Víctor Mayoral-Vilches Cibercrime em Robótica, pesquisa da Alias Robotics que viaja para Black Hat Robôs industriais são seguros? É a dúvida com que essa análise começa, a partir da Alias Robotics, trabalhamos em conjunto com a TrendMicro em uma pesquisa sobre segurança robótica...
ElevenPaths Boletim semanal de cibersegurança 2 maio-4 junho Vulnerabilidade no SonicWall Network Security Manager A SonicWall lançou patches de segurança, para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do...
Boletim semanal de cibersegurança 20-26 novembroTelefónica Tech 26 noviembre, 2021 Reacharound: Possível ressurgimento da ameaça tripla TrickBot – Emotet – Ransomware Em janeiro passado, graças a uma ação internacional coordenada pela Europol e eurojust, o desmantelamento da infraestrutura da Emotet, malware amplamente utilizado nos estágios iniciais da cadeia de infecção por ransomware. Esses fatos contribuíram, de acordo com os pesquisadores de segurança, para o desligamento de várias operações de ransomware de alto nível (RaaS).No entanto, desde a semana passada, houve relatos sobre o ressurgimento dessa ameaça por pesquisadores como GData ou AdvIntel, que apontaram que os operadores do ransomware Conti teriam convencido o ex-operador da Emotet para a reconstrução de sua infraestrutura. Essas ações teriam ocorrido através de uma campanha que teria sido chamada de «Reacharound», que é caracterizada pela infecção de dispositivos com TrickBot, que incluiu uma carga Emotet. Pesquisadores da AdvIntel estimam que o retorno dessa ameaça terá um impacto significativo nas operações de ransomware devido a três razões: a alta sofisticação das capacidades da Emotet, a promoção do conhecido crime as-a-service nesta área e o retorno da clássica ameaça tripla composta pela TrickBot- Emotet-Ransomware PoC publicado para uma vulnerabilidade no Microsoft Exchange O pesquisador de segurança @testanull, publicou uma prova de conceito de trabalho (PoC) para a vulnerabilidade identificada como CVE-2021-4231 e CVSS de 8,8, que estaria afetando o Microsoft Exchange, que foi corrigido pela Microsoft no último Boletim de Segurança de Novembro. Diz-se que a vulnerabilidade afeta os serviços do Exchange Server 2016 e 2019 no local e pode permitir que um invasor autenticado execute código arbitrário remotamente. A Microsoft informa que detectou atividades relacionadas à exploração dessa vulnerabilidade ocasionalmente em ataques direcionados, por isso recomendam sua correção. Deve-se notar que esta não seria a primeira vez em 2021 que vulnerabilidades no serviço Microsoft Exchange foram exploradas para realizar ataques, já que as tentativas de explorar o ProxyLogon e o ProxyShell são bem conhecidas. Recomenda-se fazer uso do programa de diagnóstico Exchange para verificar o possível envolvimento dessas vulnerabilidades. Novo 0-day no Windows com exploração pública O pesquisador de segurança Abdelhamid Naceri tornou pública uma exploração para uma vulnerabilidade 0-day no Windows que permitiria que um invasor ganhasse privilégios de administrador e que afeta todas as versões do sistema operacional, incluindo Windows 10, Windows 11 e Windows Server 2022. Naceri conseguiu contornar o patch que a Microsoft incluiu em seu boletim mensal de novembro para uma escalada de vulnerabilidade de privilégio no Windows Installer (CVE-2021-41379), uma vulnerabilidade que ele relatou à Microsoft. Após essa nova descoberta, ele foi capaz de identificar um novo 0-day para o qual o pesquisador decidiu agora publicar a exploração (InstallerFileTakeOver) em sua conta gitHub. Com a publicação dessa exploração, Naceri pretende unir o sentimento de descontentamento já demonstrado por outros pesquisadores com a Microsoft, pois o que eles afirmam ser uma degradação contínua das recompensas que são relatadas à empresa. Espera-se que a Microsoft lance um patch de correção para o novo bug em seu próximo boletim. O pesquisador recomenda esperar pela correção oficial dada a complexidade da vulnerabilidade. Os pesquisadores de segurança da Cisco Talos já detectaram amostras de malware que estão tentando explorar o novo 0-day. Pesquisadores indicaram que as tentativas de exploração observadas fazem parte de ataques de baixo volume, de modo que poderiam ser testes para fazer ajustes nos exploits e, portanto, podem ser entendidos como um possível passo preliminar antes de campanhas de maior escala. Falha de segurança no GoDaddy O registrador de domínios GoDaddy tornou público um incidente de segurança detectado em 17 de novembro deste ano, no qual um terceiro