Apple corrige duas novas vulnerabilidades de 0-day exploradas ativamente

A Apple lançou novos avisos de segurança sobre duas novas vulnerabilidades de 0-day exploradas ativamente que afetam iPhones, Macs e iPads.

• Primeiro, há a falha de segurança registrada como CVE-2023-28206, que é uma gravação fora dos limites no IOSurfaceAccelerator que pode desencadear corrupção de dados, uma falha ou execução de código.
• Em segundo lugar, a vulnerabilidade atribuída como CVE-2023-28205 é um uso do WebKit que pode permitir corrupção de dados ou execução arbitrária de código reutilizando a memória liberada para criar páginas da Web maliciosas especialmente criadas controladas por agentes de ameaças.

A Apple recomenda atualizar o software nos dispositivos afetados para corrigir as duas vulnerabilidades de 0-day nas versões iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 e Safari 16.4.1.

Ler mais →

* * *

Patch Tuesday da Microsoft inclui um 0-day explorado ativamente

Em sua última atualização de segurança, a Microsoft corrigiu um total de 98 vulnerabilidades que afetam vários de seus produtos, incluindo Microsoft Windows, Office e Edge.

Isso inclui uma vulnerabilidade de 0-day  explorada ativamente que foi registrada como CVE-2023-28252, CVSSv3 de 7.8 de acordo com o fabricante. É uma falha do CLFS que pode ser explorada localmente por agentes mal-intencionados com o objetivo de obter privilégios do SYSTEM.

O restante das falhas críticas de segurança, que foram registradas como CVE-2023-28311, CVE-2023-21554 e CVE-2023-28231, CVE-2023-28219, CVE-2023-28220, CVE-2023-28250,     CVE-2023-28291 também devem ser mencionadas.

As últimas vulnerabilidades CVE-2023-28285, CVE-2023-28295, CVE-2023-28287 e CVE-2023-28311, embora menos críticas do que as demais, merecem destaque e, embora não estejam sendo exploradas ativamente, podem ser facilmente exploradas abrindo documentos maliciosos enviados em possíveis campanhas de phishing futuras.

Ler mais →

* * *

Quadreams acusado de usar spyware contra figuras políticas e jornalistas

Pesquisadores do CitizenLab e a equipe de Threat Intelligence da Microsoft publicaram uma investigação sobre a empresa israelense QuaDreams, que eles acusam de usar spyware contra jornalistas e figuras políticas.

A atividade da empresa seria baseada na venda e distribuição de uma plataforma chamada Reign para entidades governamentais, que a Microsoft descreve como um conjunto de exploits, malware e infraestrutura projetados para extrair informações de dispositivos móveis.

Das técnicas usadas para sua operação, destaca-se o que os pesquisadores suspeitam ser um exploit zero-click para dispositivos iOS, que eles chamaram de ENDOFDAYS, que faria uso de convites invisíveis do iCloud.

A análise teria identificado pelo menos cinco vítimas, que por enquanto permanecem anônimas, na América do Norte, Ásia Central, Sudeste Asiático, Europa e Oriente Médio.

Ler mais →

* * *

Boletim de segurança do Android

O Android lançou seu boletim de segurança para o mês de abril, onde corrige um total de 68 vulnerabilidades.

Entre as vulnerabilidades, as mais importantes são duas detectadas no componente Sistema, que foram catalogadas como CVE-2023-21085 e CVE-2023-21096, ambas com gravidade crítica e que poderiam permitir que um possível invasor executasse uma execução remota de código (RCE) sem a necessidade de privilégios de execução adicionais.

Quatro vulnerabilidades no componente de código fechado da Qualcomm também foram listadas como críticas: CVE-2022-33231, CVE-2022-33288, CVE-2022-33289 e CVE-2022-33302.

Finalmente, uma vulnerabilidade no driver do kernel da GPU Arm Mali, CVE-2022-38181 CVSSv3 8.8, também foi corrigida, que é relatada como tendo sido explorada ativamente .  

