Boletim semanal de Cibersegurança 18 – 25 novembro

Telefónica Tech    25 noviembre, 2022

Exploração de vulnerabilidades do ProxyNotShell publicadas

As primeiras publicações sobre novas vulnerabilidades críticas no Microsoft Exchange Server, CVE-2022-41040 e CVE-2022-41082, que foram nomeadas ProxyNotShell, foram publicadas no final de setembro.

No entanto, não foi até o Patch Tuesday de novembro deste ano que a Microsoft lançou 1 para essas falhas de segurança, embora a empresa tenha confirmado que estava ciente de que os agentes mal-intencionados haviam explorado ativamente essas vulnerabilidades em 30 de setembro por meio de ataques direcionados limitados.

O pesquisador de segurança Janggggg publicou uma exploração para essas vulnerabilidades na semana passada, que seria funcional nas versões 2016 e 2019 do Exchange Server, e até mesmo em relação a 2013 com algumas modificações, de acordo com confirmações feitas pelo pesquisador de segurança Will Dormann.

A Microsoft recomenda que seus usuários apliquem os patches o mais rápido possível para evitar possíveis ataques futuros contra essas vulnerabilidades

Ler mais →  

Atlassian corrige vulnerabilidades no Crowd e Bitbucket

A equipe da Atlassian lançou uma nova atualização em suas plataformas de gerenciamento de identidade Crowd Server e Data Center, bem como no Bitbucket Server e Data Center.

Esta atualização destina-se a corrigir duas vulnerabilidades consideradas graves pela própria empresa e que afetaram várias versões do software acima mencionado. Essas vulnerabilidades são CVE-2022-43781 e CVE-2022-43782.

No primeiro caso, é uma vulnerabilidade de injeção de comando no Bitbucket que permite ao invasor controlar a sessão para executar código sob certas condições e permissões. No caso do Crowd, a falha permite que um invasor ignore a verificação de senha durante o processo de autenticação do Crowd e obtenha privilégios para fazer chamadas de API para endpoints.

Em relação ao Bitbucket, todas as versões de 7.0 a 7.21 são afetadas, bem como as versões 8.0 a 8.4, a menos que sejam instâncias executando o PostgreSQL ou hospedadas no domínio do Bitbucket. No caso do Crowd, as versões afetadas variam de 3.0.0 a 3.7.2 (que não será corrigido) e 5.0.0 a 5.0.2.

Ler mais →  

Falha na proteção antimalware do Cisco Secure Email Gateway

A equipe da Cisco confirmou hoje a existência de uma falha de filtragem em seu Secure Email Gateway e IronPort Email Security Appliance Software versões 14.2.0, conforme relatado por um pesquisador anônimo no início da semana passada depois de supostamente não receber resposta da empresa.

A descoberta do pesquisador consistiu em vários métodos de ataque que podem ser usados para contornar certos filtros dentro do Secure Email Gateway para enviar malware por meio de e-mails especialmente criados. Isso seria feito por meio de três vetores de ataque diferentes que exploram um bug na identificação de e-mails e anexos, se incluírem cabeçalhos maliciosos do tipo de conteúdo MIME.

O ataque seria relativamente fácil de realizar e, de acordo com o pesquisador anônimo, explorações explorando a falha já foram observadas. No entanto, a empresa negou que essa seja uma vulnerabilidade em seus produtos e culpa a falha por um problema nos mecanismos de varredura antimalware da Sophos e da McAfee.

Ler mais →  

Análise de Atividades do Grupo QuantumLocker

A empresa belga Computerland compartilhou informações sobre as táticas, técnicas e procedimentos do ator malicioso Quantum Locker. Os dados vêm como resultado da análise realizada pela organização durante os últimos ataques perpetrados pelo Quantum Locker contra empresas geolocalizadas na Europa Central.

Os pesquisadores observam que os alvos do ator incluem a aquisição completa dos serviços de nuvem do Azure por meio do comprometimento da conta raiz (T1531). Além disso, o ator também se concentra em localizar e excluir todo o armazenamento de blobs do Azure da vítima para excluir backups (T1485).

A Computerland também adverte que os principais alvos de seus ataques são administradores de TI e pessoal de rede, para que possa obter acesso a seus recursos para coletar credenciais da rede da vítima e estender seu ataque (T1530).

Finalmente, vale a pena notar que o Quantum combina técnicas novas e antigas para distribuir ransomware, como modificar políticas de grupo de domínio (T1484.001) e explorar a ferramenta Any Desk como uma ferramenta de acesso remoto (T1219).

Ler mais

Pesquisadores da Kaspersky identificaram uma campanha de phishing que usa links do Google Tradutor para espalhar páginas de phishing.

Os links são enviados por e-mail sob vários pretextos e acabam levando às páginas do invasor, mas estes são servidos através dos serviços de tradução do Google, que permitem que as páginas da web completas sejam traduzidas inserindo o endereço URL.

O destinatário verá um link para um serviço do Google aparentemente legítimo (o domínio translate.goog) que traduz o site em tempo real e serve o conteúdo, neste caso conteúdo malicioso, através de uma conexão aparentemente inócua, mas que pode ter os mesmos efeitos indesejados que um golpe de phishing convencional.

Ler mais

Deja una respuesta

Tu dirección de correo electrónico no será publicada.