Boletim semanal de cibersegurança 5 – 11 Fevereiro

Telefónica Tech    11 febrero, 2022

Microsoft desabilita macros e MSIX para evitar distribuição de malware

A Microsoft se mobilizou ativamente contra os múltiplos ataques de malware que usam algumas de suas tecnologias como vetor de entrada. Especificamente, os produtos afetados são o pacote Office e os instaladores de aplicativos MSIX que permitem aos desenvolvedores distribuir aplicativos para diferentes plataformas. No caso do Office, a empresa desativará macros Visual Basic for Applications (VBA) por padrão em todos os seus produtos, incluindo Word, Excel, PowerPoint, Access e Visio, para documentos baixados da web, embora possam ser habilitados voluntariamente pelo usuário. De acordo com a própria publicação da Microsoft, permitir que macros em um arquivo do Office permita que os atores de ameaças ofereçam cargas de ameaças maliciosas, implantem malware, comprometam contas, extraem informações e até mesmo obtenham acesso remoto a sistemas de destino. Essa medida vem apenas um mês depois que o fabricante do Windows desativou as macros excel 4.0 (XLM) por padrão, outra função que é amplamente abusada para distribuir malware. Em relação aos instaladores do aplicativo MSIX, a Microsoft anunciou que desativará temporariamente o driver de protocolo MSIX ms-appinstaller no Windows depois de ter evidências da exploração ativa da  vulnerabilidade CVE-2021-43890, que permite a instalação de aplicativos não autorizados e seria usado para fornecer malwares como Emotet, TrickBot e Bazaloader. Esse movimento significa que, até que a Microsoft corrija completamente o erro, o App Installer não será capaz de instalar um aplicativo diretamente de um servidor web, então os usuários primeiro precisarão baixar o aplicativo em seu dispositivo e, em seguida, instalar o pacote com o instalador do aplicativo.

Possível extração de informações devido à vulnerabilidade no ARGO CD

Pesquisadores do Apiiro revelaram uma vulnerabilidade no Argo CD, uma ferramenta amplamente utilizada para a implantação de aplicativos em Kubernetes, que poderia ser explorada por invasores a fim de obter informações confidenciais de diferentes organizações, especialmente senhas e Chaves de API. A vulnerabilidade foi catalogada com o identificador CVE-2022-24348 – 7.7 CVSSv3, e consiste em uma falha transversal do diretório (Path-Traversal) que poderia levar à elevação do privilégio, divulgação de informações e ataques de movimentos laterais. Sua exploração é obtida carregando um arquivo YAML especialmente projetado para o Kubernetes Helm Chart para o sistema de destino, desde que você tenha permissão para criar e atualizar aplicativos e conhecer todo o caminho de um arquivo contendo um YAML válido. Por sua vez, o Argo CD publicou sua versão 2.3.0-rc4 na última sexta-feira, apenas 5 dias depois que os pesquisadores do Apiiro os alertaram para a existência da falha.

Vulnerabilidades críticas em produtos SAP

A SAP divulgou seu boletim de segurança de fevereiro emitindo 22 grandes atualizações, incluindo correções para o impacto do Log4j, bem como três vulnerabilidades críticas de corrupção de memória que afetam o Internet Communication Manager (ICM), um componente central dos aplicativos de negócios SAP. Essas três últimas falhas foram descobertas pela equipe de resposta à segurança de produtos da SAP, em colaboração com os laboratórios de pesquisa da Onapsis, que os apelidaram de ICMAD (Gerente de Comunicação na Internet Advanced Desync). A vulnerabilidade mais crítica já está corrigida na nota de segurança 3123396 SAP  , identificada com cve-2022-22536 e com um CVSSv3 de 10.0, permitiria que um invasor não autenticado preparasse a solicitação da vítima com dados arbitrários e, assim, executasse funções se passando pela vítima. Os dois bugs restantes também foram corrigidos pela SAP em sua nota de segurança 3123427 e correspondem a CVE-2022-22532 e CVE-2022-22533 com CVSSv3 de 8,0 e 7,5, respectivamente. Ambos também seriam exploráveis por um invasor remoto não autenticado, embora eles só afetam aplicativos SAP em execução no SAP NetWeaver AS Java. Deve-se notar que a exploração bem-sucedida dessas vulnerabilidades pode produzir impactos severos como: o roubo de informações confidenciais, o ransomware e a interrupção de processos e operações de negócios. A SAP recomenda que você aplique as atualizações de segurança SAP de fevereiro de 2022 o mais rápido possível  , bem como faça uso da ferramenta de código aberto fornecida pelo Onapsis que identifica se um sistema é vulnerável e precisa de patches.

Atualizações de segurança da Microsoft

A Microsoft corrigiu uma vulnerabilidade no antivírus Microsoft Defender  no Windows, que permitiu que os invasores distribuíssem e executassem cargas, passando despercebidos pelo mecanismo de detecção de malware. A falha deve-se a uma configuração frouxa de uma chave de registro que contém a lista de locais excluídos da digitalização do Microsoft Defender que era visível para todos os usuários. Após a remediação, isso é visível apenas para usuários com privilégios de administrador. Esse bug de segurança afetou as versões mais recentes do Windows 10, e teria sido corrigido com as últimas atualizações de segurança da Microsoft a partir de fevereiro. Deve-se notar também que a Microsoft está procedendo à eliminação da ferramenta de comando WMIC (Windows Management Instrumentation), wmic.exe, no portal de desenvolvimento das versões mais recentes do Windows 11, em favor do Powershell. A remoção afetaria apenas a ferramenta de comando, de modo que o WMI não é afetado. O WMI tem sido amplamente explorado por atores maliciosos, chegando a ser considerado um LOLBin (binários vivendo fora da terra). Ao remover o utilitário WMIC, vários ataques e malwares deixarão de funcionar corretamente, pois não serão capazes de executar alguns comandos necessários para realizar suas operações, embora seja possível que os invasores substituam o WMIC por novos métodos.

Cibercriminosos aproveitam utilitário Windows Regsvr32 para distribuir malware

Investigadores da Uptycs analisaram uma nova campanha na qual atores mal-intencionados estariam aumentando o abuso de um LOLBin do Windows conhecido como Regsvr32 para espalhar malware. OS LOLBins são utilitários nativos legítimos, comumente usados em ambientes de computador que os cibercriminosos aproveitam para escapar da detecção, misturando-se com padrões normais de tráfego. Neste caso, o Regsvr32 é um utilitário assinado pela Microsoft no Windows que permite que os usuários gerenciem bibliotecas de código e registrem DLLs adicionando informações ao diretório central (registro) para que possam ser usados pelo Windows e compartilhados entre programas. De acordo com a Uptycs, este utilitário seria abusado através de uma técnica conhecida como Squiblydoo, onde o Regsvr32 é usado para executar DLLs usando scriptlets COM que não fazem alterações no registro. A pesquisa acrescenta que o uso malicioso desse utilitário tem aumentado ultimamente, principalmente no registro de arquivos. OCX hospedado em vários documentos maliciosos do Microsoft Office. A Uptycs, analisou até 500 amostras de malware que seriam distribuídas, algumas delas pertencentes a Qbot e Lokibot.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.