Boletim semanal de cibersegurança 18-24 dezembro

Vulnerabilidade no Log4Shell (atualização)

Ao longo desta semana, mais notícias e impactos relacionados à vulnerabilidade conhecida como Log4Shell continuaram a ser conhecidas. Antes de mais nada, vale a pena notar a detecção de uma nova vulnerabilidade que afeta o Log4j2 nas versões 2.0-alfa1 a 2.16.0, e que poderia permitir uma negação de serviço. A correção dessa vulnerabilidade, listada como CVE-2021-45105 CVSSv3 7.5, levou ao lançamento da versão 2.17.0.  

Por outro lado, novas explorações ativas do Log4Shell são conhecidas pelo ransomware TellYouThePass e Conti. Sua exploração para a distribuição dos  Trojans Dridex e Meterpreter também foi detectada. Vale ressaltar a publicação de um estudo realizado pela Netlab, onde expõem os resultados observados em seus honeypots, expondo o fato de que teriam detectado amostras de mais de 30 famílias diferentes de malware distribuídas a partir de endereços IP de mais de 54 países diferentes, destacando amostras de mineradores como Kinsing e Xmrig, bem como binários de famílias como Dofloo,  Tsunami (também conhecido como Mushtik) ou o botnet Mirai. Em relação à exploração ativa da vulnerabilidade, o Ministério da Defesa da Bélgica  confirmou esta semana ter sofrido um ataque cibernético, que teria como vetor inicial a exploração do Log4Shell, embora no momento a atribuição disso seja desconhecida. Finalmente, esta semana, a equipe blumira informou sobre um novo vetor de ataque que permitiria que a vulnerabilidade do Log4Shell fosse explorada em servidores localmente usando uma conexão JavaScript Websocket, embora no momento sua exploração ativa não tenha sido detectada.

Em outra ordem de coisas, da aliança conhecida como Cinco Olhos, formada por agências governamentais da Austrália, Canadá, Nova Zelândia, Reino Unido e Estados Unidos, eles publicaram um aviso de segurança conjunto onde incluem uma série de recomendações para os afetados por essa vulnerabilidade. A CISA dos EUA também lançou um novo»log4j-scanner» uma nova ferramenta para digitalizar e identificar serviços web vulneráveis às duas falhas de execução de código remoto identificadas no Log4j (CVE-2021-44228 e CVE-2021-45046). Em relação às agências governamentais, esta semana sabe-se que o Ministério da Indústria e Tecnologia da Informação (MIIT) da China teria suspendido por seis meses seu acordo de colaboração com a Alibaba Cloud Computing no campo das ameaças cibernéticas e plataformas de troca de informações, a razão é que os pesquisadores do Alibaba foram os autores da descoberta da vulnerabilidade Log4j (CVE-2021-44882),  e eles não teriam reportado ao regulador chinês de telecomunicações antes de sua divulgação ao Apache.

Meta toma medidas contra empresas de vigilância sob demanda

A Meta, empresa mãe do Facebook, anunciou que, após meses de investigação, removeu sete empresas dedicadas à indústria de vigilância por aluguel de suas plataformas para direcionar vítimas de mais de 100 países, com o objetivo de coletar informações, manipular e comprometer seus dispositivos e contas. Essa atividade teria impactado aproximadamente 50.000 usuários que foram notificados de atividades maliciosas. As empresas eliminadas vêm de diferentes países, como China, Israel, Índia e Macedônia do Norte, e estariam operando contra seus objetivos em três fases: reconhecimento, através de software automatizado, engajamento, no qual buscam ganhar a confiança de suas vítimas, e, exploração, através da distribuição de phishing com o objetivo de obter credenciais. Da Meta eles enfatizam que, embora essas campanhas geralmente sejam interrompidas na fase de exploração, é essencial interromper o ciclo de vida do ataque em suas fases iniciais para evitar que dispositivos posteriores e contas de usuários sejam comprometidos. Dada a gravidade de suas violações, a Meta informou que, além de retirar essas empresas de suas plataformas, bloquearam sua infraestrutura relacionada, emitiram notificações de cessações e retiradas, notificando-as de que sua atividade não tem lugar nas plataformas da empresa e compartilhado suas descobertas com pesquisadores, outras plataformas e autoridades para tomar as medidas apropriadas.

