccare o permettere gli aggiornamenti automatici della suite. Una verifica introdotta con questa versione dello script si occuperà di terminarlo nel caso in cui non rilevi un’installazione di Office 2016 a bordo macchina.

Avvia lo script come amministratore locale della macchina (o di dominio), quindi scegli ciò che ti serve. Se non vuoi utilizzare un prompt dei comandi (oltre quanto già fatto per utilizzare il mio batch), dovrai chiudere ogni applicazione Office (e riaprirne una qualsiasi dopo la modifica) se vuoi accertarti che l’obiettivo sia stato centrato.

Maggiori informazioni (sempre utili) sul rilascio degli aggiornamenti sono disponibili nella documentazione ufficiale di Microsoft, a questi indirizzi: docs.microsoft.com/it-it/DeployOffice/overview-of-update-channels-for-office-365-proplus & docs.microsoft.com/it-it/officeupdates/release-notes-office365-proplus.

In via ufficiale: OfficeC2RClient.exe

Volendo operare per vie ufficiali, Microsoft ha da tempo aggiornato il proprio OfficeC2RClient.exe per permetterti di cambiare canale di distribuzione per nuove versioni e aggiornamenti della suite Microsoft Office. Ti spiego molto rapidamente come procedere partendo dallo schema aggiornamenti:

CanaleParametro (da Prompt o Office Deployment Tool)
Canale mensile (Mirato)Channel=Insiders o Channel=FirstReleaseCurrent
Canale mensileChannel=Monthly o Channel=Current
Canale semestrale (Mirato)Channel=Targeted o Channel=FirstReleaseDeferred
Canale semestraleChannel=Broad o Channel=Deferred

Ciò detto, apri un prompt dei comandi con diritti amministrativi, quindi spostati sotto Program Files → Common Files → microsoft shared → ClickToRun (cd \Program Files\Common Files\microsoft shared\ClickToRun). A questo punto dovrai semplicemente lanciare l’eseguibile OfficeC2RClient.exe con il parametro /changesetting Channel=$Canale, dove al posto di $Canale dovrai specificare quello che ti interessa, un esempio pratico:

C:\Program Files\Common Files\microsoft shared\ClickToRun>OfficeC2RClient.exe /changesetting Channel=Monthly

Questa abiliterà il canale di aggiornamento mensile sulla suite Office installata. Per poter scatenare l’operazione di ricerca aggiornamenti nell’immediato ti basterà utilizzare lo stesso eseguibile ma con un parametro diverso:

C:\Program Files\Common Files\microsoft shared\ClickToRun>OfficeC2RClient.exe /update user

Il gioco è fatto, non ti servirà fare null’altro.

Buon lavoro :-)


crediti: erwinbierens.com/switch-office-2016-to-monthly-targeted-channel

Condividi l'articolo con i tuoi contatti:

In un robusto file Excel, molto ricco e popolato, spesso può capitare di perdere d’occhio la cella selezionata con relativa riga e colonna; hai bisogno magari di dare un’occhiata a un valore della stessa riga ma la cella su cui hai puntato il cursore del mouse si trova al lato opposto del foglio, diciamo che non è la cosa più comoda dell’Universo. Per questo motivo ho cercato una soluzione percorribile e poco invasiva che mi aiutasse a non perdere di vista nulla di ciò che mi tornava utile.

Excel: eliminare collegamenti ad altre cartelle quando non funziona l'interruzione 1

Ho percorso la via della modifica VBA, come già successo in passato con altro. Ispirazione e script perfettamente funzionante ereditato da extendoffice.com/it/documents/excel/1494-excel-highlight-active-row-and-column.html, io ho solo dovuto ritoccare il colore scelto per evitare di andare in contrasto con quelli già utilizzati nel mio foglio Excel. Ti riepilogo molto rapidamente i passaggi da fare:

Con Excel aperto, e il tuo foglio di lavoro in primo piano, premi la combinazione ALT + F11 da tastiera, si aprirà il Visual Basic Application Editor. Seleziona con un doppio clic il foglio di lavoro che ti interessa modificare, comparirà una finestra vuota (bianca) subito a destra. A questo punto potrai copiare e incollare il seguente codice all’interno di quella finestra:

Sub Worksheet_SelectionChange(ByVal Target As Excel.Range)
'Update 20140318
Static xRow
Static xColumn
If xColumn <> "" Then
    With Columns(xColumn).Interior
        .ColorIndex = xlNone
    End With
    With Rows(xRow).Interior
        .ColorIndex = xlNone
    End With
End If
pRow = Selection.Row
pColumn = Selection.Column
xRow = pRow
xColumn = pColumn
With Columns(pColumn).Interior
    .ColorIndex = 6
    .Pattern = xlSolid
End With
With Rows(pRow).Interior
    .ColorIndex = 6
    .Pattern = xlSolid
End With
End Sub

Considera che il codice andrà a evidenziare l’intera riga e l’intera colonna rispetto alla cella selezionata in quel momento. Se ti sposterai utilizzando la tastiera (o il clic del mouse), cambierà la relativa evidenziazione, tutto live. Salvando quanto copiato e incollato nella finestra dell’editor VBA (che ora puoi chiudere) vedrai immediatamente il risultato, non c’è bisogno di eseguire alcuna macro (quindi rifiuta eventuali messaggi a video in merito, come quello in immagine qui di seguito):

Excel: evidenziare riga e colonna rispetto alla cella selezionata

Fai clic su “Sì”, salva il lavoro senza l’utilizzo di macro.

Se al termine del tuo lavoro desideri ripristinare il normale funzionamento del foglio Excel (quindi rimuovere l’evidenziazione), dovrai tornare nell’editor VBA (sempre con ALT + F11 da tastiera) e cancellare tutto il codice sorgente che hai precedentemente copiato e incollato, quindi salvare la modifica e chiudere l’editor. L’ultima colonna e riga rimaste evidenziate dovranno essere riportate manualmente allo stile di base (copia il formato da una colonna corretta e applicalo a quella rimasta evidenziata, ripeti l’operazione per la riga).

Update

Quasi dimenticavo: se vuoi modificare il colore dell’evidenziazione, dovrai intervenire su entrambi i valori ColorIndex = 6 e inserire un differente numero al posto del 6, secondo una palette che puoi facilmente trovare in una lista come quella proposta qui: dmcritchie.mvps.org/excel/colors.htm. Per capirci: evidenziare con un bel verde leggibile equivale al numero 43.

Buon lavoro.

×

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!
Condividi l'articolo con i tuoi contatti:

Personal.xls e Excel: coppia insopportabileUna di quelle pillole che potresti non conoscere (ma che io faccio talmente per abitudine da considerarla una banalità, magari sbagliando). Per eliminare delle celle (o righe direttamente) vuote in Excel, ti basta:

  • selezionare la colonna da cui partire (non ti preoccupare, è giusto la base, poi allargherai la selezione in seguito),
  • premere F5,
  • fare clic su Speciale → Celle vuote (fai poi clic su OK).

Excel dovrebbe ora averti evidenziato tutte le celle vuote nella colonna precedentemente selezionata, ti basterà perciò fare clic sul pulsante Elimina nella barra degli strumenti Home del programma (oppure fare clic con il tasto destro e scegliere Elimina) e poi, quando richiesto, scegliere “Elimina l’intera riga“.

×

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!
Condividi l'articolo con i tuoi contatti:

Capita, perché capita, fidati, che una singola applicazione di Microsoft Office su macOS decida di morire lungo la strada, accasciandosi lì per terra e decidendo che “no, lasciami qui, va pure avanti da solo“. Contrariamente a Windows, dove hai il C2R a poter risolvere queste seccanti faccende legate alla disinstallazione e reinstallazione singola del pacchetto interessato (puoi in alternativa scegliere di effettuare un ripristino rapido da Pannello di Controllo), su macOS la storia diventa ancora più facile grazie alla possibile cancellazione dell’applicazione (singola, richiamata dall’ovvio ⌘⌫) seguita poi dall’installazione del PKG dedicato.

Microsoft Office per Mac: reinstallare un'applicazione specifica

Per la cancellazione non credo servano altre parole: ti basterà andare in Applicazioni e buttare via l’eseguibile interessato. Per recuperarne uno nuovo devi invece passare per la pagina ufficiale di Microsoft all’indirizzo docs.microsoft.com/it-it/officeupdates/update-history-office-for-mac, dalla quale (scorrendola leggermente verso il basso) potrai prelevare i pacchetti installanti (PKG) per l’aggiornamento o installazione completa del prodotto che ti serve in quel momento specifico, che si tratti di Word o Excel, passando da Outlook. Puoi in alternativa, sempre dalla stessa, recuperare anche la “Famiglia di prodotti Office (tutte le applicazioni)“.

All’interno della stessa pagina troverai anche aggiornamenti più recenti per altre applicazioni Mac da Microsoft (Microsoft AutoUpdate o Desktop Remoto sono solo due esempi). Ricordati che, prima di installare un PKG scaricato, occorre eliminare l’applicazione che stai per rimettere in sesto, diversamente continuerai a ottenere errori a video.

Buon lavoro.

×

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!
Condividi l'articolo con i tuoi contatti: