Boletim semanal de cibersegurança 2-8 outubro

Vulnerabilidades em Apache ativamente explorado

No início desta semana, o Apache estava corrigindo um 0 day (CVE-2021-41773) que afetou os servidores HTTP do Apache e estava sendo ativamente explorado. No entanto, na quinta-feira descobrimos que o patch lançado na versão 2.4.50 era insuficiente, dando origem a uma nova vulnerabilidade, uma vez que um agente de ameaças remotas pode continuar a aproveitar o ataque Path Traversal para mapear URLs com arquivos fora do diretório raiz do servidor web através de diretivas semelhantes a Alias. Além disso, a execução remota de código também seria possível se os scripts CGI tivessem sido ativados em tais caminhos ou caminhos aliased. Essa nova vulnerabilidade, identificada como CVE-2021-42013, afeta as versões 2.4.4.49 e 2.4.50 e também está sendo ativamente explorada. A Apache lançou uma correção para a nova vulnerabilidade na versão 2.4.51. Além disso, a CISA fez uma publicação instando as organizações a aplicar os patches o mais rápido possível, já que varreduras maciças estão sendo observadas para aproveitar essas falhas.

Vulnerabilidade no Azure AD permite ataques de força bruta

Pesquisadores de segurança da Secureworks publicaram a descoberta de uma nova vulnerabilidade no Microsoft Azure. Essa falha, que ainda não foi corrigida pela Microsoft, poderia permitir que agentes de ameaças realizassem ataques de força bruta contra o Azure Active Directory sem serem detectados, já que nenhum evento de login seria gerado no inquilino da empresa vítima. A falha está no recurso SSO (Seamless Single Sign-On, on) do Azure, que permite que os usuários entrem automaticamente sem ter que inserir credenciais. No entanto, a exploração dessa falha não se limita apenas às organizações que usam OSO Sem Emenda. A Microsoft informou aos pesquisadores que os recursos do SSO sem emendas seriam melhorados para mitigar a vulnerabilidade. Como resultado da vulnerabilidade ser conhecida, algumas provas de conceito para explorar a  falha já foram publicadas no GitHub.

Syniverse sofre acesso não autorizado a seus sistemas durante anos

Em setembro, a empresa Syniverse informou à Comissão Nacional de Mercado de Valores Mobiliários dos EUA que havia descoberto em maio deste ano que havia sofrido um incidente de segurança que afetou seu ambiente de transferência EDT através de acesso não autorizado a bancos de dados internos em várias ocasiões desde 2016. A própria empresa, indicou que o incidente não afetou sua operação e que não houve tentativa de extorsão. A Motherboard publicou um artigo onde tenta avaliar o possível escopo real desses fatos, destacando que o Syniverse oferece serviços a mais de 300 empresas do setor de telecomunicações, como AT&T, Verizon ou T-Mobile. Além disso, em seu artigo acrescentam que um ex-funcionário da empresa teria relatado que os sistemas afetados continham acesso a metadados de registros de chamadas, dados de pessoas, números de telefone, locais, bem como conteúdo de mensagens de texto SMS. De acordo com o pesquisador de segurança, Karsten Nohl, o Syniverse teria acesso à comunicação de bilhões de pessoas em todo o mundo e esses fatos afetariam seriamente a privacidade dos usuários. De acordo com as mídias digitais, o Syniverse não quis pronunciar questões específicas sobre a real extensão da afetação.

Extraem 950GB de dados de um agente Tesla C2

Pesquisadores de Resecurity, em colaboração com vários ISPs da União Europeia, Oriente Médio e América do Norte, teriam conseguido extrair 950GB de informações de um servidor de Comando & Controle (C2) do Agente RAT Tesla, ativo desde o final de 2014 e conhecido pelo comprometimento de informações confidenciais através de campanhas malspam. Após analisar as informações, eles teriam localizado credenciais de usuário e arquivos confidenciais, entre outros, permitindo que os pesquisadores estabelecessem padrões de uso do Agente Tesla por agentes de ameaças. Entre esses padrões, destaca-se a distribuição geográfica das vítimas, localizando as regiões mais afetadas, como Estados Unidos, Canadá, Itália, Espanha, Chile ou Egito, bem como setores mais afetados por este RAT, entre os quais estão os setores financeiro, varejo e governamental. Como diferentes pesquisadores de segurança que estariam rastreando esse malware expõem, o agente Tesla continuará a ser uma ameaça aos ambientes windows, especialmente depois de observar que a nova versão do RAT estaria atacando a interface ASMI da Microsoft para evitar ser detectado e alongar os tempos de infecção.

​TangleBot – Novo Malware para Android

Pesquisadores de segurança do Proofpoint descobriram um novo malware para dispositivos móveis Android, que eles batizaram como TangleBot e que, por enquanto, seria destinado a usuários nos Estados Unidos e canadá. Esse malware é distribuído através de campanhas de smishing onde o envio de regulamentos sobre COVID-19 ou informações relacionadas a possíveis quedas de energia são simuladas. O SMS incentiva as vítimas a clicar em um link que as solicita uma atualização do Adobe Flash e as convida a baixar a suposta atualização. O que realmente acaba sendo instalado já é o TangleBot, um malware que dá aos invasores controle total dos dispositivos, o que lhes permite monitorar e gravar atividades do usuário, ativar um keylogger para interceptar todas as senhas digitadas ou também armazenar áudio e vídeo sem o conhecimento do usuário usando o microfone e a câmera do dispositivo. Além de seus recursos de espionagem e keylogging, o malware pode bloquear e fazer chamadas, levando à possibilidade de outros tipos de serviços premium serem ativados.