ago 31 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • VMware corrige vulnerabilidades críticas no Aria Operations.
    A VMware divulgou atualizações de software para corrigir duas vulnerabilidades críticas em seu produto Aria Operations for Networks. Essas falhas poderiam ser exploradas para burlar a autenticação e executar código remotamente. A falha mais grave é identificada como CVE-2023-34039, com uma pontuação CVSS de 9.8. Essa vulnerabilidade está relacionada a um caso de falha na geração de chaves criptográficas únicas, o que poderia permitir a um ator malicioso burlar a autenticação. Segundo a empresa, um ator malicioso com acesso à rede do Aria Operations poderia burlar a autenticação SSH para ganhar acesso ao CLI (Interface de Linha de Comando) do produto. A segunda vulnerabilidade é identificada como CVE-2023-20890. Esta é uma vulnerabilidade de gravação de arquivo arbitrário que afeta o Aria Operations for Networks.
  • GitHub Enterprise Server obtém novos recursos de segurança.
    O GitHub anunciou na terça-feira a disponibilidade geral do Enterprise Server 3.10 com novos recursos de segurança, incluindo suporte para regras de implantação personalizadas. Com a nova versão, o GitHub Projects agora está disponível no Enterprise Server, proporcionando aos administradores maior visibilidade sobre problemas e pull requests. Agora, as equipes que usam GitHub Actions também podem criar suas próprias regras personalizadas de proteção de implantação, para garantir que apenas “as implantações que atendem a todos os requisitos de qualidade, segurança e aprovação manual cheguem à produção”, explica a plataforma de hospedagem de código. De acordo com o GitHub, a nova versão também torna mais fácil para as equipes de segurança rastrear a cobertura e os riscos em todos os repositórios, desde as páginas de “segurança de código” de nível empresarial, por meio do recurso Dependabot.
  • Atores maliciosos exploram Windows Container Isolation Framework.
    Novas descobertas indicam que atores maliciosos podem explorar uma técnica furtiva de evasão de detecção de malware e contornar soluções de segurança de endpoint, manipulando o Windows Container Isolation Framework. A arquitetura de contêiner da Microsoft utiliza uma “imagem gerada dinamicamente” para separar o sistema de arquivos de cada contêiner do host, evitando assim a duplicação de arquivos do sistema. O resultado são imagens que contêm “arquivos fantasmas”, que não armazenam dados reais, mas apontam para um volume diferente no sistema. Os pesquisadores sugeriram que esse mecanismo de redirecionamento poderia ser usado para ofuscar operações do sistema de arquivos e confundir produtos de segurança. No entanto, vale ressaltar que a execução do ataque requer permissões administrativas para se comunicar com o driver wcifs e não pode ser usado para substituir arquivos no sistema host.
Rubens Zolotujin 0 Comentários
ago 11 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • NIST lança versão preliminar do Cybersecurity Framework 2.0.
    O NIST lançou uma versão preliminar do Cybersecurity Framework 2.0, a primeira grande atualização desde 2014. A nova versão expande o foco além da infraestrutura crítica, incluindo pequenas e médias empresas, escolas locais e outras entidades. A estrutura revisada aborda o papel da governança corporativa e os crescentes riscos às redes digitais através de relações com terceiros. A atualização considera mudanças na paisagem de cibersegurança, incluindo ameaças, tecnologias e padrões. Organizações em todo o mundo usaram o CSF original na última década, com mais de 2 milhões de downloads. O CSF 2.0 reflete as mudanças significativas na paisagem de ameaças digitais. O NIST solicitou informações em fevereiro de 2022 sobre como revisar a estrutura e melhorar a gestão de riscos da cadeia de suprimentos. Recebeu mais de 130 respostas de várias empresas e organizações. O NIST lançará uma ferramenta de referência CSF 2.0 em algumas semanas e realizará uma oficina no outono para comentários adicionais do público. O prazo para comentários públicos é 4 de novembro, e a versão final será publicada no início de 2024.
  • Mais de 40 Vulnerabilidades foram corrigidas nas atualizações de segurança do Android.
