Boletim semanal de cibersegurança 25 setembro – 1 outubro

Certificado raiz Let’s Encrypt (DST Root CA X3) expira

Há alguns dias, Scott Helme, fundador da Security Headers, destacou a data de 30 de setembro como a data em que o certificado raiz do Let’s Encrypt, DST Root CA X3, expiraria. A partir das 16:01 horário da Espanha, 30 de setembro, quando o certificado raiz existente expirou em vários sites, todos os dispositivos e navegadores que não foram atualizados (e para os quais, portanto, o certificado deixou de ser compatível) começaram a ter problemas ao considerar as conexões como não confiáveis. Em seu artigo, Helme forneceu uma lista de clientes que só confiavam no certificado que ia expirar e que, portanto, iOS<< < <10 (iPhone 5 é o modelo mais baixo que pode chegar ao iOS 10), iOS < 10 (iPhone 5 é o modelo mais baixo que pode chegar ao iOS 10),  Android < 7.1.1 (mas >= 2.3.6 funcionará se servido isrg Root X1 cross-sign), Mozilla Firefox < 50, Ubuntu < 16.04, Debian < 8, Java 8 < 8u141, Java 7 < 7u151, NSS < 3.26 e Amazon FireOS (SilkBrowser).» Para contornar esse problema, o Let’s Encrypt tem um novo certificado raiz, ISRG Root X1. Por outro lado, deve-se notar também que, até ontem, a empresa utilizou um sistema de identificação cruzada que tornou o DST Root CA X3 compatível com a versão mais recente e estendida do ISRG Root X1, porém, com o vencimento do primeiro, essa prática é encerrada. Após o vencimento e apesar dos avisos feitos, Helme teria confirmado problemas, pelo menos, para empresas como Palo Alto, Bluecoat, Cisco Umbrela, Catchpoint, Guardian Firewall, Monday.com, PFsense, Google Cloud Monitoring, Azure Application Gateway, OVH, Auth0, Shopify, Xero, QuickBooks, Fortinet, Heroku, Rocket League, InstaPage, Ledger, Netlify e Cloudflare Pages.

Guia de boas Práticas Recomendadas para Seleção e Reforço de Rede VPN

A Agência Nacional de Segurança (NSA) e a Agência de Segurança cibernética e infraestrutura dos EUA (CISA) criaram e publicaram conjuntamente um documento sob o título De seleção e endurecimento de soluções VPN de acesso remoto que visa ajudar as organizações a escolher uma solução VPN que siga os padrões atuais,  bem como a definição de uma série de práticas recomendadas para fazer uso de fortes credenciais de autenticação, agilidade para corrigir vulnerabilidades e implementar processos para proteger e monitorar o acesso à rede virtual privada (VPN). A publicação deste guia veio após os numerosos ataques ocorridos contra o governo e instituições de defesa em vários países durante este ano por atores de ameaças, apoiados principalmente por governos, e diferentes grupos de ransomware que se aproveitaram de vulnerabilidades conhecidas em serviços de VPN de uso generalizado, como Fortinet, Pulse Secure ou Cisco. O documento está agora disponível publicamente a partir do seguinte link e, como a própria NSA afirma em seu comunicado de imprensa, «A publicação da orientação faz parte de sua missão de ajudar a proteger os departamentos de defesa e segurança nacional.»

Chrome corrige novos 0 days ativamente explorado

Em 24 de setembro, o Google lançou uma atualização urgente de seu navegador Chrome para Windows, Mac e Linux que resolve um 0 day em que o próprio fabricante afirma ter relatos de sua exploração ativa na rede por atores de ameaças, embora não tenha fornecido detalhes específicos sobre os supostos incidentes. A falha, identificada como CVE-2021-37973 (no momento sem pontuação CVSSv3), reside no novo sistema de navegação do Google para Chrome chamado «Portais» e é um bug do tipo «use depois de livre» que, após uma exploração bem sucedida em versões vulneráveis do Chrome, permitiria a execução de código arbitrário. O Google já preparou a nova versão do Chrome 94.0.4606.61 que resolve o problema e, como dizem em sua própria publicação, «será implementado nos próximos dias/semanas».

Apenas alguns dias depois, em 30 de setembro, o Google lançou novamente uma atualização urgente de seu navegador Chrome para Windows, Mac e Linux resolvendo dois novos 0 days dos quais ainda não forneceu detalhes específicos, sendo reservado até a implementação massiva do patch. Essas vulnerabilidades, que estão sendo ativamente exploradas de acordo com o Google, foram designadas como: CVE-2021-37975,uma falha de uso de memória após sua liberação no motor V8 JavaScript e WebAssembly (use-after-free), o que permitiria o bloqueio de programas e a execução arbitrária de código; CVE-2021-37976 que produz um vazamento de informações no kernel do navegador. O Google já preparou a nova versão do Chrome 94.0.4606.71 que resolve o problema com planos para os usuários implementá-lo principalmente durante os próximos dias.

Malware GriftHorse para dispositivos Android inscrevem-se em serviços pagos

Pesquisadores de segurança da Zimperium descobriram um novo Trojan distribuído em larga escala desde novembro de 2020, que subscreve as vítimas a serviços premium de SMS. Até hoje, teria infectado mais de 10 milhões de dispositivos Android em mais de 70 países. A distribuição de malware é feita através de aplicativos de aparência legítima de ferramentas, personalização ou software de entretenimento, carregados na Google Play Store oficial e em lojas de terceiros. O malware é desenvolvido com a estrutura Apache Cordova, tornando-o multiplataforma e permitindo que atualizações sejam implantadas sem a necessidade de interação do usuário. O aplicativo exibe repetidamente alertas com pretextos de prêmios para redirecionar a vítima para um site em seu idioma no qual, ao inserir seu número de telefone, eles são inscritos em um serviço de SMS premium com um custo mensal superior a € 30. Deve-se notar que o malware emprega várias técnicas para evitar a detecção: evita codificar URLs, não reutiliza domínios, filtra o conteúdo com base na geolocalização do endereço IP e evita a verificação da análise dinâmica da comunicação. Os pesquisadores estimam que os autores do Troiano têm lucros mensais entre 1,2 e 3,5 milhões de euros.