Boletim semanal de cibersegurança 1-7 Janeiro

Falha na entrega de e-mails nos servidores do Microsoft Exchange on-premise

A Microsoft lançou uma solução de emergência em 2 de janeiro para corrigir um bug que interrompeu a entrega de e-mails no local dos servidores microsoft exchange. Estamos enfrentando uma falha do «ano 2022» no mecanismo de análise de antimalware FIP-FS, uma ferramenta que foi habilitada em 2013 em servidores Exchange para proteger os usuários de e-mails maliciosos. O pesquisador de segurança Joseph Roosen indicou que a causa foi que a Microsoft utilizou uma variável int32 assinada para armazenar o valor da data, variável que tinha um máximo de 2.147.483.647. As datas de 2022 têm um valor mínimo de 2.201.010.001, de modo que excedem o valor máximo que pode ser armazenado, de modo que o mecanismo de digitalização falha e o correio não pode ser enviado. O patch de emergência requer intervenção do usuário (é um script que deve ser executado seguindo certas instruções) e, da Microsoft, avisar que o processo pode demorar um pouco. Da empresa, eles também estariam trabalhando em uma atualização que resolve automaticamente o problema.

Falha de segurança na Uber permite enviar e-mails de seus servidores

O pesquisador de segurança Seif Elsallamy descobriu uma vulnerabilidade no sistema de e-mail usado pela Uber que poderia permitir que um agente ameaçasse enviar e-mails se passando pela empresa. A vulnerabilidade detectada estaria localizada em um dos pontos finais de e-mail da Uber, que teria sido exposto publicamente e permitiria que um terceiro injetasse código HTML, sendo capaz de enviar e-mails fingindo ser Uber.  O pesquisador enviou para a mídia digital Bleeping Computer um e-mail que veio do endereço de e-mail noreply@uber.com,onde um formulário é observado onde o usuário é solicitado a confirmar os dados de seu cartão de crédito, informações que seriam enviadas posteriormente para o servidor controlado por Seif Elsallamy. Este e-mail não entrou na caixa de entrada de spam porque veio dos servidores da Uber. O pesquisador relatou a vulnerabilidade à Uber através do programa de recompensas do HackerOne, mas foi rejeitado como exigindo engenharia social para ser explorado. Este problema não é a primeira vez que é detectado, já que pesquisadores como Soufiane el Habti ou Shiva Maharaj já teriam relatado há algum tempo.  Da mesma forma, o pesquisador expõe que, devido ao vazamento de informações que a Uber teve em 2016,há 57 milhões de usuários em risco que poderiam receber e-mails que fingem vir da Uber. Por sua vez, a Bleeping Computer também teria contatado a Uber, sem receber uma resposta no momento.

Patch extraordinário para bugs em Windows Server

A Microsoft lançou um patch de atualização extraordinário que buscava resolver alguns bugs relatados pelos usuários do Windows Server. Especificamente, alguns usuários do Windows Server 2019 e 2012 R2 estariam encontrando problemas de lentidão excessiva ou que resultaram em terminais ficando pretos. Em alguns casos, além disso, podem ocorrer falhas ao acessar servidores através de desktop remoto. O patch para essas versões não está disponível no Windows Update e não será instalado automaticamente. Em vez disso, os usuários afetados precisarão seguir as instruções fornecidas pela Microsoft em sua publicação. Espera-se que as demais versões do Windows Server recebam patches semelhantes nos próximos dias.

Técnicas evasivas do malware Zloader

Os pesquisadores do CheckPoint analisaram as novas técnicas evasivas do malware bancário Zloader. Na nova campanha analisada, que eles atribuem ao grupo MalSmoke e que eles indicam que seria realizada a partir de novembro de 2021, a infecção começa com a instalação do Altera Software, uma ferramenta legítima de monitoramento remoto e administração para TI, e que é usada para obter acesso inicial furtivamente. Além de usar uma ferramenta legítima, os atores fazem uso de DLLs maliciosos com uma assinatura Microsoft válida para evitar detecções. Para isso, os atores aproveitam o bug CVE-2013-3900,uma vulnerabilidade conhecida desde 2013 pela Microsoft, cujo patch é desativado por padrão e que permite que um invasor modifique executáveis assinados adicionando código malicioso sem invalidar a assinatura digital.

Elephant Beetle: grupo com motivações financeiras

A equipe de resposta a incidentes da Sygnia publicou um artigo onde expõem a análise do Elephant Beetle, um grupo com motivações financeiras que estaria atacando várias empresas do setor na América Latina, e que eles estariam seguindo por dois anos. Também classificado como TG2003, esse grupo passa longos períodos de tempo analisando sua vítima, além de seu sistema de transferência, passando despercebido pelos sistemas de segurança imitando pacotes legítimos e usando um arsenal de mais de 80 ferramentas próprias. Como vetor de entrada preferido, o Elephant Beetle estaria aproveitando aplicativos Java legítimos implantados em sistemas Linux. Sygnia destaca a exploração de antigas vulnerabilidades não reparadas como: CVE-2017-1000486 (Primetek Primeface), CVE-2015-7450 (WebSphere), CVE-2010-5326 ou EDB-ID-24963 (SAP NetWeaver). Uma vez estudada a vítima, ela cria transações fraudulentas de pequenas quantias que imitariam os movimentos legítimos da empresa.  Embora a atribuição ainda não esteja clara, de Sygnia eles explicam que, após várias análises de incidentes estrelados por Besouro Elefante, onde localizaram padrões como a palavra «ELEPHANTE» ou múltiplo C2 que estavam localizados no México, poderia ter uma conexão com países de língua espanhola, mais especificamente com a América Latina, e o México pode ser a área de origem.