Boletim semanal de cibersegurança 23-29 outubro

Google corrige dois 0 days no navegador Chrome

O Google lançou uma nova atualização do Chrome (95.0.4638.69) para Windows, Mac e Linux, onde 7 vulnerabilidades são corrigidas, sendo duas delas 0 days. Em relação aos dois últimos, por um lado, há o CVE-2021-38000 com alto nível de criticidade, descrito como uma validação insuficiente de insumos não confiáveis em Intenções; e, por outro lado, CVE-2021-38003, também com alto nível de criticidade, descrito como uma implementação inadequada em V8. O Google, afirmou que ambas as vulnerabilidades estariam sendo ativamente exploradas, embora, no momento, não tenham oferecido mais informações sobre isso, embora seja provável que os detalhes destes serão divididos em relatórios futuros do Google TAG ou project zero, uma vez que foram pesquisadores desses projetos que os detectaram.

​​​​Nova atividade do ator russo Nobelium

A equipe de Inteligência de Ameaças da Microsoft detectou novas atividades associadas ao Grupo de Atores Nobelium, identificados pelo governo dos EUA como parte do serviço de inteligência estrangeira russo (SRV) e que foram culpados pelo ataque à cadeia de suprimentos SolarWinds em 2020. Em referência à atividade observada desta nova campanha, ela teria sido realizada desde maio passado e está focada principalmente nos Estados Unidos e na Europa, seguindo uma estratégia semelhante às campanhas anteriores, mas atacando uma parte diferente da cadeia de suprimentos. Nesta ocasião, a Nobelium tentou acessar clientes de vários Provedores de Serviços em Nuvem (CSPs), Provedores de Serviços Gerenciados (MSPs), bem como outras organizações que oferecem serviços de TI para empresas. Ressalta-se que o grupo de atores tem sido observado vinculando o acesso de quatro fornecedores diferentes, a fim de comprometer um objetivo final, demonstrando uma ampla gama de técnicas e uma complexidade de ações que esse ator usa a ameaça para explorar relações de confiança entre as empresas. Estima-se que 140 provedores de serviços gerenciados e em nuvem tenham sido atacados, e pelo menos 14 foram comprometidos desde maio de 2021.

Squirrelwaffle: novo malware distribuído em campanhas do Malspam

Os pesquisadores da Cisco Talos Intelligence alertaram sobre uma nova família de malware descoberta pela primeira vez em setembro de 2021, apelidada de Squirrelwaffle. Esta ameaça é espalhada através de campanhas malspam, onde nas mais recentes, é usada para infectar sistemas com Qakbot e Cobalt Strike. Esse malware fornece aos atores mal-intencionados um ponto inicial de suporte em sistemas e seus ambientes de rede, com o objetivo de facilitar um maior engajamento. A campanha, semelhante ao observado em ameaças como o Emotet, aproveita threads de e-mail roubados e direciona mensagens de resposta para combinar com o idioma usado no segmento original, denotando uma determinada localização dinamicamente. Seus e-mails maliciosos incluem hiperlinks para arquivos ZIP maliciosos hospedados em servidores da Web, incluindo arquivos .doc ou .xls maliciosos que executam o código de recuperação de malware se abertos. Eles também usam a plataforma DocuSign como isca para habilitar macros. O Squirrelwaffle apresenta uma lista de blocos ip de empresas de segurança com o objetivo de tentar evitar a detecção e análise. Finalmente, os pesquisadores relatam que esse malware é considerado um reinicialização do Emotet, e adverte que as campanhas podem aumentar ao longo do tempo depois de aumentar o tamanho da sua botnet.

Vulnerabilidades nos caixas eletrônicos Diebold Nixdorf

Pesquisadores da Positive Technologies descobriram vulnerabilidades nos caixas eletrônicos Wincor Cineo, de propriedade da diebold Nixdorf, que apresentam os distribuidores RM3 e CMD-V5 2. Especificamente, duas vulnerabilidades foram descobertas com uma pontuação CVSSv3.0 de 6,8. Explorar essas falhas de segurança poderia permitir a retirada de dinheiro acessando a porta USB do controlador dispensador, onde um ator mal-intencionado poderia instalar uma versão de firmware desatualizada ou modificada para evitar criptografia e permitir que o CAIXA emitisse dinheiro. A primeira vulnerabilidade, CVE-2018-9099, foi detectada no firmware do distribuidor CMD-V5 em todas as suas versões. Em segundo lugar, cve-2018-9100, foi identificado no firmware do distribuidor RM3 /CRS também em todas as suas versões. O cenário de ataque consiste em três etapas: conectar um dispositivo a um caixa eletrônico, carregar firmware desatualizado e vulnerável e aproveitar falhas de segurança para acessar dentro do cofre. Os pesquisadores pedem que as organizações de crédito, que para corrigir vulnerabilidades, devem solicitar a versão mais recente do firmware dos fabricantes de caixas eletrônicos.

Vulnerabilidade de 0 day no Windows

O pesquisador de segurança Abdelhamid Naceri revelou detalhes de uma elevação da vulnerabilidade de privilégio de 0 days que afetaria todas as versões do Windows, incluindo Windows 10, Windows 11 e Windows Server 2022. Este pesquisador já notificou a Microsoft sobre o bug, catalogado como CVE-2021-34484,e que eles supostamente corrigiram em agosto. No entanto, depois de examinar a correção, Naceri descobriu que o patch não era suficiente e que ele foi capaz de violá-lo com uma nova exploração que ele publicou no GitHub.  No entanto, o fato de que o bug exige que o invasor saiba o nome e a senha do usuário pode reduzir seu uso em ataques generalizados em relação a outras vulnerabilidades de privilégios.