Boletim semanal de cibersegurança 22-28 maio

A vulnerabilidade na pilha do protocolo HTTP do Windows também afeta o WinRM

Investigadores de segurança descobriram que a vulnerabilidade que afeta o servidor web Windows IIS (CVE-2021-31166, CVSS 9.8), que residia na pilha do protocolo HTTP -http.sys- responsável pelo processamento de solicitações, também pode ser explorada, para atacar sistemas que expõem o serviço WinRM (Gerenciamento Remoto do Windows), permitindo que atacantes não autenticados executem código arbitrário. Esta vulnerabilidade afeta apenas as versões 2004 e 20H2 do Windows 10 e Windows Server. Deve-se observar que, embora esse serviço esteja desabilitado nas versões do Windows 10, ele está habilitado por padrão nas versões do Windows Server. Embora não haja prova pública de conceito para a execução de código arbitrário usando esta vulnerabilidade, os pesquisadores publicaram um teste, para realizar ataques de negação de serviço enviando um único pacote.

Vulnerabilidade zero day na Apple

A Apple publicou um boletim de segurança onde corrige várias falhas de segurança, incluindo uma de zero day, que afeta seu sistema operacional macOS. Dentre as vulnerabilidades abordadas, destaca-se à zero day, descoberta pela empresa de segurança Jamf e classifica como CVE-2021-30713, que se refere a uma falha de bypass na estruturado TCC  do macOS e que foi explorada por pelo menos um ano pelo grupo que opera o malware XCSSET. Para a distribuição de amostra, os operadores XCSSET esconderiam o código malicioso em projetos Xcode no Github, fingindo ser scripts legítimos da Apple para evitar o controle de transparência e controle (TCC) do macOS. Da mesma forma, vale destacar outra vulnerabilidade corrigida, descoberta por Pesquisadores ZecOps e identificado como CVE-2021-30741, cujo impacto afeta os sistemas iOS permitindo o processamento de código malicioso. A Apple recomenda atualizar os sistemas afetados para as versões mais recentes para resolver problemas de segurança.

Atualização: nova campanha de espionagem baseada na exploração de vulnerabilidades no Pulse Secure

Em 20 de abril, os pesquisadores da FireEye publicaram a descoberta e análise de uma campanha de espionagem por meio da exploração de vulnerabilidades em dispositivos Pulse Secure VPN, realizada por supostos atores de ameaças de origem chinesa. Atualmente, um mês depois, os pesquisadores continuaram a coletar informações de suas descobertas. A equipe de engenharia reversa do Flare identificou 4 novas famílias de malware relacionadas ao UNC2630, projetadas especificamente para manipular dispositivos Pulse Secure, chamados BLOODMINE, BLOODBANK, CLEANPULSE e RAPIDPULSE. Assim mesmo, a  Cybersecurity and Infrastructure Security Agency (CISA) atualizou seus alerta para incluir novos TTPs de atores de ameaças, IoCs e medidas de mitigação atualizadas. Por sua vez, a equipe de resposta a incidentes de segurança Ivanti Publicou uma nova ferramenta para melhorar a integridade do software Pulse Connect Secure.

Campanha de malvertising com o software AnyDesk

A equipe Falcon Complete da CrowdStrike, publicou uma análise de uma campanha de malvertising que usa o software de desktop remoto AnyDesk como isca. Os operadores da campanha supostamente usaram a plataforma de publicidade do Google para se passar pelo legítimo site AnyDesk, aparecendo em buscas antes dos anúncios do próprio software legítimo. Por meio da página falsificada, os usuários baixariam o instalador AnyDesk, que já foi infectado, com recursos maliciosos. Os pesquisadores sugerem que cerca de 40% dos cliques nesses anúncios maliciosos do Google, resultaram em instalações do binário AnyDesk infectado, enquanto em 20% das instalações, os atores das ameaças realizam comunicações diretas com os computadores das vítimas para atribuir tarefas ou executar comandos.