Ler mais →

* * *

Falha de design do Azure permite a aquisição de contas

Uma investigação do Orca expôs uma falha de design na Chave Compartilhada do Microsoft Azure que permitiria que um invasor obtivesse acesso a contas do Microsoft Storage.

Embora a Orca tenha publicado uma prova de conceito demonstrando como roubar tokens de acesso de identidades privilegiadas superiores, mover-se lateralmente, acessar ativos críticos de negócios e executar RCE (execução remota de código), o Centro de Resposta de Segurança da Microsoft considerou o problema uma falha de design e não uma vulnerabilidade, por isso não pode fornecer uma atualização de segurança e terá que esperar por um redesign do Azure.

Enquanto isso, é recomendável remover a autorização de chave compartilhada do Azure e, em vez disso, adotar a autenticação do Azure Active Directory como uma estratégia de mitigação.

Ler mais →

GitHub expôs sua chave de host RSA SSH por engano

O GitHub anunciou na sexta-feira passada que substituiu sua chave de host RSA SSH usada para proteger as operações do Git.

De acordo com a empresa, na semana passada essa chave foi acidentalmente exposta em um repositório público do GitHub, e agiu rapidamente para conter a exposição e iniciou uma investigação para descobrir a causa e o impacto.

Embora essa chave não dê acesso à infraestrutura ou aos dados do usuário do GitHub, essa medida foi tomada para evitar possíveis falsificações. Os usuários são incentivados a excluir a chave e substituí-la pela nova chave.

Ler mais →

* * *

A Apple corrige uma 0-day explorada ativamente

A Apple lançou atualizações de segurança que corrigem uma vulnerabilidade 0-day explorada ativamente em iPhones, macOS e iPads mais antigos.

A falha, identificada como CVE-2023-23529, é um erro de confusão do tipo WebKit, que tem um CVSS de 8,8 e pode levar à execução arbitrária de código, roubo de dados, acesso a dados Bluetooth, etc.

Deve-se notar que, em termos de dispositivos, a vulnerabilidade afeta o iPhone 6s, iPhone 7, iPhone SE, iPad Air 2, iPad mini e iPod touch, além do Safari 16.3 no macOS Big Sur e Monterey, macOs Ventura, tvOS e watchOS. A empresa recomenda a atualização o mais rápido possível para evitar possíveis tentativas de exploração.

Ler mais →

* * *

Ataque à cadeia de suprimentos usando a plataforma de videoconferência 3CX

Pesquisadores de várias empresas de segurança, como SentinelOne, Sophos e CrowdStrike, alertaram para um ataque à cadeia de suprimentos por meio do programa de videoconferência 3CX. 

Enquanto a investigação do ataque ainda está em andamento, ele teria confirmado que afetam as plataformas Windows, onde o aplicativo 3CXDesktopApp comprometido baixaria arquivos ICO do GitHub, finalmente levando à instalação de um malware do tipo stealer. 

As primeiras detecções de comportamento suspeito do aplicativo em soluções de segurança teriam ocorrido em meados deste mês de março de 2023, mas os investigadores identificaram a infraestrutura usada no ataque com datas de registro em fevereiro do ano passado.

A campanha, que o SentinelOne apelidou de SmoothOperator, não teria uma atribuição clara, embora alguns pesquisadores apontem para possíveis conexões com o Labirinto Chollima, parte do grupo norte-coreano Lazarus Group. A 3CX não fez nenhuma declaração sobre a campanha.

Ler mais →

* * *

Análise de campanhas explorando 0-day no Android, iOS e Chrome

O Grupo de Análise de Ameaças do Google publicou um relatório compartilhando detalhes sobre duas campanhas que usaram explorações de 0 dias contra Android, iOS e Chrome.

Na primeira campanha, strings de exploração de 0-day direcionadas para Android e iOS foram detectadas e distribuídas por meio de links encurtados enviados via SMS para usuários localizados na Itália, Malásia e Cazaquistão.