não autorizado supostamente teve acesso ao ambiente de hospedagem gerenciado WordPress da empresa através de uma senha comprometida. A investigação, que ainda está em andamento, determina que o invasor teve acesso às informações dos clientes a partir do dia 6 de setembro deste ano até o momento de sua detecção, que foi bloqueada e expulsa do sistema. Entre as informações expostas estão o endereço de e-mail e o número de clientes de 1,2 milhão de usuários ativos e inativos gerenciados do WordPress, a senha do administrador do WordPress definida no momento do provisionamento, nomes de usuário sFTP , banco de dados, senhas de usuários ativos e a chave privada dos certificados SSL para determinados usuários ativos. A empresa está entrando em contato com clientes afetados por essa falha de segurança. Vale ressaltar que a GoDaddy sofreu uma violação de dados em maio do ano passado. O registrador de domínios GoDaddy tornou público um incidente de segurança detectado em 17 de novembro deste ano, no qual um terceiro não autorizado supostamente teve acesso ao ambiente de hospedagem gerenciado WordPress da empresa através de uma senha comprometida. A investigação, que ainda está em andamento, determina que o invasor teve acesso às informações dos clientes a partir do dia 6 de setembro deste ano até o momento de sua detecção, que foi bloqueada e expulsa do sistema. Entre as informações expostas estão o endereço de e-mail e o número de clientes de 1,2 milhão de usuários ativos e inativos gerenciados do WordPress, a senha do administrador do WordPress definida no momento do provisionamento, nomes de usuário sFTP , banco de dados, senhas de usuários ativos e a chave privada dos certificados SSL para determinados usuários ativos. A empresa está entrando em contato com clientes afetados por essa falha de segurança. Vale ressaltar que a GoDaddy sofreu uma violação de dados em maio do ano passado. Vulnerabilidades no MediaTek permitem espionar dispositivos Android A empresa de semicondutores MediaTek corrigiu várias falhas de segurança que poderiam ter permitido que os invasores escutassem chamadas telefônicas de dispositivos Android, executassem comandos ou aumentassem privilégios. Os SoCs (System on a chip) da MediaTek estão incorporados em cerca de 37% dos smartphones e dispositivos IoT do mundo, incluindo dispositivos de marcas como Xiaomi, Realme e Vivo, entre outros. Três dessas vulnerabilidades (CVE-2021-0661, CVE-2021-0662 e CVE-2021-0663) são devido à verificação incorreta de limites e foram corrigidas no boletim de segurança da MediaTek em outubro passado, todas com CVSS de 6,7. A quarta vulnerabilidade é atribuída ao identificador CVE-2021-0673, mas ainda não foi corrigida. A empresa publicará mais detalhes sobre a falha, bem como sua correção, no próximo boletim de segurança a ser publicado em dezembro. Os riscos na falta de controle de inventário#MulheresHacker: Orgulhosos de todos vocês
Telefónica Tech Boletim semanal de cibersegurança, 30 de julho – 5 de agosto Possível ligação entre o malware Raspberry Robin e as infecções da Evil Corp A equipe do Microsoft Threat Intelligence Center (MSTIC) publicou novas informações sobre o malware Raspberry Robin, detectado...
Telefónica Tech Boletim semanal de cibersegurança 16 — 22 julho Lightning Framework: novo malware direcionado a ambientes Linux A equipe de pesquisadores da Intezer publicou informações sobre um novo tipo de malware que afeta ambientes Linux e que eles chamaram...
Telefónica Tech Boletim semanal de cibersegurança 9 — 15 julho Rozena: backdoor distribuído explorando a vulnerabilidade follina A equipe de pesquisadores da Fortinet publicou a análise de uma campanha maliciosa na qual eles detectaram a distribuição de um novo backdoor...
Telefónica Tech Boletim semanal de cibersegurança 1 — 8 julho Raspberry Robin: worm detectado em várias redes do Windows A Microsoft emitiu um aviso privado voltado para assinantes do Microsoft Defender for Endpoint, informando sobre a detecção de malware Raspberry...
Telefónica Tech Boletim semanal de cibersegurança 18-24 junho Serviços do Microsoft Office 365 e Cloudflare interrompidos globalmente Ao longo da última terça-feira, vários serviços web foram interrompidos em todo o mundo. A origem desses incidentes residia, por um...
Telefónica Tech Boletim semanal de cibersegurança 13-17 junho Hertzbleed. Novo ataque de canal lateral contra processadores AMD e Intel Pesquisadores de segurança de várias universidades dos EUA descobriram um novo ataque de canal lateral que afeta processadores Intel...