Boletim semanal de cibersegurança 13-17 junho

Hertzbleed. Novo ataque de canal lateral contra processadores AMD e Intel

Pesquisadores de segurança de várias universidades dos EUA descobriram um novo ataque de canal lateral que afeta processadores Intel e AMD, apelidado de Hertzbleed.

A coisa notável sobre este ataque é que ele poderia permitir que um invasor extraia chaves criptográficas de servidores remotos. Isso porque, sob certas circunstâncias, o sistema dinâmico de escalação de frequência e tensão (DVFS) de processadores modernos com arquitetura x86 depende dos dados que estão sendo processados, permitindo, em processadores modernos, que o mesmo programa possa ser executado em uma frequência diferente de CPU.

Tanto a Intel (CVE-2022-24436) quanto a AMD (CVE-2022-23823) já possuem seus identificadores correspondentes para essa vulnerabilidade e publicaram os correspondentes avisos de segurança. De acordo com pesquisadores que descobriram Hertzbleed, nenhuma das empresas planeja liberar patches para essas falhas. No entanto, a Intel e a AMD liberaram medidas de mitigação.

* * *

PACMAN. Novo ataque contra dispositivos Mac

Pesquisadores de segurança do MIT CSAIL descobriram um novo ataque que permitiria que a autenticação de ponteiro (PAC) fosse evitada nos processadores M1 da Apple.

O PAC é um mecanismo de segurança pelo qual certos ponteiros são assinados criptograficamente e que permite ao sistema operacional detectar e bloquear alterações inesperadas que, se não forem localizadas, podem levar a vazamentos de informações ou compromisso do sistema.

Especificamente, este ataque permitiria que os atores de ameaças acessassem o sistema de arquivos e executasse código arbitrário em computadores Mac vulneráveis. Para fazer isso, os atacantes devem primeiro localizar uma falha de gravação/leitura existente na falha de memória que afeta o software no dispositivo Mac da vítima, que seria bloqueado pelo PAC e poderia aumentar a gravidade da falha ao alcançar a evasão de autenticação do ponteiro.

Além disso, seria necessário saber o valor do PAC de um ponteiro específico do objetivo. Essa nova técnica de ataque foi relatada à Apple em 2021, juntamente com uma prova de conceito, embora a empresa indique que ela não representa um risco imediato para os usuários do Mac, uma vez que a exploração de outra falha é necessária, não sendo possível contornar os sistemas de segurança por si só.

URL: https://pacmanattack.com/

* * *

Citrix corrige duas vulnerabilidades no ADM

A Citrix divulgou um boletim de segurança crítico onde corrige duas vulnerabilidades no Citrix Application Delivery Management (ADM).

A primeira falha, catalogada como CVE-2022-27511, é devido ao controle de acesso inadequado, pode permitir que um invasor reinicie a senha do administrador após a reinicialização do dispositivo, permitindo o acesso via SSH com as credenciais padrão do administrador.

Além disso, a Citrix corrigiu outra falha de segurança (CVE-2022-27512) que, se explorada com sucesso, poderia resultar em uma paralisação temporária do servidor de licença ADM, fazendo com que o Citrix ADM não pudesse emitir novas licenças ou renová-las.

Ambos os bugs afetam as versões Citrix ADM 13.1 antes de 13.1-21.53 e Citrix ADM 13.0 antes de 13.0-85.19. A partir da assinatura, eles pedem aos usuários que atualizem o servidor Citrix ADM e o agente ADM Citrix o mais rápido possível.

* * *

Servidores do Microsoft Exchange comprometidos para implantar ransomware BlackCat

A equipe de inteligência de ameaças do Microsoft 365 Defender relatou dois incidentes de segurança onde o ransomware BlackCat teria sido implantado. Por um lado, foi detectada a exploração de um servidor Exchange não reparado como vetor de entrada.

Após esse acesso inicial, os invasores se deslocaram pela rede afetada, roubando credenciais e extraido grandes quantidades de informações a serem usadas dentro da dupla extorsão. Duas semanas após o acesso inicial, o ransomware foi implantado.

Vale ressaltar que a Microsoft não informou sobre qual vulnerabilidade teria sido explorada. Por outro lado, outro incidente teve como vetor de entrada o uso de credenciais comprometidas em um servidor de desktop remoto com acesso à Internet, e os invasores poderiam mais tarde ter acesso a senhas e outras informações e, finalmente, implementar a carga de armazenamento BlackCat para criptografia de dados.

* * *

Funcionalidade no Office365 facilita a criptografia de arquivos na nuvem

Pesquisadores de segurança do Proofpoint descobriram funcionalidades no Office 365 que poderiam permitir que os operadores de ransomware criptografassem arquivos armazenados no SharePoint Online e no OneDrive, tornando-os irrecuperáveis se backups ou a chave de descriptografia do invasor não estiverem disponíveis.

Os pesquisadores se concentraram no estudo dessas duas aplicações em nuvem porque são as mais utilizadas em ambientes de negócios. O único requisito necessário que eles estabelecem tanto para o SharePoint Online quanto para o OneDrive é ter acesso inicial, o que pode ser alcançado comprometendo a conta do usuário (através de ataques de phishing, força bruta, etc.), enganando-os a autorizar aplicativos OAuth de terceiros que permitem acesso a esse tipo de plataforma, ou por sessões de sequestro,  sequestrando a sessão web de um usuário conectado ou sequestrando um token de API para SharePoint e/ou OneDrive.

Uma vez acessado, o ataque é baseado no uso da funcionalidade «AutoSave», que permite criar backups na nuvem de versões antigas toda vez que os usuários editam seus arquivos. O que o invasor faz é reduzir o limite de versão dos arquivos que podem ser armazenados em um número muito pequeno e criptografar o arquivo mais vezes do que o limite que foi inserido. Desta forma, eles garantem que as versões dos arquivos que haviam sido salvos antes do ataque foram perdidas e que apenas as versões criptografadas estão disponíveis na conta na nuvem.

Do Proofpoint, eles teriam alertado a Microsoft, que indicou que a funcionalidade funciona como deveria e que versões antigas dos arquivos podem ser recuperadas por 14 dias com a ajuda do Microsoft Support.