Boletim semanal de cibersegurança 22–29 Abril

Nova campanha de distribuição RedLine maliciosa

Pesquisadores do BitDefender publicaram um relatório sobre uma nova campanha de distribuição de malware na RedLine. De acordo com analistas, atores mal-intencionados estariam fazendo uso do RIG Exploit Kit para distribuição, o que teria incorporado a exploração de uma vulnerabilidade no Internet Explorer que causa danos à memória quando a vítima acessa um site especialmente projetado. Especificamente, este é o bug identificado como CVE-2021-26411 com um CVSSv3 de 7.8, que foi corrigido pela Microsoft em março de 2021.

Posteriormente, uma vez que a vulnerabilidade é explorada, o kit distribui RedLine colocando um arquivo JavaScript em um diretório temporário, que por sua vez baixa uma segunda carga criptografada com RC4, gerando o processo final de infecção no computador da vítima.

Deve-se notar que, como indicado para a mídia digital The Record, Bogdan Botezatu, diretor de pesquisa da Bitdefender, durante o mês de abril eles identificaram apenas com suas soluções um total de 10.000 ataques RedLine em todo o mundo, o que denota o amplo uso deste malware para a realização de incidentes de cibersegurança.

Escalada de privilégios no diretório ativo do Windows

A empresa de segurança SOCPRIME publicou um artigo onde afirma que os pesquisadores de segurança revelaram a existência de uma falha no Windows Active Directory (AD) em ambientes nos quais a configuração padrão é usada. Esse erro poderia permitir que um usuário com acesso a adicionar máquinas ao domínio sem a necessidade de privilégios de administradores, e poderia desencadear uma escalada de privilégios no sistema vulnerável. Este bug, para o qual há prova de conceito, poderia ser explorado usando a ferramenta KrbRelayUp.

Uma possível mitigação exigiria alterar as configurações padrão e remover usuários autenticados da política padrão do controlador de domínio. Mais detalhes sobre a mitigação da vulnerabilidade podem ser encontrados no repositório de pesquisa de Mor Davidovich.

Nimbuspwn: Vulnerabilidades de escalonamento de privilégios no Linux

A equipe de pesquisadores da Microsoft identificou duas novas vulnerabilidades, chamadas Nimbuspwn, que poderiam permitir que um invasor eleve privilégios para criar sistemas Linux vulneráveis.

Especificamente, essas falhas foram identificadas como CVE-2022-29799 e CVE-2022-29800, e estão localizadas no componente despachante em rede, cuja função é fazer alterações no estado da interface de rede.

De acordo com os pesquisadores, a exploração acorrentada dessas vulnerabilidades permitiria que atores mal-intencionados alcançassem privilégios radiculares dando a possibilidade, em fases posteriores, de implementar cargas, backdoors, distribuir malware e/ou realizar outras ações maliciosas através da execução arbitrária de código. Finalmente, deve-se notar que a Clayton Craft, administradora do componente despachante em rede, implementou as correções correspondentes e os usuários são recomendados a atualizar suas instâncias para evitar possíveis ataques.