Boletim semanal de cibersegurança, 13—20 maio

Telefónica Tech    20 mayo, 2022
Tyler Franta / Unsplash

VMware corrige vulnerabilidades críticas em vários de seus produtos

A VMware lançou um aviso de segurança para abordar uma vulnerabilidade de desvio de autenticação crítica que afeta vários de seus produtos. Identificada como CVE-2022-22972 e CVSSv3 9.8, a falha consiste em um bypass de autenticação que afeta os usuários no domínio local e permitiria que um invasor com acesso à rede à interface do usuário obtenha acesso ao administrador sem a necessidade de autenticar.

A VMware também lançou patches para uma segunda vulnerabilidade grave de escalada de privilégios locais (CVE-2022-22973 – CVSSv3 7.8) que poderiam permitir que um ator de ameaças aumentasse suas permissões para “root”. Ambos os bugs afetam os produtos VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation e vRealize Suite Lifecycle Manage

Além disso, a publicação dessas falhas fez com que entidades como a CISA emitissem diretivas de emergência para vários órgãos federais esta semana, instando-as a atualizar ou remover urgentemente os produtos VMware de suas redes antes da próxima segunda-feira, devido ao aumento do risco de ataques.

Por sua vez, a VMware forneceu links de download de patches e instruções de instalação em seu site base de conhecimento, bem como soluções alternativas se não for possível atualizar imediatamente.

URL: https://www.vmware.com/security/advisories/VMSA-2022-0014.html

* * *

Nova campanha contra servidores SQL

A equipe de Inteligência de Segurança da Microsoft compartilhou através de seu perfil no Twitter uma nova campanha que eles teriam descoberto recentemente, que estaria afetando os servidores SQL e se destacaria pelo uso de sqlps de lolBin.exe. Para acesso inicial ao servidor SQL, eles observaram o uso de ataques de força bruta.

Além disso, como eles descrevem, uma vez que o servidor é comprometido, o ator de ameaças usa sqlps.exe, uma ferramenta do Windows usada para iniciar e usar o PowerShell em relação às instâncias SQL, para alcançar persistência, executando comandos de reconhecimento e modificando o modo de inicialização do servidor para o LocalSystem.

Os atacantes também usam sqlps.exe para assumir o controle do servidor criando uma nova conta com permissões de administrador, permitindo que eles injetem cargas no sistema.

URL:  https://twitter.com/MsftSecIntel/status/1526680337216114693

* * *

Aumento da atividade do malware XorDDoS

Pesquisadores da Microsoft publicaram uma análise do Trojan direcionado contra sistemas Linux conhecidos como XorDDoS, onde expõem que teriam detectado um aumento na atividade durante os últimos 6 meses. O XorDDoS, ativo desde pelo menos 2014, deve seu nome à criptografia XOR usada para suas comunicações com o servidor Command & Control, bem como seu tipo de ataque mais característico, sendo estas as negações distribuídas de serviço (DDoS).

Para isso, o XorDDoS geralmente concentra sua atividade no engajamento de dispositivos de Internet das Coisas (IoT) com os quais gerar sua botnet para emitir ataques DDoS. Dentro de sua análise, a Microsoft especifica que eles observaram que, dispositivos infectados com XorDDoS, são posteriormente comprometidos com o backdoor tsunami, que por sua vez implanta o cryptominer XMRing. Entre os TTPs utilizados pelo XorDDoS, destaca-se o uso de força bruta contra serviços SSH acessíveis como principal vetor de entrada para obter permissões radiculares na máquina comprometida.

Além disso, possui módulos projetados para a evasão de sistemas de segurança, escondendo sua atividade, o que dificulta a detecção. Da Microsoft, eles fornecem recomendações para tentar combater essa ameaça.

URL:  https://www.microsoft.com/security/blog/2022/05/19/rise-in-xorddos-a-deeper-look-at-the-stealthy-ddos-malware-targeting-linux-devices/

* * *

CISA expõe os vetores de entrada mais usados

A CISA, em conjunto com autoridades dos Estados Unidos, Canadá, Nova Zelândia, Holanda e Reino Unido, emitiu um aviso sobre controles de segurança e práticas que são comumente usados como acesso inicial durante compromissos com potenciais vítimas.

Os cibercriminosos geralmente se aproveitam de configurações de segurança ruins (desconfiguradas ou desprotegidas), controles fracos e outras práticas erradas como parte de suas táticas para comprometer sistemas. Algumas das táticas, técnicas e procedimentos (TTPs) mais utilizadas seriam: exploração de um aplicativo exposto ao público [T1190], serviços remotos externos [T1133], phishing [T1566], alavancando uma relação de confiança [T1199] ou explorando contas válidas [T1078].

Para evitar essas técnicas, o edital resume uma série de práticas recomendadas para proteger os sistemas desses possíveis ataques, destacando o controle de acesso, reforço de credenciais, estabelecendo o gerenciamento centralizado de log, o uso de antivírus, ferramentas de detecção, operando serviços expostos com configurações seguras, além de manter o software atualizado.

URL: https://www.cisa.gov/uscert/ncas/alerts/aa22-137a

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *