Boletim semanal de cibersegurança 19 – 25 Março 

Vulnerabilidade de elevação de privilégio da Western Digital

O pesquisador independente de segurança Xavier Danest relatou uma vulnerabilidade de escalada de privilégios no EdgeRover. Deve-se notar que o EdgeRover é um software desenvolvido pelo fabricante de produtos de armazenamento Western Digital, destinado ao gerenciamento de conteúdo, unificando vários dispositivos de armazenamento, sob uma única interface. Identificada como CVE-2022-22988, a vulnerabilidade foi qualificada como crítica com um CVSSv3 de 9.1 desde que, devido a um erro de cruzamento de diretórios, permitiria que um invasor que anteriormente comprometeu o sistema de destino ganhasse acesso não autorizado a diretórios e arquivos restritos, o que poderia, adicionalmente, levar a uma escalada de privilégios locais,  divulgação de informações confidenciais ou ataques de negação de serviço (DoS). O bug afeta as versões desktop do EdgeRover para Windows e Mac, e no momento não se sabe se ele seria ativamente explorado na rede. Por sua vez, a Western Digital já corrigiu as permissões de arquivos e diretórios para evitar acesso e modificação não autorizados, e recomenda atualizar o EdgeRover para a versão 1.5.1-594 ou posterior, que resolve essa vulnerabilidade.

Serpent: novo backdoor visando organizações francesas

Pesquisadores da Proofpoint descobriram um novo backdoor que seria direcionado contra entidades francesas nos setores da construção civil e do governo. A campanha detectada faz uso de documentos do Microsoft Word habilitados para macros sob o pretexto de informações relacionadas ao GDPR, a fim de distribuir chocolatey, um instalador de pacotes legítimo e de código aberto que, após diferentes técnicas de ocultação, como esteganografia e bypass através de tarefas programadas, implementará o backdoor que o Proofpoint chamou de «Serpent». Uma vez que a cadeia de infecção seja concluída com sucesso, o invasor seria capaz de gerenciar o host alvo a partir de seu servidor de Comando & Controle (C2), extrair informações confidenciais ou até mesmo distribuir novas cargas adicionais. O proofpoint destaca a possibilidade de que «Serpent» seja uma ameaça avançada e direcionada, levando em conta seus comportamentos direcionados e únicos, como a esteganografia, embora atualmente não haja evidências que permitam sua atribuição a qualquer grupo conhecido específico.

Vulnerabilidades críticas nos modelos de impressoras HP

A HP lançou recentemente dois boletins de segurança relatando vulnerabilidades críticas que afetam centenas de modelos de impressoras das marcas LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format e DeskJet. Por um lado, em 21 de março, a HP publicou um aviso de segurança (HPSBPI03780) aludindo à identificação da falha de segurança catalogada como CVE-2022-3942, CVSS 8.4. De acordo com eles, esta é uma falha de estouro de buffer que poderia desencadear a execução remota de código. Por outro lado, o segundo boletim (HPSBPI03781) contém outras três vulnerabilidades, sendo duas classificadas como críticas, especificamente VE-2022-24292 e CVE-2022-24293, CVSS 9.8. Explorar essas vulnerabilidades poderia permitir que atores mal-intencionados produzissem divulgação de informações, execução remota de código ou negação de serviço. Todas essas falhas de segurança foram descobertas pela equipe da Trend Micro’s  Zero Day  Initiative. Deve-se notar que a HP liberou atualizações de segurança de firmware para a maioria dos produtos afetados, embora nem todos os modelos contenham patches no momento.

Campanha de espionagem usando nova variante do malware Korplug

Os pesquisadores de segurança da ESET detectaram uma campanha maliciosa ativa por pelo menos oito meses que estaria distribuindo uma nova variante do Trojan de acesso remoto Korplug (RAT). De acordo com a pesquisa, a distribuição desse malware seria realizada enviando e-mails sob isca associada a eventos atuais, como o COVID-19 ou relacionados a questões institucionais europeias. Entre os objetivos detectados, a ESET menciona que a campanha tem como alvo diplomatas europeus, provedores de serviços de internet e institutos de pesquisa em países como Grécia, Chipre, África do Sul, entre outros. Korplug é um Trojan anteriormente associado à sua semelhança com variantes do malware PlugX que, dependendo da campanha ou ator de ameaças que o usa em suas operações, pode ter capacidades para enumerar drives e diretórios, ler e gravar arquivos, executar comandos em uma área de trabalho escondida, iniciar sessões remotas e se comunicar com o servidor de Comando & Controle (C2) dos atacantes. No entanto, não está descartado que o Korplug esteja em pleno desenvolvimento adicionando novas funcionalidades de ocultação. A ESET atribui a autoria desta campanha ao Ator de Ameaça ligado ao Mustang Panda da China (também conhecido como TA416), conhecido por sua motivação focada principalmente na espionagem política.

Novas campanhas norte-coreanas de APT explorando os 0 days do Chrome

Pesquisadores do Google identificaram novas campanhas atribuídas a dois grupos de cibercriminosos ligados à Coreia do Norte, nos quais teriam explorado vulnerabilidades remotas de execução de códigos no Chrome. A atividade desses grupos já foi referida anteriormente, por um lado, como Operação Trabalho dos Sonhos, e, por outro lado, como Operação AppleJesus. Especificamente, esses APTs teriam explorado a vulnerabilidade CVE-2022-0609 por pouco mais de um mês, antes do patch estar disponível em 14 de fevereiro. A atividade teria sido direcionada contra entidades norte-americanas entre as quais haveria mídia, organizações do setor de tecnologia, criptomoedas e a indústria de tecnologia financeira, no entanto, é possível que também tenha sido direcionada contra outros setores e geografias.  A análise publicada detalha táticas, técnicas e procedimentos (TTPs), indicadores de compromisso e detalhes sobre a exploração utilizada pelos atacantes, que poderiam ser explorados por outros grupos ligados à Coreia do Norte.