Boletim semanal de cibersegurança 19 – 25 Fevereiro

Nova falha de escalonamento de privilégios no Linux

Os pesquisadores de segurança da Qualys descobriram sete falhas no sistema de embalagem e implantação de software Snap da Canonical, usado em sistemas operacionais usando o kernel Linux. A mais grave dessas vulnerabilidades, listada como CVE-2021-44731 e que teria recebido um CVSSv3 de 7.8, é um erro de escalonamento privilegiado na função snap-confine, usado internamente pela ferramenta snapd para construir o ambiente de execução de aplicativos snap. Uma exploração bem-sucedida poderia permitir que qualquer usuário desprivilegiado obtenha privilégios raiz no host vulnerável. A falha foi comunicada aos fornecedores e distribuições de código aberto no momento em que foi descoberta em outubro passado, levando a um processo coordenado de divulgação de patches em 17 de fevereiro. Os técnicos da Qualys também desenvolveram uma exploração  para este problema que permite obter privilégios completos de raiz em instalações padrão do Ubuntu. As outras seis vulnerabilidades identificadas são: CVE-2021-3995, CVE-2021-3996, CVE-2021-3997, CVE-2021-3998, CVE-2021-3999, CVE-2021-44730

Operadores de Ransomware Conti absorvem operações de TrickBot

A equipe de pesquisadores da Advanced Intelligence publicou um relatório afirmando que o malware TrickBot transferiu seu gerenciamento para os operadores de ransomware Conti. Especialistas da AdvIntel analisaram os antecedentes do TrickBot, observando uma relação historicamente próxima com esse ransomware e seu apogeu subsequente. Conti tem sido baseado, entre outros fatores, na manutenção de um código de conduta entre seus operadores, o que os teria favorecido a prosperar e permanecer ativos contra outros grupos de ransomware, desmantelados por várias operações policiais. Especialistas apontam que a TrickBot tornou-se progressivamente uma subsidiária dos operadores da Conti, sendo os únicos que a usaram em suas operações. Além disso, no final de 2021, Conti finalmente absorveu vários desenvolvedores e operadores da TrickBot. No entanto, deve-se notar que, como as redes do TrickBot seriam facilmente detectadas, os operadores Conti começaram a substituí-lo pelo malware BazarBackDoor, que está em desenvolvimento e é usado para obter acesso inicial às redes de suas vítimas.

Cobalt Strike distribuídos em servidores MS-SQL vulneráveis

Analistas da ASEC descobriram uma nova campanha onde servidores vulneráveis do Microsoft SQL (MS-SQL) expostos à Internet, seriam atacados por atores maliciosos com o objetivo de distribuir o Cobalt Strike em hosts comprometidos. Os ataques direcionados aos servidores MS-SQL incluem ataques ao ambiente onde sua vulnerabilidade não foi corrigida, ataques de força bruta e ataques de dicionário contra servidores mal gerenciados. Primeiro, o ator mal-intencionado verifica a porta 1433 para verificar se há servidores MS-SQL abertos ao público e, em seguida, realiza ataques de força bruta ou dicionário contra a conta do administrador para tentar fazer login. Diferentes malwares, como o Lemon Duck, permitem digitalizar tal porta e se espalhar para se mover lateralmente na rede interna. Os ataques culminam na descriptografia do Cobalt Strike executável, seguido por sua injeção no processo legítimo do Microsoft Build Engine (MSBuild), que foi explorado em outras ocasiões por agentes mal-intencionados para implantar Trojans de acesso remoto e malware de roubo de credenciais. Finalmente, deve-se notar que a versão do Cobalt Strike rodando no MSBuild.exe vem com configurações adicionais para evitar a detecção por software de segurança.