Boletim semanal de cibersegurança 22-28 Janeiro

Telefónica Tech    28 enero, 2022
Boletim semanal de cibersegurança Janeiro

Novas vulnerabilidades no Linux

Recentemente, duas novas vulnerabilidades de risco foram anunciadas, algo que estaria afetando os sistemas Linux, e que, se explorados, poderia permitir que privilégios fossem estendidos no sistema vulnerável.


• CVE-2021-4034 (PwnKit): Pesquisadores da Qualys descobriram uma falha de corrupção de memória, que reside no programa pkexec do polkit e poderia permitir que um invasor local aumente privilégios em um sistema vulnerável, e pode até mesmo alcançar privilégios radicais. Horas após a publicação do artigo da Qualys, a primeira prova de conceito (PoC) que permitiria a exploração dessa falha foi tornada pública. Da Qualys eles recomendam a aplicação dos patches disponíveis que os autores da Polkit publicaram no Gitlab.

• CVE-2022-0185: Vulnerabilidade de estouro de buffer, que reside no kernel Linux e pode permitir que um invasor escape dos contêineres kubernetes e assuma o controle do nó, com a exigência de ter o privilégio CAP_SYS_ADMIN ativado. Os pesquisadores apontam que a exploração dessa falha é simples, por isso recomendam a atualização o mais rápido possível, uma vez que, conforme revelado pelos Crusaders of Rust (CoR), a equipe que descobriu a falha, publicará o código de exploração nas próximas semanas em seu repositório do Github.

Revogação dos certificados SSL/TLS let’s encrypt devido a erro de implantação


A Let’s Encrypt anunciou em comunicado que na sexta-feira, 28 de janeiro, revogará certos certificados SSL/TLS devido a duas irregularidades na implementação do método de validação. Como eles explicam, isso afeta apenas os certificados que foram emitidos e validados através do desafio TLS-ALPN-01 antes de 26 de fevereiro às 00:48 UTC, momento em que o erro de implementação foi corrigido. Além disso, eles indicam que isso só afetará menos de 1% dos certificados. A partir do Let’s Encrypt eles comunicarão aos usuários afetados as diretrizes que devem seguir para a renovação delas. Deve-se notar que esta não é a primeira vez que o Let’s Encrypt enfrenta tal problema, já que em outubro de 2021 os certificados raiz DST Root CA X3 expiraram.

Campanha de espionagem usando o OneDrive como C2

Pesquisadores da Trellix divulgaram detalhes de uma campanha de espionagem multi-fase que teria como alvo funcionários do governo de alto escalão e trabalhadores de defesa na Ásia Ocidental. O início da campanha é datado em outubro, mas a preparação da infraestrutura pode voltar ao mês de junho. O vetor de entrada seria um documento do Excel, possivelmente enviado por e-mail, que explora uma vulnerabilidade de execução remota de código no MSHTML (CVE-2021-40444), corrigido pela Microsoft em seu boletim de atualização de setembro. Essa exploração permite a implantação de um malware conhecido como Graphite, que usa a API do Microsoft Graph para usar o OneDrive como servidor de Comando & Controle. Uma vez estabelecida a conexão com o C2, o Empire é finalmente baixado, uma estrutura pós-exploração de código aberto amplamente usada para fins ilícitos. Devido aos múltiplos estágios da cadeia de infecções, que facilitam a evasão, além do uso de novas técnicas como o uso do OneDrive como C2 com o qual eles recebem todas as conexões a serem feitas em domínios legítimos da Microsoft, estamos enfrentando uma campanha de alta sofisticação. Com base nos objetivos, os pesquisadores apontam para uma possível atribuição ao APT28 (também conhecido como Sofacy, Estrôncio, Urso Extravagante ou Sednit) de origem russa.

Apple corrige novo 0 day aproveitado para violar dispositivos iOS

A Apple lançou novas atualizações de segurança para o iOS 15.3 e iPadOS 15.3, bem como para o macOS Monterey 12.2, no qual corrigiu duas vulnerabilidades de 0 days.


• O primeiro dos bugs, apelidado de CVE-2022-22587, é uma falha de corrupção de memória no IOMobileFrameBuffer que afeta iOS, iPadOS e macOS Monterey. A exploração bem-sucedida dessa vulnerabilidade poderia permitir a execução arbitrária de código com privilégios de kernel em dispositivos comprometidos. A Apple, enfatizou que o bug está sendo ativamente explorado.

• O segundo 0 day, é uma falha no Safari WebKit no iOS e iPadOS que permitiria aos sites rastrear a atividade de navegação e a identidade do usuário em tempo real. Essa vulnerabilidade, classificada como CVE-2022-22594, foi descoberta pela primeira vez por Martin Bajanik da FingerprintJS em 28 de novembro, mas não foi publicada até 14 de janeiro, sendo corrigida nesta atualização.

Trickbot reforça suas proteções para evitar detecção e análise

Os pesquisadores do IBM Trusteer analisaram campanhas recentes do malware Trickbot, nas quais os operadores por trás deste Trojan adicionaram camadas adicionais de proteção às suas injeções para evitar que sejam analisadas e detectadas. Essas injeções de código são usadas em tempo real quando um usuário com um dispositivo infectado tenta acessar sua conta bancária, as injeções são projetadas para interceptar e modificar as informações que saem do navegador antes que ele chegue ao servidor do banco. A maioria das amostras em que essas novas capacidades foram detectadas foram aplicadas em casos de fraude bancária, uma das principais atividades da Trickbot. As atualizações implementadas incluem um novo mecanismo de injeção do lado do servidor, comunicações criptografadas com C2 (Command & Control), um recurso anti-depuração e novas maneiras de ofuscar e ocultar código injetado. Por outro lado, pesquisadores de segurança relataram que os operadores da Emotet, software malicioso que anteriormente infecta o dispositivo para distribuir malwares em uma segunda fase, como o Trickbot, também melhoraram suas técnicas de evasão usando endereços IP hexadecimal e octal, estariam ocupando o mesmo provedor de Webshell que o TR com Qakbot ou Squirrelwaffle, identificando até 138 sites comprometidos por esse malware.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *