Boletim semanal de cibersegurança 12-18 junho

Vulnerabilidade de zero-day no Chrome, sétima até agora este ano

Ontem, 17 de junho, o Google apresentou a versão 91.0.4472.114 do Chrome para Windows, Mac e Linux, resolvendo uma vulnerabilidade de zero-dia categorizada como CVE-2021-30554.  A exploração deste bug poderia envolver a execução de código arbitrário em sistemas que têm versões inseguras do Chrome. Por sua vez, o Google não divulgou mais informações sobre o problema de segurança enquanto espera que a maioria dos usuários atualize seu navegador. Essas vulnerabilidades de zero-day têm sido exploradas recentemente pelo agente de ameaças PuzzleMaker, a fim de estrapolar a estrutura do navegador e, assim, instalar malware nos sistemas Windows.  Além disso, a atualização abordou outras três vulnerabilidades graves do navegador, que afetaram os componentes Chrome Sharing, WebAudio e TabGroups, e que foram identificados como CVE-2021-30555,   CVE-2021-30556 e CVE-2021-30557.  

Vulnerabilidades zero-day na Apple

A Apple emitiu atualizações de segurança para resolver duas vulnerabilidades de 0-day que afetam seu sistema operacional móvel iOS 12. Os bugs fixos, categorizados como CVE-2021-30761 e CVE-2021-30762, são devido a problemas no mecanismo do navegador WebKit e podem permitir que um invasor execute código arbitrário ao processar conteúdo web malicioso especialmente criado. A empresa adverte que essas vulnerabilidades seriam ativamente exploradas. Por outro lado, esta atualização de segurança também abordou um problema de corrupção de memória no decodificador ASN.1, categorizado como CVE-2021-30737, o que permitiria a execução remota de código. Os dispositivos afetados por essas falhas são iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch (6ª geração), todos corrigidos com a versão 12.5.4 do iOS.

Microsoft interrompe uma operação BEC de alto impacto

A equipe de pesquisa do Microsoft 365 Defender em conjunto com o Microsoft Threat Intelligence Center (MSTIC) descobriu e interrompeu a infraestrutura de uma operação BEC em larga escala. Em suas análises, eles expõem que atores mal-intencionados estavam abusando de vários serviços web hospedados na nuvem para comprometer caixas de correio e adicionar regras de encaminhamento usando diferentes IPs, e adicionando latência de tempo entre ações para evitar a detecção por sistemas de segurança. Para obter o acesso inicial ao host da vítima, eles teriam feito uso de credenciais exfiltradas obtidas através de técnicas de engenharia social, enviando e-mails de phishing onde anexariam um HTML que conteria um JavaScript, para fingir ser um login da Microsoft. Uma vez que as credenciais do usuário fossem comprometidas, ele acessava sua caixa de correio e adicionava regras de encaminhamento com parâmetros como «fatura», «pagamento» ou «declaração», o que lhes permitia acessar informações financeiras, além de ter um canal de exfiltração de informações persistente. Eles também teriam criado regras para eliminar e-mails que foram encaminhados para sua infraestrutura, adicionando complexidade na detecção de suas operações.

Nova técnica de evasão de malware

Pesquisadores de segurança da Elastic tornaram público uma nova técnica de manipulação de imagem executável, apelidada de «Process Ghosting«, que poderia ser usada por atacantes para escapar de proteções e executar furtivamente código malicioso no Windows. Com essa nova técnica, um agente de ameaças poderia inserir um componente de malware no disco do computador da vítima de uma maneira que dificulte a detecção. Tal evasão aproveita o tempo desde a criação de um processo até que os sistemas de segurança do dispositivo sejam notificados de sua criação, dando aos atacantes uma margem para evitar a detecção. O fluxo do ataque process Ghosting  começaria criando um arquivo, alterando o estado dele para «delete-pending», pendente de exclusão, impedindo assim o acesso e a leitura deste, em seguida, atribuir uma imagem para o arquivo no disco depois de inserir o código malicioso para finalmente excluí-lo. O próximo passo seria criar um processo com as variáveis ambientais relevantes, que serão chamados por um fio para execução. Deve-se notar que o sucesso deste ataque é dado pelo fato de que as chamadas de sistemas de segurança, como o antivírus, são feitas quando o segmento é criado, que tentará ler um arquivo já excluído e, desta forma, a segurança é evitada. 

Ataque à cadeia de suprimentos de um fornecedor de CCTV

A equipe de Mandiant do FireEye divulgou pesquisas sobre um novo ataque na cadeia de suprimentos. Os atacantes deste incidente, que foram identificados como UNC2465, um grupo afiliado ao ransomware DarkSide, teriam invadido um site legítimo de um provedor de câmeras de circuito fechado (CCTV) e teriam implantado um Trojan dentro de um instalador PVR de câmera de segurança que os usuários baixaram para configurar e controlar seus dispositivos. A instalação do malware também iniciou o download do trojan Smokedham ou Beacon, entre outros. Os pesquisadores não detectaram a presença do ransomware Darkside nas redes das vítimas devido, principalmente, ao fato de que essa intrusão ocorreu entre 18 de maio e o início de junho, e até então, a Darkside já havia anunciado o encerramento de sua atividade após o ataque ao Oleoduto Colonial.

Vulnerabilidade crítica na cadeia de suprimentos da ThroughTek

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um aviso sobre uma falha crítica na cadeia de fornecimento de software que afeta o kit de desenvolvimento de software (SDK) da ThroughTek. A exploração bem-sucedida dessa vulnerabilidade poderia permitir acesso não autorizado a informações confidenciais, como fluxos de áudio/vídeo de câmeras de segurança. O bug, categorizado como CVE-2021-32934 e com uma pontuação CVSS de 9.1, afeta os produtos P2P da ThroughTek com versões 3.1.5 e anteriores, bem como versões rotuladas de nossl e várias configurações de firmware.