A vulnerabilidade, já corrigida em 2022, que afetava o iOS em versões anteriores à 15.1, é identificada como CVE-2022-42856 e CVSS 8.8, que se refere a um bug de confusão de tipo no compilador JIT que pode levar à execução arbitrária de código.

Por outro lado, o identificado como CVE-2021-30900, com CVSS 7.8, também corrigido, lida com um bug de gravação e escalonamento de privilégios. Quanto à cadeia de exploração do Android, esses usuários direcionados de telefones com uma GPU ARM executando versões anteriores ao 106.

Quanto aos bugs, todos corrigidos, um deles é CVE-2022-3723 (CVSS 8.8), tipo confusão no Chrome; CVE-2022-4135 (CVSS 9.6), estouro de buffer na GPU do Chrome; e CVE-2022-38181 (CVSS 8.8), escalonamento de privilégios. Vale a pena notar que a última vulnerabilidade foi encontrada para ser explorada ativamente.

A segunda campanha, direcionada a dispositivos nos Emirados Árabes Unidos via SMS, consiste em vários 0 dias e n dias visando o navegador da Samsung. O link redireciona os usuários para uma página desenvolvida pelo fornecedor de spyware Variston e explora vulnerabilidades CVE-2022-4262, CVE-2022-3038, CVE-2022-22706 e CVE-2023-0266 .

Ler mais →

HinataBot: nova botnet dedicada a ataques DDoS

A equipe de pesquisadores da Akamai publicou um relatório no qual eles identificaram uma nova botnet chamada HinataBot que teria a capacidade de realizar ataques DDoS de mais de 3,3 TB/s.

Especialistas indicaram que esse software malicioso foi descoberto em meados de janeiro, enquanto era distribuído nos honeypots HTTP e SSH da empresa. Especificamente, o HinataBot usa credenciais roubadas de usuário para infectar suas vítimas e explora vulnerabilidades legadas de dispositivos Realtek SDK, CVE-2014-8361, Huawei HG532,  CVE-2017-17215 routers e/ou servidores Hadoop YARN expostos. Posteriormente, uma vez que os dispositivos estão infectados, o malware é executado e será mantido esperando que o servidor de Comando e Controle encaminhe os pedidos.

 O HinataBot ainda está em desenvolvimento e poderia implementar mais exploits e, portanto, expandir seu vetor de entrada para mais vítimas, além de aumentar suas capacidades de realizar ataques com maior impacto.

Ler mais →

* * *

CISA emite oito avisos de segurança sobre sistemas de controle industrial

Recentemente, a CISA publicou oito avisos de segurança alertando sobre vulnerabilidades críticas em sistemas de controle industrial. Em relação a essas novas vulnerabilidades, deve-se notar que elas afetam vários produtos de diferentes empresas, como Siemens, Rockwell Automation, Delta Electronics, VISAM,  Hitachi Energy e Keysight Technologies.

Entre todos eles, destacam-se os que afetam a marca Siemens pelo seu volume, dos quais foram recolhidos três avisos que afetam os seus ativos SCALANCE W-700, dispositivos RADIUS client of SIPROTEC 5  e a família de produtos RUGGEDCOM APE1808  com um total de 25 vulnerabilidades cujo CVSSv3 varia entre 4.1 e  8.2  pontos.

Consequentemente, devido ao seu impacto, destacam-se os avisos do equipamento ThinManager ThinServer da Rockwell Automation, cuja criticidade de uma de suas três falhas atinge um CVSSv3 de 9.8, bem como o ativo InfraSuite Device Master da Delta Electronics, do qual um total de 13 vulnerabilidades foram coletadas.

Ler mais →

* * *

Mispadu: Trojan bancário focado na América Latina

Pesquisadores doMetabase Q Team publicaram um relatório sobre a atual campanha que está sendo desenvolvida em países da América Latina contra usuários de bancos e que usa o Trojan Mispdu. De acordo com o Metabase Q Team, o Trojan se espalhou através de e-mails de phishing carregados com faturas falsas em formato HTML ou PDF com uma senha.

