Boletim semanal de cibersegurança 8-14 maio

Ataque de ransomware em um dos maiores oleodutos da América

A empresa de energia norte-americana Colonial Pipeline foi afetada na última sexta-feira por um ataque de ransomware, fechando cerca de 8.800 km de oleodutos que fornecem petróleo bruto para a Costa Leste. Essa medida teria sido tomada preventivamente para evitar que o malware se espalhasse, mas, como indicado pela entidade, o ataque teria afetado apenas sua rede de TI corporativa, não sistemas OT. Várias fontes especializadas atribuem o  incidente à família de ransomware conhecida como DarkSide, que já foi responsável pelo ataque à Escola de Organização Industrial (EOI) na Espanha. Este ransomware adere às tendências atuais de dupla extorsão (exfiltração de dados e sua publicação em aberto) e modelo de negócios através de afiliações (Ransomware-as-a-Service). Após o incidente, o governo dos EUA declarou estado de emergência com o objetivo de mover o petróleo bruto necessário para a população via estrada. O impacto do incidente fez com que os operadores da DarkSide publicassem um comunicado à imprensa, alegando ser apolítico e não relacionados a nenhum governo. Da mesma forma, eles indicaram que, a partir de agora, revisarão seus alvos antes de cometerem seus ataques, já que o objetivo de sua organização é ganhar dinheiro e não «criar problemas sociais». O DarkSide funciona como Ransomware-as-a-Service, este modelo consiste em dois grupos de pessoas: os desenvolvedores do ransomware e seus afiliados que fornecem acesso às redes das vítimas. Após o incidente com a Colonial Pipeline, um maior controle sobre este segundo grupo é esperado pelos desenvolvedores da DarkSide. Em conexão com o ataque, estima-se que os operadores de ransomware exfiltiram cerca de 100GB de dados dos sistemas antes da rede criptografa-los, embora no momento eles ainda não tornaram esses arquivos públicos. Nas últimas horas, por meio da Bloomberg, afirmaram que a empresa teria formalizado o pagamento solicitado a fim de recuperar a normalidade, nada foi conformado pela Colonial Pipeline.

Microsoft corrige três vulnerabilidades de zero-day e quatro vulnerabilidades críticas

A Microsoft divulgou seu boletim de segurança para o mês de maio, trazendo a correção de 3 vulnerabilidades de zero-day, das quais não há evidências de exploração ativa, apesar de terem sido divulgadas antes de se tornarem públicas suas correções.

• CVE-2021-31204– Vulnerabilidade de elevação de privilégio em .NET e Visual Studio.
• CVE-2021-31207– A função de segurança ignora a vulnerabilidade no Microsoft Exchange Server. Essa falha de segurança foi descoberta na edição de 2021  do Pwn2Own que ocorreu no início de abril.
• CVE-2021-31200 – Vulnerabilidade de execução remota de código nos utilitários comuns do Microsoft Neural Network Intelligence Toolkit.

Esta atualização abrange um total de 55 vulnerabilidades, 4 delas críticas (CVE-2021-31166 em HTTP Protocol Stack, CVE-2021-26419 no Internet Explorer, CVE-2021-28476 no Hyper-V e CVE-2021-31194 no Windows OLE), 50 importantes e, finalmente, uma de criticidade moderada. Nenhuma delas está sob exploração ativa.

Adobe corrige vulnerabilidade zero-day ativamente explorada

A Adobe corrigiu várias vulnerabilidades que afetam doze de seus produtos: Adobe Experience Manager, InDesign, Illustrator, InCopy, Genuine Service, Acrobat, Magento, Creative Cloud Desktop Application, Media Encoder, After Effects, Medium e Animate. Essas somam um total de 43 vulnerabilidades, incluindo uma vulnerabilidade de zero-day que afeta o Adobe Acrobat Reader e está listada como CVE-2021-28550. A Adobe indica que essa falha de segurança teria sido ativamente explorada em ataques limitados contra dispositivos Windows. Deve-se notar que essa vulnerabilidade pós-uso permite a execução remota de código, o que poderia permitir que os invasores executem comandos, instalem malware ou até mesmo a capacidade de acessar dispositivos de vítimas usando-o como um sistema operacional Windows e abrir um arquivo PDF malicioso especialmente projetado. A Adobe adverte seus clientes a atualizar versões vulneráveis o mais rápido possível.

FragAttacks: 12 novas vulnerabilidades no padrão Wi-Fi e suas implementações

Um pesquisador belga descobriu uma série de 12 novas vulnerabilidades que afetam dispositivos Wi-Fi, coletivamente chamados de FragAttacks. Essas vulnerabilidades podem ser usadas por invasores dentro do alcance Wi-Fi para injetar quadros em uma rede Wi-Fi protegida, fazendo com que a vítima use um servidor DNS controlado pelo ator da ameaça e, assim, interceptar o tráfego. Também permitiria, no caso de um roteador, contornar o firewall/NAT, permitindo que os invasores se comuniquem diretamente com dispositivos na rede Wi-Fi, o que pode resultar em ataques subsequentes a serviços vulneráveis. Entre as falhas identificadas, CVE-2020-24588, CVE-2020-24587  e CVE-2020-24586 são causadas por falhas no design do padrão WiFi, afetando a maioria dos dispositivos; enquanto cve-2020-26145,   CVE-2020-26144,   CVE-2020-26140 e CVE-2020-26143 residem em falhas de implementação, permitindo injeções triviais de quadros em redes Wi-Fi protegidas.  Outras 5 vulnerabilidades menos triviais também residem em falhas de implantação. O pesquisador garantiu que todos os produtos Wi-Fi são afetados por pelo menos uma vulnerabilidade, e a maioria dos produtos são afetados por vários. Uma série de recomendações de mitigação também foram fornecidas para aqueles que ainda não possuem patches.  

FiveHands: Ataques de ransomware de dupla extorsão direcionados às organizações

A Agência Americana de Cibersegurança (CISA) emitiu um alerta sobre uma nova variante do ransomware chamada FiveHands, que foi identificada em janeiro deste ano. Seus operadores empregam a técnica de dupla extorsão, já presente em numerosas famílias de ransomware e em que os agentes de ameaças reivindicam um resgate para descriptografar os sistemas violados e não publicar os dados roubados da organização. Em suas invasões, eles aproveitam ferramentas disponíveis publicamente, como o SoftPerfect Network Scanner for Discovery e o programa de gerenciamento remoto da Microsoft, psExec.exe, juntamente com o ServeManager.exe. Também é comum implantar malware SombRAT, capaz de coletar dados do sistema violado, bem como permitir o download e execução de DLLs nos sistemas afetados através de uma sessão SSL protegida. Além disso, o FiveHands tem recursos para excluir backups de sistemas ou/e quaisquer arquivos de recuperação. O FireEye identificou os operadores do FiveHands como UNC2447 em abril, vinculando-os a explorar uma vulnerabilidade de zero-day no SonicWall VPN(CVE-2021-20016) para o qual os patches existem desde fevereiro.