Boletim semanal de cibersegurança 29 Janeiro-4 Fevereiro

Exploits publicados que permitem a elevação de privilégios no Windows

Pesquisadores de segurança tornaram públicas vários exploits que exploram uma conhecida elevação da vulnerabilidade de privilégios que afeta todas as versões do Windows 10. Especificamente, as explorações são baseadas na vulnerabilidade CVE-2022-21882 – 7.0 CVSSv3 que, em combinação com um bypass para CVE-2021-1732 – 7.8 CVSSv3 (ambos já corrigidos pela Microsoft), poderia permitir que um ator de ameaças elevasse facilmente seus privilégios para se espalhar lateralmente dentro da rede, criar novos usuários ou executar comandos com altos privilégios. De acordo com a Microsoft, a vulnerabilidade foi descoberta por um investigador privado que compartilhou uma análise técnica sobre ela logo após as atualizações oficiais para o Windows serem lançadas. Além disso, várias investigações já confirmaram a funcionalidade completa das explorações publicadas. Deve-se notar que as últimas correções de janeiro da Microsoft causaram vários erros graves nos principais serviços dos sistemas que foram posteriormente corrigidos com patches lançados de forma extraordinária (OOB), razão que pode ter levado os administradores do sistema a esperar pelas próximas correções em fevereiro, por isso estima-se que hoje, é possível que existam muitos dispositivos vulneráveis a essas novas façanhas.

Falha crítica no Samba

O Samba lançou atualizações de segurança para abordar três vulnerabilidades que, se exploradas com sucesso, poderiam permitir que invasores remotos executassem códigos arbitrários com os maiores privilégios nas instalações afetadas. Entre as falhas de segurança, destaca-se a seguinte como CVE-2021-44142 com um CVSSv3 9.9, que foi relatado por Orange Tsai, da DEVCORE, e afeta todas as versões do Samba antes de 13.4.17. Especificamente, esta é uma vulnerabilidade de leitura/gravação fora dos limites no módulo VFS «vfs_fruit» que fornece suporte para os clientes SMB da Apple. Deve-se notar que a exploração dessa vulnerabilidade requer acesso à gravação aos atributos estendidos de um arquivo em uma pasta da rede Samba. De acordo com o CERT Coordination Center (CERT/CC), a lista de plataformas afetadas por essa vulnerabilidade inclui Red Hat, SUSE Linux e Ubuntu. Os administradores podem corrigir o bug instalando as versões 4.13.17, 4.14.12 e 4.15.5 ou aplicando os patches de segurança publicados pelo fabricante. Da mesma forma, o Samba também forneceu medidas de mitigação para os administradores que não podem instalar imediatamente as versões mais recentes, estas consistem em remover as linhas «frutas» de «objetos vfs» nos arquivos de configuração samba. Por fim, indicam que as outras duas vulnerabilidades foram classificadas com menor criticidade (CVE-2021-44141 CVSSv3 4.2 e CVE-2022-0336 CVSSv3 3.1).

Campanha direcionada contra altos executivos por meio de aplicativos OAuth maliciosos

Pesquisadores do Proofpoint analisaram uma nova campanha que eles chamaram de OiVaVoii, devido ao uso de aplicações maliciosas do OAuth, e que está ativa desde janeiro de 2022. Esta campanha usa inquilinos comprometidos do Office 365 e uma combinação sofisticada de isca, como aplicativos maliciosos do OAuth e spear phishing. Por meio dessas técnicas, atores mal-intencionados conseguem assumir o controle das contas corporativas, o que aumenta o risco de que essas atividades levem a vazamentos de informações, movimentos laterais, abuso de marca, campanhas contínuas de phishing ou distribuição de malware. Os alvos desta campanha seriam executivos de alto nível, incluindo CEOs, CEOs e membros do Conselho de Administração. Por parte da Microsoft, eles bloquearam quatro dos aplicativos fraudulentos usados, embora novos tenham sido criados, a Proofpoint apontou que essas atividades ainda estão em andamento. Empresas potencialmente impactadas devem revogar permissões, remover aplicativos, suprimir quaisquer regras maliciosas da caixa de correio adicionadas por atores mal-intencionados e rever quaisquer arquivos baixados.

«UPnProxy»: milhares de roteadores vulneráveis a ataques via upnP

Pesquisadores da Akamai detectaram uma campanha maliciosa chamada » Eternal Silence» que abusa do protocolo UPnP (Universal Plug and Play) a fim de usar milhares de roteadores como proxy, escondendo assim a localização real dos atores mal-intencionados. O UPnP está presente na praticamente a maioria dos roteadores atuais, permitindo o encaminhamento de portas automaticamente para acesso a diferentes serviços e/ou software, o que torna mais fácil para um invasor em potencial adicionar entradas de encaminhamento de porta UPnP através da conexão WAN exposta de um dispositivo. Especificamente, analistas apontam que os ataques tentam expor as portas TCP 139 e 445 nos dispositivos conectados ao roteador alvo para explorar posteriormente vulnerabilidades conhecidas como EternalBlue (CVE-2017-0144) e EternalRed (CVE-2017-7494) em sistemas Windows e Linux não retched, respectivamente. Esta técnica de ataque foi apelidada por Akamai como «UPnProxy» e, de acordo com sua pesquisa, dos mais de 3 milhões de roteadores UPnP digitalizados on-line, 277.000 estariam vulneráveis ao UPnProxy e mais de 45.000 já teriam sido infectados. Além disso, a Akamai ressalta que essas técnicas são quase imperceptíveis às vítimas, por isso recomenda auditar as entradas da tabela NAT e, no caso de detectar um compromisso, reiniciar ou atualizar o firmware do dispositivo.

Vulnerabilidade de 0 day em Zimbra

Pesquisadores da Volexity descobriram uma vulnerabilidade de 0 day na plataforma de e-mail colaborativa Zimbra que seria ativamente explorada na rede contra organizações governamentais e mídia na Europa. De acordo com o relatório publicado, a campanha de exploração teria começado em dezembro passado com o envio de e-mails de phishing com links maliciosos sob as iscas de pedidos de entrevistas ou convites para leilões de caridade. Ao clicar no link malicioso, a infraestrutura dos invasores redireciona a vítima para uma página hospedada no host zimbra webmail da organização de destino, com um formato URI específico que, se o usuário estiver logado, explora uma vulnerabilidade do tipo XSS (scripting cross-site) permitindo a execução do código JavaScript arbitrário no contexto da sessão Zimbra iniciada, bem como cookies de filtro para obter acesso persistente à caixa de correio, encaminhar phishing para outros usuários ou baixar malware de sites confiáveis. Volexity atribui esta campanha de exploração a um ator de ameaça chamado «TEMP_Heretic», desconhecido até o momento e cuja origem poderia ser chinesa. Além disso, a pesquisa confirma que as versões mais recentes do Zimbra (8.8.15 P29 e P30) são vulneráveis, embora os testes realizados na versão 9.0.0 indiquem que ele provavelmente não é afetado, por isso é reiniciado para atualizá-lo, se possível.