    O Google corrigiu mais de 40 vulnerabilidades no sistema operacional Android com o lançamento das atualizações de segurança de agosto de 2023. A vulnerabilidade mais séria é a CVE-2023-21273, um problema crítico de execução remota de código que afeta o componente do sistema. Essa vulnerabilidade impacta as versões Android 11, 12, 12L e 13. Várias outras vulnerabilidades foram classificadas como ‘críticas’, incluindo falhas de execução remota de código no componente Media Framework e corrupção de memória em componentes fechados da Qualcomm. O Google enfatizou a importância de atualizar para as versões mais recentes do Android, observando que a exploração de muitas questões é dificultada pelas melhorias nas versões mais recentes da plataforma.
  • Adobe corrige 30 vulnerabilidades em seus softwares.
    A Adobe lançou uma série de atualizações de segurança para seus softwares, corrigindo pelo menos 30 vulnerabilidades que afetam instalações no Windows e macOS. Os softwares afetados incluem Acrobat DC, Acrobat Reader DC, Acrobat 2020 e Acrobat Reader 2020. A maioria das falhas foi descrita como problemas de segurança de memória. A Adobe afirmou que não tinha conhecimento de qualquer exploração dessas vulnerabilidades em ambiente real. A equipe Adobe PSIRT também atualizou o software Adobe Dimension para cobrir três falhas que expõem usuários do Windows e macOS à execução arbitrária de código e vazamentos de memória. As atualizações refletem a contínua necessidade de vigilância e resposta rápida a vulnerabilidades de segurança em softwares amplamente utilizados. Usuários e administradores devem aplicar as atualizações prontamente para proteger seus sistemas.
Rubens Zolotujin 0 Comentários
ago 10 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Microsoft lança 74 correções na atualização de agosto de 2023.
    A Microsoft lançou correções para 74 falhas de software em suas atualizações de Patch Tuesday de agosto de 2023, uma diminuição das 132 vulnerabilidades corrigidas no mês passado. Os patches incluem seis vulnerabilidades de segurança Críticas e 67 Importantes, juntamente com duas atualizações de defesa em profundidade para o Microsoft Office e a Ferramenta de Verificação de Prontidão do Sistema de Integridade de Memória. A empresa também abordou 31 problemas em seu navegador Edge baseado em Chromium e uma falha de canal lateral em certos modelos de processador AMD. Uma falha de segurança notável, CVE-2023-36884, explorada ativamente pelo ator de ameaça ligado à Rússia, RomCom, foi corrigida. Três falhas significativas de execução de código remoto no Exchange Server foram resolvidas, duas das quais são mais propensas a serem exploradas. Além disso, patches para cinco falhas de escalonamento de privilégios no Kernel do Windows foram incluídos.
  • Hackers assossiados à China atacam 17 países.
    Hackers associados ao Ministério de Segurança do Estado (MSS) da China foram associados a ataques em 17 países diferentes na Ásia, Europa e América do Norte de 2021 a 2023. Ativos desde 2019, alguns dos setores proeminentes visados pelo grupo abrangem academia, aeroespacial, governo, mídia, telecomunicações e pesquisa. A maioria das vítimas durante o período eram organizações governamentais. Desde então, o grupo está vinculado à exploração de falhas do Log4Shell, bem como a ataques direcionados a telecomunicações, pesquisa, desenvolvimento e organizações governamentais no Nepal, Filipinas, Taiwan e Hong Kong para implantar backdoors para acesso de longo prazo. Um aspecto digno de nota do modus operandi do ator é o uso de uma infraestrutura multicamadas, cada uma focada no reconhecimento inicial e no acesso à rede de longo prazo por meio de servidores de comando e controle. Ele utiliza predominantemente NameCheap para registro de domínio.
  • Android 14 permite aos administradores de TI desativar o suporte para redes especificas.
    O Google introduziu um novo recurso de segurança no Android 14 que permite aos administradores de TI desativar o suporte para redes celulares 2G em sua frota de dispositivos gerenciados. A gigante das buscas disse que está introduzindo uma segunda configuração de usuário para desativar o suporte, no nível do modelo, para conexões de celular com codificação nula. O Android Security Model assume que todas as redes são hostis para manter os usuários protegidos contra injeção de pacotes de rede, adulteração ou espionagem no tráfego do usuário. As redes 2G, em particular, empregam criptografia fraca e carecem de autenticação mútua, tornando-as suscetíveis à interceptação over-the-air e ataques de descriptografia de tráfego ao representar uma torre 2G real. 
Rubens Zolotujin 0 Comentários
ago 9 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Nova variante do Ransomware Yashma visa vários Países.
    Um agente de ameaça desconhecido está usando uma variante do ransomware Yashma para atingir várias entidades na Bulgária, China e Vietnã, pelo menos desde 4 de junho de 2023. Cisco Talos, em um novo texto, atribuiu a operação com confiança moderada a um adversário de provável origem vietnamita. Yashma, descrito pela primeira vez pela equipe de pesquisa e inteligência da BlackBerry em maio de 2022, é uma versão renomeada de outra cepa de ransomware chamada Chaos. Um mês antes de seu surgimento, o construtor de ransomware Chaos vazou na natureza. Um aspecto notável da nota de resgate é sua semelhança com o conhecido ransomware WannaCry, possivelmente feito em uma tentativa de obscurecer a identidade do ator da ameaça e confundir os esforços de atribuição. Embora a nota mencione um endereço de carteira para o qual o pagamento deve ser feito, ela não especifica o valor. A revelação ocorre no momento em que a empresa de segurança cibernética disse que vazamentos de código-fonte e construtores de ransomware estão levando à aceleração de novas variantes de ransomware, resultando em mais ataques.
  • Hackers lançam ataques contra Agências estatais ucranianas.
    Hackers atacaram agências governamentais ucranianas com uma campanha de phishing usando um programa de código aberto chamado MerlinAgent. No início de agosto, um agente de ameaças não identificado rastreado como UAC-0154 enviou e-mails maliciosos para seus alvos, supostamente contendo dicas de segurança da equipe de resposta a emergências da Ucrânia (CERT-UA). Esses e-mails continham anexos maliciosos que infectavam os computadores das vítimas com a ferramenta MerlinAgent. O MerlinAgent já foi usado no início de julho para lançar ataques contra agências governamentais ucranianas, de acordo com a CERT-UA. A ferramenta tem um código aberto publicado no GitHub por um usuário com o apelido Russel Van Tuyl.
  • Operadores de malware QakBot expandem rede C2 com 15 novos servidores.
    As descobertas são uma continuação da análise de infraestrutura do malware da Team Cymru, e chegam pouco mais de dois meses depois após uma pesquisa que evelou que 25% de seus servidores C2 estão ativos apenas por um único dia. O QakBot tem um histórico de fazer uma pausa prolongada a cada verão antes de retornar em algum momento em setembro, com as atividades de spam deste ano cessando por volta de 22 de junho de 2023. A maioria dos servidores C2 do bot, que se comunicam com os hosts da vítima, está localizada na Índia e os endereços IP de destino dos EUA identificados a partir de conexões T2 de saída estão baseados principalmente nos EUA, Índia, México e Venezuela. Fora os 15 servidores C2, seis servidores C2 ativos desde antes de junho e dois servidores C2 que ganharam vida em junho continuaram a exibir atividade em julho após a conclusão do spam. 
Rubens Zolotujin 0 Comentários
ago 8 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Hackers norte-coreanos miram empresa russa de engenharia de mísseis
    Dois grupos de hackers norte-coreanos foram ligados a um ataque cibernético contra a principal empresa russa de engenharia de mísseis NPO Mashinostroyeniya. Segundo o relatório, dois casos de comprometimento foram relacionados à Coreia do Norte, incluindo um caso de comprometimento de servidor de e-mail e a implantação de um backdoor do Windows apelidado de OpenCarrot. O desenvolvimento marca uma rara convergência em que dois grupos independentes de atividade de ameaça baseados na Coreia do Norte visaram a mesma entidade, indicando uma “missão de espionagem estratégica altamente desejável” que poderia beneficiar seu controverso programa de mísseis. O OpenCarrot é implementado como uma biblioteca de vínculo dinâmico (DLL) do Windows e suporta mais de 25 comandos para realizar reconhecimento, manipular sistemas de arquivos e processos e gerenciar vários mecanismos de comunicação.
