Boletim semanal de cibersegurança 16-22 outubro

Zerodium interessado em adquirir 0 days de software VPN para Windows

A empresa de segurança da informação Zerodium informou sua disposição de comprar vulnerabilidades de 0 days visando software de serviços VPN para sistemas Windows: ExpressVPN, NordVPN e Surfshark. A empresa demonstrou interesse nessas explorações que podem revelar informações pessoais dos usuários, vazamentos de IP ou permitir a execução remota de código. Deve-se lembrar que a Zerodium é conhecida pela compra de 0 days em diferentes aplicações que posteriormente vende para a aplicação da lei e órgãos governamentais, de modo que o objetivo dessas novas aquisições é facilmente identificável. No entanto, esse fato gerou alguma controvérsia, como o The Record coletou, já que muitos usuários usam aplicativos VPN para preservar sua privacidade em países com regimes opressivos, e não se sabe quem são os clientes finais a quem a Zerodium vende sua tecnologia. Até o momento, nenhuma das empresas provedoras de VPN se pronunciou sobre o que fazer.

Mais informações: https://twitter.com/Zerodium/status/1450528730678444038

LightBasin: a ameaça contra empresas do setor de telecomunicações

Os pesquisadores da CrowdStrike publicaram uma nova análise sobre o ator de ameaças conhecido como LightBasin ou UNC1945, distinguido por atacar empresas do setor de telecomunicações desde 2016.  Relacionado aos interesses chineses, o LightBasin geralmente seleciona sistemas Linux ou Solaris como alvo em suas operações, pois estão altamente relacionados ao seu setor favorito. O CrowdStrike observou novas Técnicas, Táticas e Procedimentos (TTPs) associadas a esse grupo. Um exemplo disso é que o LightBasin teria se aproveitado dos servidores DNS externos (eDNS) para propagar suas operações, ou TinyShell, um software de emulação SGSN de código aberto, para canalizar o tráfego do servidor C2. Deve-se notar que o eDNS é uma parte fundamental das redes de radiofrequência (GPRS) utilizadas para roaming entre as diferentes operadoras móveis. Os pesquisadores apontam para o alto conhecimento em redes e protocolos desse grupo, afirmando que a LightBasin teria comprometido pelo menos treze empresas de telecomunicações apenas em 2019.

Mais informações: https://www.crowdstrike.com/blog/an-analysis-of-lightbasin-telecommunications-attacks/

RedLine Stealer: principal fonte de dados de dois mercados na Dark Web

​A divisão de pesquisa em segurança cibernética da Recorded Future, Inskirt Group, publicou um relatório identificando o malware RedLine Stealer como a principal fonte de credenciais roubadas que são negociadas em dois mercados da Dark Web: Mercado Amigos e Mercado Russo. RedLine Stealer é um infostealer que tem a capacidade de coletar credenciais de cliente FTP, credenciais de login em navegadores da Web, aplicativos de e-mail, bem como extrair cookies de autenticação e números de cartão salvos nos navegadores de dispositivos infectados. Durante a investigação, a equipe do Inskirt Group detectou a publicação de listagens idênticas em ambos os mercados simultaneamente, que continham as mesmas informações roubadas das vítimas, e que excedeu em muito as contribuições de outros malwares em ambos os fóruns. Além disso, deve-se notar que, embora Redline Stealer tenha sido desenvolvido pelo ator de ameaças REDGlade, várias versões, semelhantes ao original, estão sendo distribuídas, o que gerou uma maior expansão disso.

Mais informações: https://go.recordedfuture.com/hubfs/reports/mtp-2021-1014.pdf

Vulnerabilidade no WinRAR

​Pesquisadores da Positive Technologies descobriram uma nova vulnerabilidade na versão de teste do software de compressão de dados WinRAR para Windows. A falha, que recebeu o identificador CVE-2021-35053, poderia permitir que um invasor interceptasse e modificasse solicitações enviadas ao usuário do aplicativo, que poderiam ser usadas para executar código remotamente no computador da vítima. Especificamente, os pesquisadores descobriram que interceptando o código de resposta que é enviado quando o WinRAR alerta os usuários do final do período de teste e modificando-o para uma mensagem «301 Moved Permanently «, o redirecionamento para o domínio malicioso controlado pelo invasor é armazenado em cache e todas as solicitações são redirecionadas para ele. Uma vez que o invasor tenha acesso ao mesmo domínio de rede, ele já pode executar ações como iniciar aplicativos remotamente, recuperar informações do host local ou até mesmo executar código arbitrário. Deve-se notar que a vulnerabilidade afeta o software na versão 5.70, e foi corrigida na versão 6.02 do WinRAR, lançada em 14 de junho.

Mais informações: https://swarm.ptsecurity.com/winrars-vulnerable-trialware-when-free-software-isnt-free/

SmashEx – Vulnerabilidade no Intel SGX

Pesquisadores de diferentes universidades da China, Cingapura e Suíça descobriram uma vulnerabilidade nas extensões de guarda de software intel, também conhecida como Intel SGX, um recurso de segurança baseado em hardware presente na maioria dos processadores Intel atuais, que permite que um sistema operacional ou aplicativo aloque regiões de memória privada, chamadas enclaves, para isolar informações e proteger-se de processos executados em níveis mais altos de privilégios. A falha, apelidada de SmashEx, permitiria que o invasor acessasse as informações armazenadas nesses enclaves e executasse código arbitrário. De acordo com os pesquisadores, eles teriam conseguido explorar dois sistemas SGX RUNTIME amplamente utilizados: Intel SGX SDK e Microsoft Open Enclave, que executam as bibliotecas OpenSSL e cURL, respectivamente. Por sua vez, a Intel e a Microsoft lançaram patches de segurança para corrigir essas falhas em seus respectivos SDKs, Intel SGX SDK(CVE-2021-0186)e Open Enclave SDK (CVE-2021-33767).    No entanto, o bug afeta outros SDKs de desenvolvedores como Google, Apache ou ARM que ainda não resolveram o problema.

Mais informações: https://arxiv.org/ftp/arxiv/papers/2110/2110.06657.pdf