Vulnerabilidades em serviços DNS-as-a-Service

Os pesquisadores Shir Tamari e Ami Luttwak, da empresa de segurança Wiz, revelaram várias vulnerabilidades na conferência de segurança Black Hat que podem afetar os serviços DNS-as-a-Service (DNSaaS). Especificamente, eles alegaram que um deles teria sido testado e explorado com sucesso em pelo menos três provedores de nuvem, como AWS, Route53 e Google Cloud Platform. Eles também observaram que todos os provedores de DNSaaS podem ser vulneráveis. Essa falha ocorre porque a maioria dos provedores de DNS não coloca seus próprios servidores DNS na lista negra em seus back-ends. Os pesquisadores confirmaram que, se explorado, um ator de ameaça pode exfiltrar informações confidenciais de redes corporativas, como endereços IP internos e externos, NTLM ou tíquetes Kerberos, e pode até mapear a empresa. Wiz afirma que eles foram capazes de coletar informações de mais de 15.000 organizações em 14 horas, afirmando que o risco é alto. Por sua vez, a Amazon e o Google publicaram atualizações que resolveriam esta falha, esta segunda afirmando à The Record Media que não encontraram atividade maliciosa relacionada.

https://www.blackhat.com/us-21/briefings/schedule/#a-new-class-of-dns-vulnerabilities-affecting-many-dns-as- service-platforms-23563

Campanhas maliciosas usando Prometheus TDS para distribuir malware

Os pesquisadores do Grupo IB publicaram a análise de duas campanhas maliciosas que usam o serviço clandestino Prometheus Traffic Direction System (TDS) para a distribuição de diferentes famílias de malware, como BazarLoader, IcedID, QBot, SocGholish, Hancitor e Buer Loader. A Cyber Kill Chain usada em uma infecção em que o serviço Prometheus TDS foi usado é multifase. Primeiro, a vítima recebe um e-mail malicioso em que três itens diferentes podem ser anexados: um arquivo HTML, um link para um webshell ou um documento do Google Docs; todos eles acabariam redirecionando a vítima para sites maliciosos controlados pelo Prometheus. Após acessar a URL maliciosa, inicia-se a segunda fase, que visa baixar o Prometheus Backdoor, ferramenta responsável por coletar dados do usuário como IP, Agente do Usuário ou referência, entre outros. Depois de coletados os dados, eles são enviados ao painel gerenciado pelo Prometheus TDS e, após serem analisados, a vítima é redirecionada para uma nova URL ou um arquivo malicioso Word, Excel, ZIP ou RAR é enviado para download. as famílias de malware mencionadas. Segundo os

investigadores, localizaram duas diferentes campanhas ativas, uma dirigida contra a população belga e outra contra empresas, universidades e organizações governamentais dos Estados Unidos. https://blog.group-ib.com/prometheus-tds

Ataques no Microsoft Exchange: ProxyOracle e ProxyShell são adicionados ao ProxyLogon

O pesquisador de segurança Orange Tsai publicou dois artigos em uma série de quatro, nos quais pretende compilar as informações que descobriu sobre novos tipos de ataques à infraestrutura do Microsoft Exchange. A origem desta investigação reside na descoberta do ProxyLogon, um ataque a partir do qual se descobriu que não estávamos tanto perante vulnerabilidades isoladas, mas que estávamos perante um novo campo de ataque e decidiu-se aprofundar a investigação. Como resultado disso, ele detalha oito novas vulnerabilidades, algumas descobertas junto com outras assinaturas e agrupadas em três tipos de ataques:

• ProxyLogon (CVE-2021-26855 / CVE-2021-27065)

• ProxyOracle (CVE-2021-31196 / CVE-2021-31195): Ao simplesmente direcionar um usuário para visitar um link malicioso, o ProxyOracle permite que um invasor recupere a senha de um usuário em texto simples.

• ProxyShell (CVE-2021-34473 / CVE-2021-34523 / CVE-2021-31207): Vulnerabilidades apresentadas em Pwn2Own 2021 para as quais os detalhes ainda não foram publicados, mas que, conforme confirmado, permitiriam assumir o controle de um servidor Exchange usando evasão de autenticação e escalonamento de privilégios.

Todas as oito vulnerabilidades, incluindo CVE-2021-33768, que não foi associada a nenhum dos três tipos de ataque anteriores, foram corrigidas pela Microsoft. No entanto, como já acontecia quando as vulnerabilidades do ProxyLogon eram conhecidas, os pesquisadores de segurança apontam para o aumento da varredura de servidores vulneráveis contra esses ataques. https://devco.re/blog/2021/08/06/a-new-attack-surface-on-MS-exchange-part-2-ProxyOracle/

StealthWorker Botnet Ataques de força bruta contra dispositivos Synology

A equipe de resposta a incidentes da Synology detectou um aumento no volume de ataques de força bruta contra seus dispositivos. Os pesquisadores acreditam que os ataques tiveram origem no botnet conhecido como StealthWorker, identificado por Malwarebytes em uma campanha de força bruta em fevereiro de 2019. Nesses ataques, vários dispositivos já infectados são usados para lançar ataques de força bruta nos quais são testados o administrador mais comum credenciais em outros dispositivos. Se for bem-sucedido, o agente de ameaça obterá acesso ao sistema para instalar malware que pode incluir recursos de criptografia (ransomware). Além disso, de acordo com os dados coletados, os sistemas afetados podem, por sua vez, ser usados em ataques a outros dispositivos baseados em Linux,

incluindo o NAS (Network-Attached-Storage) da Synology. A empresa recomenda fortemente que seus clientes revisem seus sistemas para modificar credenciais fracas, ativar bloqueio automático e proteção de conta, bem como ter, se possível, um sistema de autenticação MFA (Multi-Factor Authentication). https://blog.cyble.com/2021/08/08/one-million-credit-cards-leaked-in-a-cybercrime-forum-for-free/

Boletim informativo mensal da Microsoft

A Microsoft lançou seu boletim de segurança de agosto, que inclui correções para 44 vulnerabilidades, sete delas críticas. Dentro do conjunto de vulnerabilidades, a empresa corrigiu três novos dias 0, um dos quais já está sendo explorado ativamente:

• CVE-2021-36948: Vulnerabilidade de elevação de privilégio do sistema Windows Update Medic, para a qual a exploração ativa foi detectada.

• CVE-2021-36942: Vulnerabilidade de falsificação de LSA do Windows.

• CVE-2021-36936: Vulnerabilidade de execução remota de código do Windows Print Spooler.

Além disso, é relevante mencionar que a Microsoft corrigiu importantes vulnerabilidades que surgiram nas últimas semanas, entre as quais se destacam:

• PrintNightmare CVE-2021-34527: Embora a parte de execução remota de código já tenha sido corrigida, o componente de elevação local de privilégios CVE-2021-34481 não foi, o que pode ser explorado através da função Apontar e Imprimir para instalar drivers para impressão maliciosa.

• PetitPotam CVE-2021-36942: O vetor que permitia explorar a falha de segurança por não conseguir forçar um controlador de domínio a se autenticar em outro servidor foi corrigido.

Por fim, também vale destacar a atualização de uma vulnerabilidade CVE-2020-0765 no Remote Desktop Connection Manager (RDCMan), um aplicativo cujo uso foi desencorajado pela Microsoft em março de 2020, mas que voltou à vida neste mês de junho com o lançamento da versão 2.8. No boletim de agosto, a Microsoft anuncia uma nova vulnerabilidade no aplicativo e recomenda a atualização para a versão 2.82. https://msrc.microsoft.com/update-guide/releaseNote/2021-Aug

LockBit Anuncia Violação de Dados da Accenture

O grupo Ransomware-as-a-Service Lockbit anunciou esta semana, por meio de seu portal dark web, a publicação de uma série de dados relacionados à empresa Accenture, que poderiam ter sido roubados durante um ataque de

ransomware do grupo. De acordo com um relatório do Cyberscoop, a multinacional conseguiu detectar o incidente em 30 de julho e, como resultado, os servidores comprometidos foram isolados, a ameaça mitigada e os sistemas afetados restaurados por meio de cópias de backup. Isso implicaria que, atualmente, o nível de risco de possível infecção é praticamente inexistente para sistemas que têm comunicação direta com redes Accenture. Da mesma forma, a empresa reconhece que os invasores teriam tido acesso a documentos que se referiam a um número reduzido de clientes e materiais de trabalho que a empresa teria preparado para seus clientes, mas que em nenhum caso esses documentos têm um nível muito alto de confidencialidade. alta. Em resposta aos vazamentos dos operadores LockBit, o grupo publicou um primeiro vazamento na quarta-feira, que excluiu logo em seguida para adiar imediatamente a data e hora de publicação de novas informações. Um dia depois, eles forneceram evidências da violação dos sistemas da Accenture e reiniciaram a contagem regressiva em seu portal, anunciando uma terceira data para 13 de agosto às 22h43 (horário espanhol). https://www.cyberscoop.com/accenture-ransomware-lockbit/