Boletim semanal de cibersegurança 1-7 maio

Apple corrige quatro vulnerabilidades de zero-day no WebKit

A Apple lançou ontem atualizações de segurança para corrigir quatro vulnerabilidades de zero-day que poderiam estar sendo ativamente exploradas, de acordo com a própria entidade. Esses quatro bugs residem no Webkit, o mecanismo de renderização usado pelo navegador Safari, mas também por diferentes componentes de seus sistemas para exibir conteúdo da Web sem usar um navegador. Embora a Apple não tenha compartilhado todos os detalhes dessas vulnerabilidades, eles afirmam que o processamento de conteúdo web malicioso especialmente projetado, permitiria que um invasor executasse código arbitrário remotamente. As falhas foram identificadas como CVE-2021-30663, CVE-2021-30665, CVE-2021-30666 e CVE-2021-30661, todas sob possível exploração ativa. Os produtos afetados são iOS, macOS, iPadOS, watchOS e tvOS.

Mais: https://support.apple.com/en-us/HT212336

Várias vulnerabilidades críticas nos servidores de e-mail Exim

Várias campanhas de e-mail fraudulentas globais foram detectadas que estão usando como isca a temporada de declaração de impostos. O objetivo dos atores de ameaças por trás dessas operações seria tanto a distribuição de malware, através de anexos nas mensagens, quanto a coleta de dados através de páginas de phishing. Um aviso emitido  pelo INCIBE aponta para uma campanha em andamento voltada para funcionários e/ou trabalhadores autônomos na Espanha, na qual a Agência Tributária está sendo personificada. Da mesma forma, a Receita Federal dos EUA está supostamente sofrendo de roubo de identidade em e-mails de phishing direcionados a estudantes e funcionários de ensino, bem como a  distribuição de malware  através de links para download ou anexos.

Mais: https://blog.qualys.com/vulnerabilities-research/2021/05/04/21nails-multiple-vulnerabilities-in-exim-mail-server

TsuNAME: Vulnerabilidade que permite ataques contra servidores DNS autoritários

Vários pesquisadores publicaram um conjunto de artigos expondo detalhes de uma vulnerabilidade de DNS, como o TsuNAME,que poderia ser usado como vetor de amplificação em ataques distribuídos de negação de serviço (DDoS) visando servidores DNS autoritários. Essa vulnerabilidade afeta servidores DNS de resolução recursiva, permitindo que os invasores enviem consultas ininterruptas para servidores autoritários que tenham registros dependentes cíclicos. O efeito de muitas consultas recursivas vulneráveis poderia deixar em colapso um servidor autoritário, afetando a infraestrutura crítica de DNS, como os TLDs (Top Level Domains), que podem afetar serviços específicos do país. Pesquisadores tornaram pública a ferramenta CycleHunter para detectar dependências cíclicas em zonas de DNS.

Mais: https://tsuname.io/advisory.pdf

Vulnerabilidade na Qualcomm afeta dispositivos Android

Pesquisadores da Check Point publicaram os resultados do estudo de uma nova vulnerabilidade de estouro de buffer listada como CVE-2020-11292, que poderia permitir que um agente ameaçasse o acesso ao SMS (call and text log) de um dispositivo móvel, desbloquear o SIM e ouvir conversas de usuários. O bug está em um chip contendo alguns dispositivos, conhecido como Mobile Station Modem (MSM) criado pela Qualcomm, que é responsável por conectar os dispositivos à rede e é gerenciado pelo sistema operacional QuRT. Mais especificamente, os pesquisadores determinam que a vulnerabilidade está no protocolo QMI (Qualcomm MSM Interface, interface MSM) da Qualcomm, que, após receber pacotes TLV mal formados, desencadeia corrupção de memória e permite que um agente de ameaças execute seu próprio código. A vulnerabilidade pode ser explorada escondendo pacotes TLV mal formados dentro de comunicações de rádio ou conteúdo de mídia enviados pelo dispositivo. Da Check Point eles entraram em contato com a Qualcomm para notificá-los do bug no ano passado, mas ainda não há nenhum patch, pois eles dizem que são os próprios provedores móveis que devem agir.

Mais: https://research.checkpoint.com/2021/security-probe-of-qualcomm-msm/