Boletim semanal de cibersegurança 11-17 dezembro

Nova campanha de distribuição do Trojan bancário Anubis

Pesquisadores do Lookout relataram uma campanha maliciosa na qual uma nova versão do trojan bancário Anubis ofuscado é distribuída em um aplicativo móvel Android que finge ser da empresa francesa de telecomunicações Orange. Atores mal-intencionados teriam como alvo um total de 394 aplicações financeiras, como bancos, carteiras de criptomoedas e plataformas de pagamento virtual com o objetivo de extrair as credenciais desses serviços. Anubis é um Trojan bancário conhecido desde 2016 cujo desenvolvimento não parou em nenhum momento.

Uma vez instalado no dispositivo da vítima, seu funcionamento envolve mostrar formas de login fraudulentas dos aplicativos que são definidos como um objetivo para comprometer as credenciais do usuário, bem como outras funções como gravação de tela e som, envio e leitura de SMS ou digitalização do dispositivo em busca de arquivos de interesse para extrair. De acordo com a investigação, a distribuição do aplicativo Laranja fraudulento seria realizada por meio de sites maliciosos, mensagens diretas em redes sociais, smishing e posts no fórum.

Vulnerabilidade do Log4Shell

Na última sexta-feira, 10 de dezembro, uma vulnerabilidade de 0-Day no Apache Log4J foi relatada como CVE-2021-44228. A vulnerabilidade afeta a biblioteca de registro Java Apache Log4J 2, usada por diversas aplicações de empresas em todo o mundo, ao lidar com uma biblioteca de código aberto. A exploração dessa falha permitiria a execução de códigos maliciosos em servidores ou clientes de aplicativos.  O risco relacionado a essa vulnerabilidade veio de diferentes fatores que foram combinados:

• No dia 9, um dia antes de publicar a versão corrigida, uma exploração  já estava disponível para essa vulnerabilidade.
• A exploração é simples.
• O Log4J é usado em todo o mundo em muitos aplicativos web.

 Essa vulnerabilidade foi inicialmente corrigida no Log4J 2.15.0. No entanto, alguns dias depois, uma segunda vulnerabilidade ficou conhecida como CVE-2021-45046, derivada de uma correção incompleta da vulnerabilidade Log4Shell e a versão Log4J 2.16.0 foi lançada para corrigir definitivamente as vulnerabilidades. Inicialmente, essa segunda vulnerabilidade foi catalogada como negação de serviço e dada a 3,7 CVSSv3, embora, nas últimas horas, o risco tenha sido modificado para 9 e sua categoria para execução remota de código.

Após a publicação desta vulnerabilidade, é conhecida a presença de várias tentativas de exploração para a vulnerabilidade, como a tentativa de infecção com botnets  para a instalação de  criptominers, bem como seu uso para distribuição de ransomware  (Khensai) ou a distribuição do  Trojan  Stealthloader. É importante ressaltar que há evidências de sua  exploração anterior em 9 de dezembro, embora a exploração em massa teria levado à publicação da exploração.

Em relação aos produtos afetados, a lista completa ainda não foi definida. Durante a semana, os produtos afetados foram lentamente conhecidos, sendo a lista mais completa publicada pelo Nationalaal Cyber Security Centrum (NCSC-NL).

Emotet usa Cobalt Strike novamente

Pesquisadores de segurança alertaram ontem que, após uma breve parada nas operações da Emotet na semana passada, os atores de ameaças começaram mais uma vez a instalar faróis do Cobalt Strike em dispositivos infectados pelo Emotet. Como relatado pelo pesquisador de segurança Joseph Roosen, do grupo Cryptolaemus especializado nesta ameaça, a Emotet está baixando os módulos Cobalt Strike diretamente de seu servidor Command & Control para depois executá-lo nos dispositivos infectados. Dessa forma, os atacantes ganham acesso imediato às redes comprometidas. Para isso, os agentes de ameaças usam um arquivo jQuery malicioso para se comunicar com o C2 e receber novas instruções. Apesar de ser um arquivo malicioso, a maior parte do código é legítimo, facilitando a evasão dos sistemas de segurança da vítima. Devido ao aumento dos faróis cobalto-strike distribuídos a computadores já infectados, um aumento nos incidentes de segurança sofridos pelas empresas é esperado para os próximos meses.

