Víctor Mayoral-Vilches Cibercrime em Robótica, pesquisa da Alias Robotics que viaja para Black Hat Robôs industriais são seguros? É a dúvida com que essa análise começa, a partir da Alias Robotics, trabalhamos em conjunto com a TrendMicro em uma pesquisa sobre segurança robótica...
ElevenPaths Boletim semanal de cibersegurança 2 maio-4 junho Vulnerabilidade no SonicWall Network Security Manager A SonicWall lançou patches de segurança, para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do...
Boletim semanal de cibersegurança 5-11 junhoElevenPaths 11 junio, 2021 Boletim Mensal da Microsoft A Microsoft lançou seu boletim de segurança de junho que aborda 50 vulnerabilidades, incluindo falhas de execução remota de código (RCE), problemas de negação de serviço, escalonamento de privilégios e problemas de corrupção de memória. Cinco das vulnerabilidades abordadas permitiriam a execução remota de código: CVE-2021-33742 (0 day em exploração ativa), CVE-2021-31963, CVE-2021-31967, CVE-2021-31959, CVE-2021-31985. Também é notável entre as atualizações de segurança, que incluíram patchs de sete 0 day, seis dos quais estavam sendo ativamente explorados: CVE-2021-33742 (CVSS 7.5): Vulnerabilidade de execução remota de código remoto da plataforma Windows MSHTML.CVE-2021-33739 (CVSS 8.4): Microsoft DWM Core Library Elevation of Privilege Vulnerability.CVE-2021-31199 e CVE-2021-31201 (CVSS 5.2): Microsoft Enhanced Cryptographic Provider Elevation of Privilege Vulnerabilities.CVE-2021-31955 (CVSS 5.5): Vulnerabilidade de divulgação de informações do Windows Kernel.CVE-2021-31956 (CVSS 7.8): Windows NTFS Elevation of Privilege Vulnerability.CVE-2021-31968 (CVSS 7.5): Windows Remote Desktop Services Denial of Service Vulnerability. Este é o único 0 day corrigido para o qual não há evidência de sua exploração. Nova campanha PuzzleMaker usa uma sequência de 0 days no Chrome e Windows 10 Pesquisadores descobriram um novo grupo chamado PuzzleMaker, que estaria usando uma cadeia de 0 day no Google Chrome e Windows 10 em ataques altamente direcionados contra empresas em todo o mundo. A campanha estaria ativa a partir de meados de abril, quando os sistemas das primeiras vítimas foram comprometidos. A cadeia de exploração de 0 days implantada nesta atividade explora uma vulnerabilidade de execução remota de código no Google Chrome V8 Javascript para acessar o sistema. Os atacantes usaram um exploit de escalada de privilégios para comprometer as versões mais recentes do Windows 10, aproveitando-se de uma vulnerabilidade no kernel do Windows (CVE-2021-31955) e outro bug de escalonamento de privilégios do Windows NTFS(CVE-2021-31956), ambos já corrigidos. Uma vez que os exploits do chrome e do windows são usados para obter acesso ao sistema da vítima, o PuzzleMaker implanta e executa quatro módulos de malware adicionais a partir de um servidor remoto. Primeiro, um stager é implantado para notificar que a exploração foi bem sucedida, bem como para implantar e executar um dropper mais complexo, que por sua vez instala dois executáveis, que fingem ser arquivos legítimos do sistema operacional Windows; o segundo deles é um Shell remoto e pode ser considerado como a principal payload desses ataques. Nenhuma semelhança foi identificada entre o malware usado e outros já conhecidos. Boletim Informativo Chrome – Novo 0 day ativamente explorado O Google publicou seu boletim mensal para o mês de junho, no qual várias falhas de segurança em seu navegador Chrome para Windows, Mac e Linux foram corrigidas. Entre essas falhas está um novo 0 day de alta gravidade, identificado como CVE-2021-30551 que, segundo a própria empresa, seria ativamente explorado. Por sua vez, o funcionário do Google Shane Huntley postou um tweet no qual confirma que essa exploração estaria sendo usada pelo mesmo grupo que foi ligado à exploração do CVE-2021-33742 de 0 day no navegador Edge