  • Clop ransomware agora usa torrents para vazar dados.
    A gangue de ransomware Clop mais uma vez alterou as táticas de extorsão e agora está usando torrents para vazar dados roubados em ataques relacionados a MOVEit. A partir de 27 de maio, a gangue lançou uma onda de ataques de roubo de dados explorando uma vulnerabilidade de zero day na plataforma de transferência segura de arquivos MOVEit Transfer. Explorar essa falha permitiu que os agentes de ameaças roubassem dados de quase 600 organizações em todo o mundo antes mesmo que elas perceberem que foram hackeadas. Em 14 de junho, a gangue de ransomware começou a extorquir suas vítimas, adicionando lentamente nomes ao site de vazamento de dados Tor e, eventualmente, divulgando publicamente os arquivos. No entanto, o vazamento de dados através de um site Tor vem com algumas desvantagens, pois a velocidade de download é lenta, fazendo com que o vazamento, em alguns casos, não seja tão prejudicial quanto poderia ser se fosse mais fácil acessar os dados.
  • Departamento de Educação do Colorado divulga violação massiva de dados.
    O Departamento de Educação Superior do Colorado (CDHE) divulga uma violação massiva de dados que afeta alunos, ex-alunos e professores após sofrer um ataque de ransomware. Em um ‘Aviso de Incidente de Dados’ publicado no site do CDHE, o Departamento diz que sofreu um ataque de ransomware em 19 de junho de 2023. “Em 19 de junho de 2023, a CDHE tomou conhecimento de que foi vítima de um incidente de ransomware de segurança cibernética que afetou seus sistemas de rede”, explica a notificação de violação de dados. “A CDHE tomou medidas para proteger a rede e tem trabalhado com especialistas terceirizados para conduzir uma investigação completa sobre este incidente. O CDHE também trabalhou para restaurar os sistemas e voltar às operações normais.” Os dados roubados são usados em ataques de dupla extorsão, onde ameaçam vazar dados publicamente, a menos que um resgate seja pago. 
Rubens Zolotujin 0 Comentários
ago 7 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Vazamento de dados no Burger King expõe credenciais sensíveis.
    O Burger King, uma das maiores redes de fast food do mundo, enfrentou recentemente um vazamento de dados preocupante em sua filial na França. Em 1º de junho de 2023, foi descoberto que credenciais sensíveis estavam expostas ao público devido a uma má configuração no site. O arquivo exposto continha várias credenciais, incluindo acesso ao banco de dados. Essas informações, embora não suficientes para controlar completamente o site, poderiam facilitar um ataque por parte de invasores mal-intencionados. Além das credenciais do banco de dados, o arquivo também continha identificadores de ferramentas de análise da web. Esses dados poderiam ser usados para executar códigos maliciosos no site ou distorcer as análises de tráfego. Após ser notificada do problema, a empresa agiu rapidamente para corrigir a falha. O Burger King não divulgou detalhes sobre possíveis danos ou o número de pessoas afetadas.
  • Executáveis do Microsoft Office Abrem Portas para instalação de Malware.
    Recentemente, foi revelado que executáveis do Microsoft Outlook, Access e Publisher podem ser usados para baixar conteúdo malicioso de servidores remotos. O pesquisador de segurança Nir Chako investigou os executáveis da suíte Microsoft Office e identificou três arquivos: MsoHtmEd.exe, MSPub.exe, e ProtocolHandler.exe, que podem ser utilizados para baixar arquivos de terceiros. Além dos binários da Microsoft, foram encontrados arquivos de outros desenvolvedores, como os da suíte PyCharm para desenvolvimento Python, que atendem aos critérios LOLBAS. A jornada para descobrir novos arquivos LOLBAS levou Chako a desenvolver ferramentas que automatizam a descoberta, permitindo a análise de todo o conjunto de binários da Microsoft em cerca de cinco horas. s ferramentas criadas são versáteis e podem ser executadas em outras plataformas, como Linux, abrindo novas possibilidades para explorar territórios LOLBAS.