Novas explorações para vulnerabilidades já corrigidas pela Microsoft

Nas últimas horas, a existência de novas explorações para várias vulnerabilidades corrigidas em boletins anteriores da Microsoft teria sido detectada: CVE-2021-42287 e CVE-2021-42278. O primeiro dos bugs, CVE-2021-42287 CVSSv3 de 8.8 é uma elevação da vulnerabilidade de privilégio nos serviços de domínio Active Directory, corrigido pela Microsoft em seu boletim de segurança em maio passado. Essa falha, de acordo com a própria Microsoft, afeta o Pac (Kerberos Privilege Attribute Certificate, certificado de atributo de privilégio) e permite que um invasor se passe por controladores de domínio.

Para explorá-la, uma conta de domínio comprometida pode fazer com que o Key Distribution Center (KDC) crie um ticket de serviço (ST) com um nível de privilégio mais alto do que a conta comprometida. Um invasor realiza isso impedindo que o KDC identifique qual conta corresponde ao ST mais privilegiado. Se essa falha for acorrentada a outra vulnerabilidade corrigida no boletim de novembro, cve-2021-42278 CVSSv3 de 8.8, permitiria que os invasores alcançassem os direitos de administrador de domínio em qualquer ambiente Active Directory. A cadeia de exploração é extremamente fácil de explorar, permitindo que os adversários elevem seus privilégios mesmo sem acesso à conta padrão de usuário subjacente. Uma atualização está disponível para todos os sistemas operacionais suportados.

De qualquer forma, a mitigação envolve a correção dos controladores de domínio afetados, implementando o patch Microsoft de 14/11/2021 (KB5008602) que resolve o problema da confusão do PAC, bem como o problema S4U2self criado pelo patch anterior (KB5008380). No entanto, algumas fontes mencionam que o patch KB5008602 só é eficaz no Windows Server 2019, por isso é aconselhável consultar o guia a seguir, a fim de mitigar o problema em outras versões do produto. Atualmente não se sabe que há exploração ativa dessas falhas, mas observamos que há um post que explica como esse problema poderia ser explorado, bem como uma ferramenta no Github que verifica e explora essas vulnerabilidades. Além disso, nas redes sociais, começam a ser observadas menções sobre a possível combinação dessas falhas com o crítico Log4j de Vulnerabilidade.  

Vulnerabilidades em dispositivos Lenovo

Pesquisadores de segurança do NCC Group descobriram duas novas vulnerabilidades no componente IMController presentes em vários dispositivos Lenovo, incluindo laptops Yoga e ThinkPad, e isso afetaria todas as versões da Lenovo System Interface Foundation antes do 1.1.20.3. O Lenovo System Interface Foundation é um sistema que funciona com privilégios de SISTEMA e ajuda os dispositivos Lenovo a se comunicarem com aplicativos universais, fornecendo ao usuário recursos como otimização do sistema e atualizações de drivers, entre outros.

Se isso for desativado, os aplicativos Lenovo deixarão de funcionar corretamente. As vulnerabilidades recém-identificadas (CVE-2021-3922 / 3969 CVSSv3 7.1) poderiam permitir que um usuário mal-intencionado executasse comandos com privilégios de administrador. A primeira delas é uma vulnerabilidade do tipo de condição de corrida que permitiria a interação com o processo secundário IMController «Pipe». A segunda seria uma falha toCTOU(tempo de verificação para tempo de uso) que, se explorada, poderia permitir que privilégios fossem dimensionados no dispositivo vulnerável. O NCC Group alertou a Lenovo de ambas as falhas em outubro passado, finalmente emitindo atualizações em 14 de dezembro que resolveriam ambos os erros, por isso é recomendável atualizar o IMController para a versão 1.1.20.3.