 Outra estratégia envolve comprometer sites legítimos em busca de versões vulneráveis do WordPress para transformá-los em seu servidor C2 e espalhar malware a partir daí. De acordo com a investigação, a campanha começou em agosto de 2022 e continua ativa, afetando usuários de bancos no Chile, México e Peru, principalmente.

Em novembro de 2019, a ESET documentou pela primeira vez a existência do Mispadu (também conhecido como URSA), um malware capaz de roubar dinheiro e credenciais, além de atuar como um backdoor,  tirar capturas de tela e registrar pressionamentos de teclas. 

Ler mais →

* * *

Novas vulnerabilidades de 0-day contra diferentes fabricantes durante o concurso Pwn2Own

O concurso de hackers Pwn2Own está ocorrendo esta semana na cidade canadense de Vancouver até sexta-feira, 24 de março. Após o primeiro dia, os participantes conseguiram mostrar como invadir vários produtos, incluindo o sistema operacional Windows 11, juntamente com o Microsoft Sharepoint, Ubuntu, Virtual Box, Tesla – Gateway e Adobe Reader.

Vale ressaltar que, de acordo com a programação do evento, os pesquisadores de segurança revelarão hoje e amanhã outros 0-day que afetam esses ativos, além de outros como o Microsoft Teams e o VMWare Workstation.

Por último, mas não menos importante, é importante ressaltar que, depois que essas novas vulnerabilidades de 0-day forem demonstradas e divulgadas durante o Pwn2Own, os fornecedores têm 90 dias para lançar patches de segurança para essas falhas de segurança antes que a Zero Day Initiative divulgue as informações publicamente.

Ler mais →

* * *

Vulnerabilidade crítica no WooCommerce Payments corrigida

O pesquisador Michael Mazzolini, da GoldNetwork, relatou uma vulnerabilidade no WooCommerce Payments nesta semana, o que resultou em uma atualização de segurança sendo forçada a ser instalada.

A vulnerabilidade ainda não tem um identificador CVE, embora tenha sido atribuída uma criticidade CVSSv3 de 9.8, sendo uma vulnerabilidade de escalonamento de privilégios e desvio de autenticação, que pode permitir que um invasor não autenticado se passe por um administrador e assuma o controle do site do varejista online. 

Deve-se notar que nenhuma exploração ativa foi detectada até agora, embora o Patchstack tenha alertado que, uma vez que nenhuma autenticação é necessária para a exploração, é provável que seja detectada em um futuro próximo. As versões afetadas variam de 4.8.0 a 5.6.1, e a vulnerabilidade foi corrigida na versão 5.6.2.

Ler mais →

Vulnerabilidades no WordPress Houzez

Um pesquisador de segurança da Patchstack descobriu recentemente duas vulnerabilidades críticas no Houzez, um tema e seu plugin WordPress que permite gerenciar listas de forma fácil e transparente para o cliente.

• A primeira vulnerabilidade, identificada como CVE-2023-26540 e CVSS 9.8, refere-se a um bug de configuração que afeta a versão 2.7.1 e anterior e pode ser explorada remotamente sem autenticação para escalar privilégios.
• Por outro lado, o bug identificado como CVE-2023-26009 e CVSS 9.8, afeta o login do Houzez nas versões 2.6.3 e anteriores.

Nos ataques observados pelo Patchstack, os agentes de ameaças distribuíram um backdoor capaz de executar comandos, injetar anúncios no site e redirecionar para sites maliciosos, por isso os pesquisadores recomendam a atualização o mais rápido possível.

Ler mais →

* * *

Digital Smoke: Fraude de Investimento Mundial

A equipe da Resecurity identificou uma rede de fraude de investimento, que teria operado de 2015 até o início de 2023.

