Boletim semanal de cibersegurança 20-26 novembro

Reacharound: Possível ressurgimento da ameaça tripla TrickBot – Emotet – Ransomware

Em  janeiro passado, graças a uma ação internacional coordenada pela Europol e eurojust, o desmantelamento da    infraestrutura  da Emotet, malware amplamente utilizado nos  estágios iniciais da cadeia de infecção por ransomware.  Esses fatos contribuíram, de acordo com os pesquisadores de segurança, para o desligamento de várias operações  de ransomware de alto nível (RaaS).No entanto, desde a semana passada, houve relatos sobre o ressurgimento dessa ameaça por pesquisadores como GData ou AdvIntel, que apontaram que os operadores do ransomware Conti teriam convencido o ex-operador da Emotet para a reconstrução de sua infraestrutura.  Essas ações teriam ocorrido através de uma campanha que teria sido chamada de «Reacharound», que é caracterizada pela infecção de dispositivos com TrickBot, que incluiu uma carga Emotet. Pesquisadores da AdvIntel estimam que o retorno dessa ameaça terá um  impacto significativo nas operações de ransomware devido a três razões: a alta sofisticação das capacidades  da Emotet,   a promoção do conhecido crime as-a-service nesta área e o retorno da clássica ameaça tripla composta pela TrickBot-  Emotet-Ransomware

PoC publicado para uma vulnerabilidade no Microsoft Exchange

O pesquisador de segurança @testanull, publicou uma prova de conceito de trabalho (PoC) para a vulnerabilidade identificada como CVE-2021-4231 e CVSS de 8,8, que estaria afetando o Microsoft Exchange, que foi corrigido pela Microsoft no último Boletim de Segurança de Novembro. Diz-se que a vulnerabilidade afeta os serviços do Exchange Server 2016 e 2019 no local e pode permitir que um invasor autenticado execute código arbitrário remotamente. A Microsoft informa que detectou atividades relacionadas à exploração dessa vulnerabilidade ocasionalmente em ataques direcionados, por isso recomendam sua correção. Deve-se notar que esta não seria a primeira vez em 2021 que vulnerabilidades no serviço Microsoft Exchange foram exploradas para realizar ataques, já que as tentativas de explorar o ProxyLogon e  o ProxyShell  são bem conhecidas. Recomenda-se fazer uso do programa de diagnóstico Exchange para verificar o possível envolvimento dessas vulnerabilidades.

Novo 0-day no Windows com exploração pública

O pesquisador de segurança Abdelhamid Naceri tornou pública uma exploração para uma vulnerabilidade 0-day no Windows que permitiria que um invasor ganhasse privilégios de administrador e que afeta todas as versões do sistema operacional, incluindo Windows 10, Windows 11 e Windows Server 2022. Naceri conseguiu contornar o patch que a Microsoft incluiu em seu boletim mensal de novembro para uma escalada de vulnerabilidade de privilégio no Windows Installer (CVE-2021-41379), uma vulnerabilidade que ele relatou à Microsoft. Após essa nova descoberta, ele foi capaz de identificar um novo 0-day para o qual o pesquisador decidiu agora publicar a exploração (InstallerFileTakeOver) em sua conta gitHub. Com a publicação dessa exploração, Naceri pretende unir o sentimento de descontentamento já demonstrado por outros pesquisadores com a Microsoft, pois o que eles afirmam ser uma degradação contínua das recompensas que são relatadas à empresa. Espera-se que a Microsoft lance um patch de correção para o novo bug em seu próximo boletim. O pesquisador recomenda esperar pela correção oficial dada a complexidade da vulnerabilidade. Os pesquisadores de segurança da Cisco Talos  já detectaram amostras de malware que estão tentando explorar o novo 0-day. Pesquisadores indicaram que as tentativas de exploração observadas fazem parte de ataques de baixo volume, de modo que poderiam ser testes para  fazer ajustes  nos exploits e, portanto, podem ser entendidos como um possível passo preliminar antes de campanhas de maior escala.

Falha de segurança no GoDaddy

O registrador de domínios GoDaddy tornou público um incidente de segurança detectado em 17 de novembro deste ano, no qual um terceiro não autorizado supostamente teve acesso ao ambiente de hospedagem gerenciado WordPress da empresa através de uma senha comprometida. A investigação, que ainda está em andamento, determina que o invasor teve acesso às informações dos clientes a partir do dia 6 de setembro deste ano até o momento de sua detecção, que foi bloqueada e expulsa do sistema. Entre as informações expostas estão o endereço de e-mail e o número de clientes de 1,2 milhão de usuários ativos e inativos gerenciados do WordPress, a senha do administrador do WordPress definida no momento do provisionamento, nomes de usuário sFTP , banco de dados, senhas de usuários ativos e a chave privada dos certificados SSL para determinados usuários ativos. A empresa está entrando em contato com clientes afetados por essa falha de segurança. Vale ressaltar que  a GoDaddy sofreu uma violação de dados em maio do ano passado.

O registrador de domínios GoDaddy tornou público um incidente de segurança detectado em 17 de novembro deste ano, no qual um terceiro não autorizado supostamente teve acesso ao ambiente de hospedagem gerenciado WordPress da empresa através de uma senha comprometida. A investigação, que ainda está em andamento, determina que o invasor teve acesso às informações dos clientes a partir do dia 6 de setembro deste ano até o momento de sua detecção, que foi bloqueada e expulsa do sistema. Entre as informações expostas estão o endereço de e-mail e o número de clientes de 1,2 milhão de usuários ativos e inativos gerenciados do WordPress, a senha do administrador do WordPress definida no momento do provisionamento, nomes de usuário sFTP , banco de dados, senhas de usuários ativos e a chave privada dos certificados SSL para determinados usuários ativos. A empresa está entrando em contato com clientes afetados por essa falha de segurança. Vale ressaltar que  a GoDaddy sofreu uma violação de dados em maio do ano passado.

Vulnerabilidades no MediaTek permitem espionar dispositivos Android

A empresa de semicondutores MediaTek corrigiu várias falhas de segurança que poderiam ter permitido que os invasores escutassem chamadas telefônicas de dispositivos Android, executassem comandos ou aumentassem privilégios. Os SoCs (System on a chip) da MediaTek estão incorporados em cerca de 37% dos smartphones e dispositivos IoT do mundo, incluindo dispositivos de marcas como Xiaomi, Realme e Vivo, entre outros. Três dessas vulnerabilidades (CVE-2021-0661,  CVE-2021-0662  e  CVE-2021-0663) são devido à verificação incorreta de limites e foram corrigidas no boletim de segurança da MediaTek em outubro passado, todas com CVSS de 6,7. A quarta vulnerabilidade é atribuída ao identificador CVE-2021-0673, mas ainda não foi corrigida. A empresa publicará mais detalhes sobre a falha, bem como sua correção, no próximo boletim de segurança a ser publicado em dezembro.