Boletim semanal de cibersegurança 5-11 junho

Boletim Mensal da Microsoft

A Microsoft lançou seu boletim de segurança de junho que aborda 50 vulnerabilidades, incluindo falhas de execução remota de código (RCE), problemas de negação de serviço, escalonamento de privilégios e problemas de corrupção de memória. Cinco das vulnerabilidades abordadas permitiriam a execução remota de código: CVE-2021-33742 (0 day em exploração ativa), CVE-2021-31963,   CVE-2021-31967,   CVE-2021-31959,   CVE-2021-31985.  

Também é notável entre as atualizações de segurança, que incluíram patchs de sete 0 day, seis dos quais estavam sendo ativamente explorados:

• CVE-2021-33742 (CVSS 7.5): Vulnerabilidade de execução remota de código remoto da plataforma Windows MSHTML.
• CVE-2021-33739 (CVSS 8.4): Microsoft DWM Core Library Elevation of Privilege Vulnerability.
• CVE-2021-31199 e CVE-2021-31201 (CVSS 5.2): Microsoft Enhanced Cryptographic Provider Elevation of Privilege Vulnerabilities.
• CVE-2021-31955 (CVSS 5.5): Vulnerabilidade de divulgação de informações do Windows Kernel.
• CVE-2021-31956 (CVSS 7.8): Windows NTFS Elevation of Privilege Vulnerability.
• CVE-2021-31968 (CVSS 7.5): Windows Remote Desktop Services Denial of Service Vulnerability. Este é o único 0 day corrigido para o qual não há evidência de sua exploração.

Nova campanha PuzzleMaker usa uma sequência de 0 days no Chrome e Windows 10

Pesquisadores descobriram um novo grupo chamado PuzzleMaker, que estaria usando uma cadeia de 0 day no Google Chrome e Windows 10 em ataques altamente direcionados contra empresas em todo o mundo. A campanha estaria ativa a partir de meados de abril, quando os sistemas das primeiras vítimas foram comprometidos. A cadeia de exploração de 0 days implantada nesta atividade explora uma vulnerabilidade de execução remota de código no Google Chrome V8 Javascript para acessar o sistema. Os atacantes usaram um exploit de escalada de privilégios para comprometer as versões mais recentes do Windows 10, aproveitando-se de uma vulnerabilidade no kernel do Windows (CVE-2021-31955) e outro bug de escalonamento de privilégios do Windows NTFS(CVE-2021-31956), ambos já corrigidos. Uma vez que os exploits do chrome e do windows são usados para obter acesso ao sistema da vítima, o PuzzleMaker implanta e executa quatro módulos de malware adicionais a partir de um servidor remoto. Primeiro, um stager é implantado para notificar que a exploração foi bem sucedida, bem como para implantar e executar um  dropper  mais complexo, que por sua vez instala dois executáveis, que fingem ser arquivos legítimos do sistema operacional Windows; o segundo deles é um Shell remoto e pode ser considerado como a principal payload desses ataques. Nenhuma semelhança foi identificada entre o malware usado e outros já conhecidos. ​

Boletim Informativo Chrome – Novo 0 day ativamente explorado

O Google publicou seu boletim mensal para o mês de junho, no qual várias falhas de segurança em seu navegador Chrome para Windows, Mac e Linux foram corrigidas. Entre essas falhas está um novo 0 day de alta gravidade, identificado como CVE-2021-30551 que, segundo a própria empresa, seria ativamente explorado. Por sua vez, o funcionário do Google Shane Huntley postou um tweet no qual confirma que essa exploração estaria sendo usada pelo mesmo grupo que foi ligado à exploração do CVE-2021-33742 de 0 day no navegador Edge corrigido pela Microsoft esta semana. Este novo 0 day vem de um erro de confusão em seu motor V8 de código aberto e permite que um invasor remoto, através de uma página web especialmente projetada, engane o usuário a acessá-lo e, assim, explorar essa falha e executar código arbitrário no sistema da vítima. Por outro lado, também vale a pena notar o novo boletim, uma vulnerabilidade crítica de tipo use-after-free no sistema de otimização BFCache (CVE-2021-30544).

Novos grupos exploram antigas vulnerabilidades de VPN SonicWall

A equipe de resposta a incidentes da CrowdStrike identificou que os operadores de ransomware  estariam explorando uma antiga vulnerabilidade no SonicWall VPN (CVE-2019-7481 CVSS 7.5) que afeta dispositivos SR 4600 de acesso remoto seguro em vários incidentes. A capacidade de explorar essa vulnerabilidade contra dispositivos SRA não havia sido relatada anteriormente e estaria afetando versões anteriores ao 10.x, embora tenha sido oficialmente lançado que só afetou versões antes do 9.0.0.3, uma vez que as versões mais recentes do firmware Secure Mobile Access (SMA) não atenuam mais este CVE para dispositivos SRA. Além disso, em fevereiro de 2021, o SonicWall PSIRT identificou um novo 0 day (CVE-2021-20016 CVSS 9.8) que afetou seus dispositivos SMA 100 e exigiu atualizações para versões após 10.x. Em relação a essa vulnerabilidade, a SonicWall não mencionou se afetou dispositivos antigos da SRA VPN que ainda estavam em ambientes de produção, pois são considerados fora de sua vida útil. Essa análise do Crowdstrike se concentrou na vulnerabilidade de 2019, pois há provas públicas de conceito sobre ela e eles afirmam não querer fornecer informações que poderiam ser usadas pelos invasores, já que a vulnerabilidade de 2021 não tem PoCs públicos no momento.

Siloscape: o primeiro malware direcionado a contêineres Windows

O pesquisador do PaloAlto Daniel Prizmant detalhou a primeira campanha de malware  direcionada aos contêineres do Windows. Em julho de 2020, uma técnica foi tornada pública para escapar dos contêineres do Windows em Kubernetes e acessar o cluster destes, embora a princípio a Microsoft não o reconhecesse como uma vulnerabilidade, pois argumentava que os contêineres não deveriam ser usados como medida de segurança, finalmente eles tiveram que reconhecer a falha ao permitir que ele escapasse de um contêiner para o host sem ter permissões de administrador(CVE-2021-24096 ). O novo malware chamado «Siloscape» visa explorar kubernetes através de contêineres Windows, implantando um backdoor em clusters Kubernetes mal configurados, a fim de executar contêineres maliciosos com funcionalidades de mineração de criptomoedas ou exfiltrar informações de aplicativos em execução no cluster.  Os vetores de ataque iniciais nos contêineres têm sido principalmente vulnerabilidades da Web, como CVE-2020-14882,aplicações PHP vulneráveis, injeções SQL ou serviços Redis vulneráveis.