Google publica uma análise aprofundada do exploit FORCEDENTRY do NSO

Recentemente, a equipe do Google Project Zero publicou uma análise aprofundada da exploração FORCEDENTRY do NSO Group, que eles consideram uma das explorações mais sofisticadas que analisaram a partir deste computador, colocando as ferramentas NSO no nível de sofisticação de grupos de ApTs (Advanced Persistent Threats, ameaças persistentes avançadas) apoiadas pelos Estados. A amostra, analisada em colaboração com a equipe de Engenharia e Arquitetura de Segurança (SEAR) da Apple, foi distribuída, ao longo do ano, seletivamente contra ativistas, dissidentes e jornalistas de diferentes regiões. ForcedENTRY usa uma técnica de interação de zero-click ou não, o que significa que as vítimas não precisam acessar um link, nem conceder permissões específicas para que o ataque avance. Além disso, essa exploração usa uma série de táticas contra a plataforma iMessage da Apple para contornar as proteções dos dispositivos, assumir o controle e instalar a Pegasus, o conhecido spyware NSO. A vulnerabilidade explorada por essa exploração (CVE-2021-30860 CVSSv3 7.8) está corrigida desde setembro de 2021, na versão 14.8 do iOS. Essa mesma exploração tem sido observada pelo Citizen Lab sendo usado em um ataque contra um ativista saudita no qual eles teriam usado a Pegasus junto com a Predator, um software desenvolvido pela Cytrox, uma das empresas de «vigilância sob demanda» relatadas pela  equipe da Meta e que foram removidas de suas plataformas.

Quatro vulnerabilidades no Microsoft Teams

A consultoria de segurança alemã Positive Security descobriu quatro vulnerabilidades no aplicativo Microsoft Teams, todas elas decorrentes da funcionalidade de visualização de URL. Isso inclui uma vulnerabilidade SSRF (Server Side Request Forgery, falsificação de solicitações de lado do servidor), outra que permite falsificar uma URL e duas vulnerabilidades que afetam apenas clientes Android, permitindo que um invasor obtenha o endereço IP da vítima, bem como realize ataques de negação de serviço. A Microsoft apenas corrigiu a vulnerabilidade que permite que um invasor obtenha o endereço IP da vítima em dispositivos Android e comunicou que não corrigirá a vulnerabilidade do tipo SSRF na versão atual, mas está considerando um patch para a vulnerabilidade de negação de serviço em um patch futuro. Além disso, eles relataram que a vulnerabilidade que permite a falsificação para a visualização de uma mensagem não representa um risco direto e, portanto, não contemplam corrigi-la.

Campanhas de pesquisa com presentes relatam 80 milhões mensais aos atores maliciosos

A equipe de pesquisa do Grupo IB publicou uma pesquisa analisando que o crime cibernético gera aproximadamente US$ 80 milhões por mês como resultado de esquemas de fraude usando pesquisas de presentes para coletar informações pessoais e bancárias. Atores mal-intencionados capturam suas vítimas usando publicidade em sites, SMS, e-mails e/ou notificações pop-up sob o pretexto de ganhar um prêmio de uma marca conhecida ao participar de uma pesquisa. Entre as características dessas campanhas está que a infraestrutura utilizada permite que atores mal-intencionados exibam conteúdos diferentes para diferentes usuários, dependendo de determinados parâmetros. Isso se deve ao fato de que vários redirecionamentos são feitos no momento do acesso a esses links, durante os quais são coletadas informações do usuário que acabarão mostrando conteúdo adaptado à vítima. Da mesma forma, o link final é personalizado para o usuário específico, sendo acessível apenas uma vez, complicando a detecção desses sites maliciosos. Por fim, destaca-se que essas campanhas são voltadas para mais de 90 países, sendo a Europa a região mais afetada e que o número de empresas suplantadas ultrapassa 120.