Os atores maliciosos por trás dessa rede, que tem sido chamada de «Digital Smoke», operavam se passando por corporações mundialmente famosas, como Verizon, BackRock, Ferrari, Shell ou Barclays, entre outras, para que as vítimas, localizadas em todo o mundo, fizessem investimentos em produtos de investimento falsos. A Digital Smoke desenvolveu uma grande rede de recursos da web e aplicativos móveis hospedados em diferentes provedores de hospedagem e jurisdições.

O modus operandi consistia em registrar domínios semelhantes aos legítimos das empresas personificadas, colocando os links para o registro de novas vítimas em aplicativos de mensagens como WhatsApp e outras redes sociais.

Uma vez que as vítimas se registraram no site ou aplicativo criado pelos agentes mal-intencionados, elas foram solicitadas a fazer um pagamento pelo suposto investimento.

Deve-se notar que os investigadores compartilharam todas as informações disponíveis com o Centro de Coordenação de Crimes Cibernéticos da Índia e as autoridades dos EUA no final de 2022, com a operação sendo descontinuada no início de 2023.

Ler mais →

* * *

Aruba corrige seis vulnerabilidades críticas

A Aruba emitiu um comunicado de segurança informando sobre seis vulnerabilidades críticas que afetam várias versões do ArubaOS.

Os produtos afetados são Aruba Mobility Conductor, Aruba Mobility Controllers e WLAN Gateways e SD-WAN Gateways.

• As vulnerabilidades identificadas como CVE-2023-22747, CVE-2023-22748, CVE-2023-22749 e CVE-2023-22750,  todas com CVSSv3 9.8, resultam em uma falha de injeção de comando.
• As vulnerabilidades CVE-2023-22751 e CVE-2023-22752, também ambas com CVSSv3 9.8, são erros de estouro de buffer.

Essas vulnerabilidades podem ser exploradas por um invasor não autenticado para enviar pacotes para o Aruba Access Point Management Protocol (PAPI) pela porta UDP 8211, permitindo que códigos arbitrários sejam executados como usuários privilegiados no ArubaOS.

Ler mais →

* * *

APT-C-36: nova campanha maliciosa contra o Equador e a Colômbia

A equipe de pesquisadores da BlackBerry publicou uma investigação na qual revela a existência de uma nova campanha do APT-C-36, um grupo também conhecido como BlindEagle, contra alvos geolocalizados no Equador e na Colômbia.

Especificamente, nesta campanha, atores mal-intencionados se passaram pela Direção Nacional de Impostos e Alfândegas da Colômbia e pela Receita Federal do Equador com o objetivo de lançar campanhas de phishing direcionadas a indústrias-chave em ambos os países, incluindo saúde, finanças e governo.

Esta informação surge na sequência de outra descoberta feita em janeiro pela empresa Check Point que alertou para uma campanha levada a cabo pelo referido ator e da qual indicou estar interessada em obter ganhos monetários.

No entanto, a BlackBerry indicou que, durante os incidentes mais recentes, os objetivos eram o roubo de informações e a espionagem de suas vítimas.

Ler mais →

* * *

Campanha de cryptojacking contra bancos de dados Redis

Pesquisadores do Cado Labs descobriram uma campanha de cryptojacking que tem como alvo servidores de banco de dados Redis mal configurados. 

A campanha é realizada por meio do transfer.sh, um serviço de transferência de arquivos de código aberto que vem sendo violado desde 2014. O vetor de acesso ocorre explorando uma implementação insegura do Redis, salvando o banco de dados em um diretório cron que leva à execução de comandos arbitrários.

Como o principal objetivo do malware é minerar criptomoedas com o XMRig, ele realiza uma série de medidas para garantir sua eficácia. 

Entre estes, ele libera memória no sistema, remove todos os criptomineradores que possam existir e instala um scanner de rede para encontrar outros servidores Redis vulneráveis e espalhar a infecção.

Ler mais →