corrigido pela Microsoft esta semana. Este novo 0 day vem de um erro de confusão em seu motor V8 de código aberto e permite que um invasor remoto, através de uma página web especialmente projetada, engane o usuário a acessá-lo e, assim, explorar essa falha e executar código arbitrário no sistema da vítima. Por outro lado, também vale a pena notar o novo boletim, uma vulnerabilidade crítica de tipo use-after-free no sistema de otimização BFCache (CVE-2021-30544). Novos grupos exploram antigas vulnerabilidades de VPN SonicWall A equipe de resposta a incidentes da CrowdStrike identificou que os operadores de ransomware estariam explorando uma antiga vulnerabilidade no SonicWall VPN (CVE-2019-7481 CVSS 7.5) que afeta dispositivos SR 4600 de acesso remoto seguro em vários incidentes. A capacidade de explorar essa vulnerabilidade contra dispositivos SRA não havia sido relatada anteriormente e estaria afetando versões anteriores ao 10.x, embora tenha sido oficialmente lançado que só afetou versões antes do 9.0.0.3, uma vez que as versões mais recentes do firmware Secure Mobile Access (SMA) não atenuam mais este CVE para dispositivos SRA. Além disso, em fevereiro de 2021, o SonicWall PSIRT identificou um novo 0 day (CVE-2021-20016 CVSS 9.8) que afetou seus dispositivos SMA 100 e exigiu atualizações para versões após 10.x. Em relação a essa vulnerabilidade, a SonicWall não mencionou se afetou dispositivos antigos da SRA VPN que ainda estavam em ambientes de produção, pois são considerados fora de sua vida útil. Essa análise do Crowdstrike se concentrou na vulnerabilidade de 2019, pois há provas públicas de conceito sobre ela e eles afirmam não querer fornecer informações que poderiam ser usadas pelos invasores, já que a vulnerabilidade de 2021 não tem PoCs públicos no momento. Siloscape: o primeiro malware direcionado a contêineres Windows O pesquisador do PaloAlto Daniel Prizmant detalhou a primeira campanha de malware direcionada aos contêineres do Windows. Em julho de 2020, uma técnica foi tornada pública para escapar dos contêineres do Windows em Kubernetes e acessar o cluster destes, embora a princípio a Microsoft não o reconhecesse como uma vulnerabilidade, pois argumentava que os contêineres não deveriam ser usados como medida de segurança, finalmente eles tiveram que reconhecer a falha ao permitir que ele escapasse de um contêiner para o host sem ter permissões de administrador(CVE-2021-24096 ). O novo malware chamado «Siloscape» visa explorar kubernetes através de contêineres Windows, implantando um backdoor em clusters Kubernetes mal configurados, a fim de executar contêineres maliciosos com funcionalidades de mineração de criptomoedas ou exfiltrar informações de aplicativos em execução no cluster. Os vetores de ataque iniciais nos contêineres têm sido principalmente vulnerabilidades da Web, como CVE-2020-14882,aplicações PHP vulneráveis, injeções SQL ou serviços Redis vulneráveis. Boletim semanal de cibersegurança 2 maio-4 junhoBoletim semanal de cibersegurança 12-18 junho
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...
Telefónica Tech Boletim semanal de Cibersegurança 3 – 9 dezembro Nono 0-day do ano no Chrome O Google lançou o Chrome 108.0.5359.94 para Mac e Linux, e o 108.0.5359.94/.95 para Windows, que corrige uma vulnerabilidade de 0-day, a nona detectada...
Telefónica Tech Boletim semanal de Cibersegurança 28 outubro – 4 novembro Uso de Raspberry Robin em cadeias complexas de infecção Pesquisadores da Microsoft relataram nos últimos dias novas descobertas sobre o malware Raspberry Robin. De acordo com sua análise, esse software...
Telefónica Tech Boletim semanal de cibersegurança, 30 abril — 6 maio TLStorm 2 – Vulnerabilidades em Switches Aruba e Avaya Pesquisadores da Armis descobriram cinco vulnerabilidades na implementação de comunicações TLS em vários modelos de switch Aruba e Avaya. Especificamente, as...