Boletim semanal de cibersegurança 18-24 setembro

Campanha de malware usando TeamViewer em sites sob IIS

Pesquisadores do Malwarebytes observaram uma campanha de distribuição de malware desde o início de setembro que faz uso de páginas anteriormente violadas sob a operação do servidor web da Microsoft, o Internet Information Services (IIS). O vetor de ataque consiste em exibir um certificado vencido falso alerta do tipo «Detectou um risco potencial de segurança e não estendeu a transição para [nome do site]. Atualizar um certificado de segurança pode permitir que essa conexão tenha sucesso. NET::ERR_CERT_OUT_OF_DATE.» que, por sua vez, sugere ao usuário o download de um «instalador de atualização» malicioso que realmente ofusca o conhecido Trojan TVRAT. Uma vez que a vítima execute o software malicioso, ele será instalado ao lado do software de controle remoto TeamViewer, concedendo ao ator de ameaças comunicação direta com seu servidor de comando e controle e controle total sobre o computador comprometido. Até o momento, os métodos específicos usados para comprometer os servidores IIS não são conhecidos exatamente, embora existam diferentes códigos de exploração disponíveis que a própria Microsoft corrigiu em maio passado (CVE-2021-31166). 

BulletProofLink: campanha massiva de phishing

Os pesquisadores de segurança da Microsoft divulgaram detalhes de uma campanha maciça de phishing como serviço (PHaaS) que usa uma infraestrutura semelhante à hospedagem e oferece diferentes serviços para atores de ameaças, como kits de phishing e modelos. De acordo com a pesquisa, o BulletProofLink, que é como esta campanha é chamada, vai além dos kits tradicionais de phishing, isso porque após um registro inicial em seu portal após o pagamento de US$ 800, oferece um serviço abrangente com serviço de hospedagem, geração de domínios, envio de e-mails, coleta de credenciais e logins roubados e que,  posteriormente, ele pode evoluir com modificações dos modelos de phishing entre os mais de 120 que estão disponíveis. No entanto, a Microsoft já avisou que os operadores bulletProofLink enganam seus próprios clientes armazenando as credenciais roubadas nos ataques materializados para acabar vendendo-os em outros fóruns subterrâneos. Estima-se que a campanha passou a ser usada até o momento com mais de 300 mil subdomínios únicos da criação recente, o que mostra a magnitude do impacto desta campanha.

Bug na divulgação automática do Microsoft Exchange permite extrair credenciais

Amit Serper, engenheiro de segurança da Guardicore, descobriu uma falha de implementação no protocolo de autodiscover do Microsoft Exchange que poderia permitir a extração de credenciais. O Autodiscover é um protocolo usado pelo Microsoft Exchange para fornecer aos seus clientes uma maneira simples e automática de configurar o cliente Exchange e seus diferentes aplicativos, como o Outlook, em sua infraestrutura. Uma vez instalado, o processo normal é que o aplicativo solicite o nome de usuário e a senha para proceder automaticamente à configuração do cliente, tentando criar uma URL de autodiscover (Autodiscover.TLD) com base no endereço de e-mail fornecido pelo usuário. No caso de nenhuma das URLs autogeradas responder, uma fase de backspace começa que sempre tende a falhar porque tenta resolver a parte automática do domínio (Autodiscover.TLD), vendo que quem possui o domínio Autodiscover.TLD receberia todas as solicitações que não chegam ao domínio original. Para testar a falha, Serper e sua equipe compraram diferentes domínios de autodiscover com diferentes TLDs, recebendo solicitações de um grande número de clientes em vários setores. Após os testes realizados, o Guardicore teria obtido mais de 90.000 credenciais exclusivas de vários aplicativos, como o Outlook e mais de 350.000 credenciais de domínio do Windows, determinou que a afetação é global.

Nova vulnerabilidade de 0 day na Apple explorada em dispositivos iOS e macOS

Pesquisadores de segurança do Google relataram à Apple uma nova vulnerabilidade de 0 day que afeta dispositivos iOS e macOS.  Além disso, a própria Apple reconheceu que essa falha pode estar sendo ativamente explorada na rede por atores de ameaças. Especificamente, a vulnerabilidade está localizada no kernel do sistema operacional XNU, que foi registrado sob CVE-2021-30869 e, por enquanto, não foi atribuída sua criticidade sob a escala CVSSv3. No entanto, deve-se notar que este é um bug tipo «confusão tipo» que pode levar à execução de código arbitrário em um dispositivo comprometido, de modo que sua criticidade em qualquer caso é considerada alta. Vale ressaltar que somente neste ano de 2021, a Apple já teve que resolver mais de 10 vulnerabilidades de 0 day. Neste caso, os patches correspondentes que resolvem o problema já estão disponíveis para os seguintes dispositivos afetados: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, iPod touch (6ª geração) com iOS 12.5.5 e Mac com atualização de segurança 2021-006 Catalina.