Boletim semanal de cibersegurança abril 10-16

Boletim de Segurança da Microsoft

A Microsoft lançou seu boletim mensal de segurança para abril deste ano, no qual corrigiu mais de 100 vulnerabilidades. As atualizações incluem patches para novos bugs nas versões do Exchange Server 2013-2019 (CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483), todos com alta criticidade e dois dos quais permitiriam que um potencial invasor executasse código remoto sem autenticar. Com relação a essas vulnerabilidades, sabe-se que a Agência dos EUA para Segurança de Infraestrutura e Segurança Cibernética (CISA) requisitou a todas as agências federais a instalar estas atualizações até sexta-feira. Por outro lado, uma vulnerabilidade também foi corrigida no Desktop Window Manager, com CVE-2021-28310 e criticidade média, que seria ativamente explorada por vários atores que ameaçam elevar privilégios em sistemas vulneráveis.  Por fim, também vale a pena mencionar várias vulnerabilidades de RCE com envolvimento para o Microsoft Office: CVE-2021-28454, CVE-2021-28451 (Excel), CVE-2021-28453 (Word) e CVE-2021-28449. Outros sistemas corrigidos foram Edge, Azure, SharePoint, Hyper-V, Team Foundation e Visual Studio.

A Adobe corrige várias vulnerabilidades críticas

A Adobe corrigiu diferentes vulnerabilidades que afetam quatro de seus produtos: Adobe Photoshop, Adobe Digital Editions, Adobe Bridge e RoboHelp. Estes equivalem a um total de dez vulnerabilidades, incluindo dois bugs críticos listados como CVE-2021-28548 e CVE-2021-28549 afetando o Adobe Photoshop, um bug crítico (CVE-2021-21100) no Adobe Digital Editions, seis vulnerabilidades, incluindo quatro revisões (CVE-2021-21093, CVE-2021-21092, CVE-2021-21094, CVE-2021-21095) que têm um impacto na Adobe Bridge e, finalmente, um bug de alto risco que estaria afetando o RoboHelp. A Adobe adverte seus clientes a atualizar versões vulneráveis o mais rápido possível.

Zero-Day no Chrome e Edge

O pesquisador de segurança Rajvardhan Agarwal descobriu uma vulnerabilidade de zero day nas versões atuais do Google Chrome e do Microsoft Edge, que ele tornou público através de seu  perfil no Twitter e no GitHub.  De acordo com o meio de segurança cibernética The Record relata, o código do sploitvem de uma vulnerabilidade que foi usada durante o evento de hacking Pwn2Own na semana passada. Embora os detalhes de tal vulnerabilidade nunca tenham sido publicados, Agarwal teria descoberto que estava no motor V8 JavaScript do Chromium, revisando o código-fonte dos patches. Os desenvolvedores do Chromium já teriam corrigido o bug, no entanto, essa correção ainda não faria parte das atualizações oficiais para navegadores como Google Chrome e Microsoft Edge, que permanecem vulneráveis.

Alguns dias depois, o pesquisador de segurança conhecido no Twitter como @frust93717815 divulgou outra nova vulnerabilidade de zero day em navegadores baseados em Chromium, postando um PoC em seu perfil no Github.  Essa nova vulnerabilidade estaria afetando tanto o Chrome quanto o Edge e, como a publicada no início da semana, poderia permitir a execução remota de código, podendo abrir o aplicativo do Windows Notepad. Embora essa vulnerabilidade não seja capaz de escapar do ambiente securizado do Chromium e, portanto, não seja prejudicial em si, um agente de ameaças que consegue desativar o argumento de “Sandbox “ do Chrome (seja amarrando a outras vulnerabilidades ou confundindo o usuário), poderia alcançar sua exploração. Desde o Bleeping Computer eles verificaram que a exploração é funcional nas versões mais recentes do Google Chrome (89.0.4389.128, emitido há poucos dias) e no Microsoft Edge (89.0.774.76).

Ambas as vulnerabilidades já foram corrigidas na versão 90.0.4430.72 do Google Chrome e na versão 89.0.774.77 do Microsoft Edge.

Campanhas de distribuição icedID

Pesquisadores da Microsoft detectaram recentemente uma campanha de distribuição de malware IcedID usando formulários de contato legítimos em páginas da Web. Os atacantes estariam preenchendo automaticamente formulários de contato recebidos pelas vítimas sob a forma de e-mail que à primeira vista parece confiável. A mensagem enviada usa técnicas de engenharia social para forçar a vítima a acessar um link incorporado usando linguagem de emergência e ameaças legais para falsas alegações de direitos autorais de imagens ou outros materiais supostamente usados em seu site.  O link redireciona para um login do Google onde a vítima insere suas credenciais, iniciando automaticamente o download do arquivo malicioso contendo IcedID. Simultaneamente, pesquisadores e analistas  da Uptycs Ali Aqeel também detectaram a distribuição do IcedID usando documentos maliciosos da Microsoft, principalmente Excel e Word. Deve-se lembrar que o IcedID é um Trojan bancário que rouba informações financeiras das vítimas, e que também é capaz de agir como uma porta de entrada para sistemas infectados para outros malwares; Estima-se que ele possa ser um dos vetores de acesso do ransomware RansomEXX, que recentemente incluiu entre suas vítimas à Câmara Municipal de Castelló, na Espanha.