  • Malware Rilide tem como alvo navegadores baseados no Chromium.
    Pesquisadores de cibersegurança identificaram uma nova versão do malware Rilide, que mira navegadores baseados em Chromium. Com um design modular, ofuscação de código e adaptação ao Chrome Extension Manifest V3, o Rilide é capaz de roubar dados sensíveis e criptomoedas. O Rilide foi documentado pela primeira vez em abril de 2023 e é vendido em fóruns da deep web por $5.000. Ele pode desativar outros complementos do navegador, coletar histórico de navegação e cookies, capturar credenciais de login e até retirar fundos de exchanges de criptomoedas. Uma atualização notável envolve o uso de um carregador PowerShell para modificar o arquivo de Preferências Seguras do navegador, fazendo com que o aplicativo seja lançado com a extensão carregada permanentemente. O vazamento do código-fonte da extensão Rilide em fevereiro de 2023 levanta a possibilidade de desenvolvimento por terceiros.
Rubens Zolotujin 0 Comentários
ago 1 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Hackers exploram servidores do Minecraft.
    Os cibercriminosos estão explorando ativamente uma vulnerabilidade de execução remota de código ‘BleedingPipe’ nos mods do Minecraft para executar comandos maliciosos em servidores e clientes, permitindo que eles assumam o controle dos dispositivos. BleedingPipe é uma vulnerabilidade encontrada em muitos mods do Minecraft causada pelo uso incorreto de desserialização na classe ‘ObjectInputStream’ em Java para trocar pacotes de rede entre servidores e clientes. Resumindo, os invasores enviam pacotes de rede especialmente criados para servidores mod Minecraft vulneráveis para assumir o controle dos servidores. Os agentes de ameaças podem usar esses servidores hackeados para explorar as falhas nos mesmos mods do Minecraft usados pelos jogadores que se conectam ao servidor, permitindo que eles instalem malware nesses dispositivos também.
  • Falhas encontradas no plugin Ninja Forms deixam 800.000 sites vulneráveis.
    Várias vulnerabilidades de segurança foram divulgadas no plugin Ninja Forms para WordPress que podem ser exploradas por agentes de ameaças para aumentar privilégios e roubar dados confidenciais. As falhas, são identificadas pelos códigos CVE-2023-37979, CVE-2023-38386 e CVE-2023-38393, afetam as versões 3.6.25 e anteriores do Ninja Forms. A divulgação dessas falhas ocorre em um momento em que outras vulnerabilidades também foram reveladas na comunidade WordPress. A Patchstack identificou uma falha de vulnerabilidade XSS refletida no kit de desenvolvimento de software Freemius WordPress (SDK), afetando versões anteriores à 2.5.10 (CVE-2023-33999), que poderia ser explorada para obter privilégios elevados. Além disso, uma empresa especializada em segurança do WordPress descobriu um bug crítico no plugin HT Mega (CVE-2023-37999), presente nas versões 2.2.0 e anteriores.
  • Novo Malware Android Utiliza OCR para Roubar Dados Sensíveis.
    Uma nova cepa de malware para Android chamada CherryBlos foi observada utilizando técnicas de reconhecimento óptico de caracteres (OCR) para coletar dados sensíveis armazenados em imagens. CherryBlos é distribuído através de postagens falsas em plataformas de mídia social e tem capacidade para roubar credenciais relacionadas a carteiras de criptomoedas e atuar como um “clipper” para substituir endereços de carteira. Uma vez instalados, os aplicativos buscam permissões dos usuários, o que permite conceder automaticamente permissões adicionais conforme necessário. Além de exibir sobreposições falsas em aplicativos legítimos de carteira de criptomoedas para roubar credenciais, CherryBlos utiliza OCR para reconhecer frases mnemônicas potenciais de imagens e fotos armazenadas no dispositivo. Não é surpresa que os autores de malware busquem constantemente novas abordagens para atrair vítimas e roubar dados sensíveis. 
Rubens Zolotujin 0 Comentários