Boletim semanal de cibersegurança 17-21 Janeiro

Campanha de ataque cibernético contra alvos ucranianos

A equipe do Microsoft Threat Intelligence Center vem analisando a sucessão de ataques cibernéticos perpetrados contra organizações ucranianas que vem ocorrendo desde 13 de janeiro e que teria afetado pelo menos 15 instituições governamentais, como o Ministério das Relações Exteriores ou defesa. Segundo os pesquisadores, esse número pode ser aumentado em breve. Quanto à própria campanha, a Microsoft adverte que uma nova família de malware chamada «WhisperGate» teria sido usada, software malicioso cujo objetivo é destruir e apagar dados do dispositivo mascarado da vítima na forma de ransomware. «WhisperGate» seria composto por dois executáveis: «stage1.exe», encarregado de substituir o «Master Boot Record» do disco rígido para mostrar uma nota de resgate, cujas características indicam que é um ransomware falso que não fornece uma chave de descriptografia, e «stage2.exe» que é executado simultaneamente e baixa um malware que destrói dados ao sobrepor os arquivos com dados estáticos.

O jornalista Kim Zetter indicou que o vetor de entrada usado pelos atores maliciosos teria sido a exploração da vulnerabilidade CVE-2021-32648 e CVSSv3 9.1 em octobercms. Consequentemente, de acordo com agências ucranianas de cibersegurança, os atores também exploraram a vulnerabilidade do Log4Shell e os ataques DDoS foram relatados contra sua infraestrutura. Além disso, a Agência de Segurança cibernética e infraestrutura dos EUA (CISA) emitiu uma declaração alertando as organizações sobre potenciais ameaças críticas que poderiam ocorrer após recentes ataques cibernéticos direcionados a entidades públicas e privadas na Ucrânia. Da Microsoft indicam que não foi possível atribuir os ataques a qualquer ator de ameaça específico, por isso eles chamaram essas ações como DEV-0586. Deve-se notar que, como indicado pelas autoridades ucranianas, devido à escalada das tensões entre os governos ucraniano e russo, esta campanha de ataques é considerada destinada a semear o caos na Ucrânia pela Rússia.

Falha no Safari pode revelar dados de usuários

Pesquisadores de segurança da FingerprintJS revelaram uma falha grave na implementação da API IndexedDB do Safari 15 que poderia permitir que qualquer site rastreasse a atividade do usuário na Internet, e pode até mesmo revelar sua identidade. IndexedDB é uma API do navegador projetada para hospedar quantidades significativas de dados do lado do cliente, que segue a política de «same-origin«; um mecanismo de segurança que restringe como documentos ou scripts carregados de uma fonte podem interagir com outros recursos.

Pesquisadores descobriram que no Safari 15 no macOS, e em todos os navegadores no iOS e iPadOS 15, a API IndexadaDB estaria violando a política de «same–origin«. Isso estaria causando que, toda vez que um site interage com um banco de dados, um novo banco de dados (vazio) com o mesmo nome é criado em todos os outros quadros, guias e janelas ativas dentro da mesma sessão do navegador, tornando outros sites capazes de ver essas informações. A partir do FingerprintJS eles criaram uma prova de conceito que pode ser testada a partir de um navegador Safari 15 ou superior no Mac, iPhone ou iPad. Além disso, o FingerprintJS ressalta que eles relataram o erro à Apple em 28 de novembro, mas que ainda não foi resolvido.

Microsoft libera atualizações de emergência para Windows

Depois que uma série de problemas causados pelas atualizações para windows emitidas durante o último Boletim de Segurança em janeiro, a Microsoft lançou de forma extraordinária (OOB) novas atualizações e correções de emergência para algumas versões do Windows 10 e do Windows Server. Especificamente, diferentes relatórios relatados pelos administradores do sistema indicam que, após a implementação dos patches mais recentes da Microsoft, problemas de conexão foram registrados em redes VPN L2TP, controladores de domínio sofrem reinicializações espontâneas, Hyper-V não é mais iniciado em servidores Windows e há problemas para acessar volumes do Windows Resilient File System (ReFS).

O impacto das correções é amplo porque abrange diferentes versões do Windows Server 2022, 2012 e 2008 e do Windows 7, 10 e 11. De acordo com a Microsoft, todas as atualizações estão disponíveis para download no  Catálogo de Atualizações da Microsoft e algumas delas também podem ser instaladas diretamente através do Windows Update como atualizações opcionais. Se não for possível implantar, recomenda-se remover as atualizações KB5009624, KB5009557, KB5009555, KB5009566 e KB5009543, embora seja necessário notar que correções válidas para as últimas vulnerabilidades corrigidas pela Microsoft também seriam eliminadas.

Falha de segurança na Cisco permite que atacantes ganhem privilégios de root

A Cisco lançou a versão 21.25.4 da Cisco Redundancy Configuration (RCM) para o software StarOS, onde corrige várias falhas de segurança. A vulnerabilidade mais proeminente é a identificada como CVE-2022-20649 CVSSv3 9.0, uma falha crítica que permite que invasores não autenticados executem código remoto com privilégios raiz em dispositivos usando software vulnerável. A fonte da vulnerabilidade seria que o modo depuração foi ativado incorretamente para diferentes serviços específicos. Para sua exploração, os atacantes não precisam ser autenticados, mas devem ter acesso aos dispositivos, por isso, no início, devem realizar um reconhecimento detalhado para descobrir quais são os serviços vulneráveis. No momento, não há evidências de que a vulnerabilidade esteja sendo explorada. Além disso, a Cisco também corrigiu outra vulnerabilidade de vulnerabilidade de crítica média CVE-2022-20648 CVSSv3 5.3 vulnerabilidade de divulgação de informações.

Google corrige falhas no Chrome

O Google publicou um aviso de segurança onde corrige 26 vulnerabilidades que estariam afetando seu navegador Chrome. Entre as falhas, destaca-se uma vulnerabilidade crítica que foi catalogada com o identificador CVE-2022-0289 e foi descoberta em 5 de janeiro pelo pesquisador Sergei Glazunov. Essa vulnerabilidade reside no serviço de navegação segura do Google encarregado de alertar os usuários de que eles estão acessando um site que pode ter algum risco associado. Se explorada, essa vulnerabilidade pode permitir a execução remota de código. As demais vulnerabilidades corrigidas foram classificadas, em sua maioria, com alta gravidade, sendo apenas 5 de médio risco. O Google recomenda atualização para a versão 97.0.4692.99, onde essas falhas seriam resolvidas.