Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Boletim semanal de cibersegurança 5-11 junhoElevenPaths 11 junio, 2021 Boletim Mensal da Microsoft A Microsoft lançou seu boletim de segurança de junho que aborda 50 vulnerabilidades, incluindo falhas de execução remota de código (RCE), problemas de negação de serviço, escalonamento de privilégios e problemas de corrupção de memória. Cinco das vulnerabilidades abordadas permitiriam a execução remota de código: CVE-2021-33742 (0 day em exploração ativa), CVE-2021-31963, CVE-2021-31967, CVE-2021-31959, CVE-2021-31985. Também é notável entre as atualizações de segurança, que incluíram patchs de sete 0 day, seis dos quais estavam sendo ativamente explorados: CVE-2021-33742 (CVSS 7.5): Vulnerabilidade de execução remota de código remoto da plataforma Windows MSHTML.CVE-2021-33739 (CVSS 8.4): Microsoft DWM Core Library Elevation of Privilege Vulnerability.CVE-2021-31199 e CVE-2021-31201 (CVSS 5.2): Microsoft Enhanced Cryptographic Provider Elevation of Privilege Vulnerabilities.CVE-2021-31955 (CVSS 5.5): Vulnerabilidade de divulgação de informações do Windows Kernel.CVE-2021-31956 (CVSS 7.8): Windows NTFS Elevation of Privilege Vulnerability.CVE-2021-31968 (CVSS 7.5): Windows Remote Desktop Services Denial of Service Vulnerability. Este é o único 0 day corrigido para o qual não há evidência de sua exploração. Nova campanha PuzzleMaker usa uma sequência de 0 days no Chrome e Windows 10 Pesquisadores descobriram um novo grupo chamado PuzzleMaker, que estaria usando uma cadeia de 0 day no Google Chrome e Windows 10 em ataques altamente direcionados contra empresas em todo o mundo. A campanha estaria ativa a partir de meados de abril, quando os sistemas das primeiras vítimas foram comprometidos. A cadeia de exploração de 0 days implantada nesta atividade explora uma vulnerabilidade de execução remota de código no Google Chrome V8 Javascript para acessar o sistema. Os atacantes usaram um exploit de escalada de privilégios para comprometer as versões mais recentes do Windows 10, aproveitando-se de uma vulnerabilidade no kernel do Windows (CVE-2021-31955) e outro bug de escalonamento de privilégios do Windows NTFS(CVE-2021-31956), ambos já corrigidos. Uma vez que os exploits do chrome e do windows são usados para obter acesso ao sistema da vítima, o PuzzleMaker implanta e executa quatro módulos de malware adicionais a partir de um servidor remoto. Primeiro, um stager é implantado para notificar que a exploração foi bem sucedida, bem como para implantar e executar um dropper mais complexo, que por sua vez instala dois executáveis, que fingem ser arquivos legítimos do sistema operacional Windows; o segundo deles é um Shell remoto e pode ser considerado como a principal payload desses ataques. Nenhuma semelhança foi identificada entre o malware usado e outros já conhecidos. Boletim Informativo Chrome – Novo 0 day ativamente explorado O Google publicou seu boletim mensal para o mês de junho, no qual várias falhas de segurança em seu navegador Chrome para Windows, Mac e Linux foram corrigidas. Entre essas falhas está um novo 0 day de alta gravidade, identificado como CVE-2021-30551 que, segundo a própria empresa, seria ativamente explorado. Por sua vez, o funcionário do Google Shane Huntley postou um tweet no qual confirma que essa exploração estaria sendo usada pelo mesmo grupo que foi ligado à exploração do CVE-2021-33742 de 0 day no navegador Edge corrigido pela Microsoft esta semana. Este novo 0 day vem de um erro de confusão em seu motor V8 de código aberto e permite que um invasor remoto, através de uma página web especialmente projetada, engane o usuário a acessá-lo e, assim, explorar essa falha e executar código arbitrário no sistema da vítima. Por outro lado, também vale a pena notar o novo boletim, uma vulnerabilidade crítica de tipo use-after-free no sistema de otimização BFCache (CVE-2021-30544). Novos grupos exploram antigas vulnerabilidades de VPN SonicWall A equipe de resposta a incidentes da CrowdStrike identificou que os operadores de ransomware estariam explorando uma antiga vulnerabilidade no SonicWall VPN (CVE-2019-7481 CVSS 7.5) que afeta dispositivos SR 4600 de acesso remoto seguro em vários incidentes. A capacidade de explorar essa vulnerabilidade contra dispositivos SRA não havia sido relatada anteriormente e estaria afetando versões anteriores ao 10.x, embora tenha sido oficialmente lançado que só afetou versões antes do 9.0.0.3, uma vez que as versões mais recentes do firmware Secure Mobile Access (SMA) não atenuam mais este CVE para dispositivos SRA. Além disso, em fevereiro de 2021, o SonicWall PSIRT identificou um novo 0 day (CVE-2021-20016 CVSS 9.8) que afetou seus dispositivos SMA 100 e exigiu atualizações para versões após 10.x. Em relação a essa vulnerabilidade, a SonicWall não mencionou se afetou dispositivos antigos da SRA VPN que ainda estavam em ambientes de produção, pois são considerados fora de sua vida útil. Essa análise do Crowdstrike se concentrou na vulnerabilidade de 2019, pois há provas públicas de conceito sobre ela e eles afirmam não querer fornecer informações que poderiam ser usadas pelos invasores, já que a vulnerabilidade de 2021 não tem PoCs públicos no momento. Siloscape: o primeiro malware direcionado a contêineres Windows O pesquisador do PaloAlto Daniel Prizmant detalhou a primeira campanha de malware direcionada aos contêineres do Windows. Em julho de 2020, uma técnica foi tornada pública para escapar dos contêineres do Windows em Kubernetes e acessar o cluster destes, embora a princípio a Microsoft não o reconhecesse como uma vulnerabilidade, pois argumentava que os contêineres não deveriam ser usados como medida de segurança, finalmente eles tiveram que reconhecer a falha ao permitir que ele escapasse de um contêiner para o host sem ter permissões de administrador(CVE-2021-24096 ). O novo malware chamado «Siloscape» visa explorar kubernetes através de contêineres Windows, implantando um backdoor em clusters Kubernetes mal configurados, a fim de executar contêineres maliciosos com funcionalidades de mineração de criptomoedas ou exfiltrar informações de aplicativos em execução no cluster. Os vetores de ataque iniciais nos contêineres têm sido principalmente vulnerabilidades da Web, como CVE-2020-14882,aplicações PHP vulneráveis, injeções SQL ou serviços Redis vulneráveis. Boletim semanal de cibersegurança 2 maio-4 junhoBoletim semanal de cibersegurança 12-18 junho
Telefónica Tech Boletim semanal de Cibersegurança 11 – 17 Fevereiro Apple corrige 0-day explorado ativamente A Apple emitiu vários avisos de segurança para corrigir uma vulnerabilidade de 0-day explorada ativamente. A falha de segurança, listada como CVE-2023-23529, é uma confusão...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Fevereiro Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De...
Telefónica Tech Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria...
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...
