Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Boletim semanal de cibersegurança 5 – 11 Março Telefónica Tech 11 marzo, 2022 Mozilla corrige duas vulnerabilidades de 0 day A Mozilla emitiu um aviso de segurança onde corrige duas vulnerabilidades de 0 day que estão sendo ativamente exploradas e que afetam o Firefox, Focus e Thunderbird. Ambas as vulnerabilidades foram relatadas pela equipe de segurança 360 da empresa ATA. A primeira delas, classificada como CVE-2022-26485, é uma vulnerabilidade pós-uso no processamento de parâmetros XSLT, que permite a conversão de documentos. O segundo foi classificado como CVE-2022-26486, e é uma vulnerabilidade pós-uso no quadro IPC do WebGPU. Em caso de exploração, um agente de ameaças pode executar o código remotamente, fugindo da segurança, e pode até comprometer o dispositivo baixando algum código malicioso. Ambas as vulnerabilidades são abordadas no Firefox 97.0.2, Firefox ESR 91.6.1, Firefox para Android 97.3.0 e Focus 97.3.0. A Mozilla recomenda a atualização o mais rápido possível. Dirty Pipe: Nova vulnerabilidade no kernel Linux O pesquisador de segurança Max Kellermann divulgou detalhes de uma nova vulnerabilidade no kernel Linux desde a versão 5.8 que permitiria aos usuários locais obter privilégios raiz através de explorações que já estão disponíveis publicamente. Identificado com cve-2022-0847 e um CVSSv3 de 7.8, o bug permitiria que um usuário local desprivilegiado injetasse e substituísse dados aleatórios em arquivos somente leitura, incluindo processos SUID executados como raiz, levando a uma escalada privilegiada no sistema afetado e até mesmo permitindo a manipulação de arquivos sensíveis, como aqueles localizados no caminho /etc/passwd, que permitiria excluir a senha do usuário raiz. Em sua publicação, o pesquisador compartilha uma prova de conceito (PoC) e aponta a semelhança dessa vulnerabilidade com «Dirty Cow» (CVE-2016-5195), que veio à tona em outubro de 2016, embora desta vez sua exploração seria menos complexa e grupos como o Anonymous já tenham falado sobre o assunto. A vulnerabilidade já foi corrigida nas versões Linux 5.16.11, 5.15.25 e 5.10.102, por isso é recomendável corrigir o mais rápido possível, dado o impacto que uma exploração bem sucedida desse erro causaria. Boletim de atualização da Microsoft A Microsoft publicou seu boletim de segurança para o mês de março no qual relata a correção de um total de 74 falhas, incluindo três vulnerabilidades críticas de acordo com a empresa e três 0 days que supostamente não estão sendo explorados ativamente. Vulnerabilidades críticas de acordo com a Microsoft: A falha mais crítica das três (CVE-2022-23277 CVSSv3 8.8) afeta o Microsoft Exchange Server e permite que um invasor autenticado segmente contas de servidor com o objetivo de executar código remoto com privilégios ADMIN, devido a uma falha no gerenciamento de memória pelo servidor. Os outros dois bugs também categorizados como críticos pela Microsoft, CVE-2022-22006 e CVE-2022-24501, ambos com CVSSv3 7.8, afetam as extensões de vídeo HEVC e VP9, mas sua exploração requer engenharia social já que a vítima precisa baixar e abrir um arquivo especialmente modificado. 0 days: O bug mais grave deste tipo CVE-2022-21990 CVSSv3 8.8, permite a execução remota de código em RDP. Alguns pesquisadores apontam que essa decisão deve ser considerada crítica e enfatizam que, embora ainda não esteja sendo explorada ativamente, pode ser em breve, uma vez que uma prova de conceito já está disponível. Os outros dois 0 days corrigidos são os identificados como CVE-2022-23285 CVSSv3 8.8 e CVE-2022-24503 CVSSv3 5.4. Vulnerabilidades do firmware UEFI A HP, em conjunto com a equipe Binarly, descobriu várias vulnerabilidades de alto impacto relacionadas ao firmware UEFI, que supostamente afetam diferentes produtos HP, como laptops e desktops, ou nós de perímetro e sistemas de ponto de venda (PoS). Estes foram classificados como CVE-2021-39298 com CVSSv3 8.8, CVE-2021-39297, CVE-2021-39299, CVE-2021-39300 e CVE-2021-39301, todos com CVSSv3 de 7.5. Quando explorado, um agente de ameaças pode injetar código malicioso, aumentar privilégios e permanecer nos dispositivos após as atualizações do sistema operacional. A HP forneceu atualizações de firmware e instruções sobre como atualizar o BIOS. Análise do ressurgimento do Emotet Pesquisadores da Black Lotus Labs publicaram uma análise das evidências do ressurgimento da botnet Emotet desde novembro de 2021. Os pesquisadores indicam que, desde então, a botnet mostrou um aumento acentuado em sua atividade através de aproximadamente 130.000 bots únicos distribuídos por 179 países, acumulando mais de 1,6 milhão de dispositivos infectados. O malware reapareceu usando o Trickbot como método de entrega, e mesmo que a estrutura de seu Comando&Controle (C2) teria sido reintegrada em novembro, a adição de bots não foi pronunciada até janeiro. Os detalhes técnicos do relatório revelam que o Emotet fez mudanças notáveis em sua operação, como o algoritmo usado para criptografar o tráfego de rede, que agora é baseado na criptografia elíptica (ECC); ou na mudança do modelo de nível, marcado pela ausência do Bot C2, embora não se saiba se é uma mudança eventual ou permanente. Como a distribuição do Emotet é feita por meio de e-mails comprometidos com anexos maliciosos, os pesquisadores recomendam intensificar medidas preventivas contra phishing e monitoramento de recursos de rede para evitar possíveis incidentes derivados. 13 passos para melhorar a segurança cibernética na indústria 4.0Boletim semanal de cibersegurança 12 – 18 Março
Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Telefónica Tech Boletim semanal de Cibersegurança 8 – 14 Abril Apple corrige duas novas vulnerabilidades de 0-day exploradas ativamente A Apple lançou novos avisos de segurança sobre duas novas vulnerabilidades de 0-day exploradas ativamente que afetam iPhones, Macs e iPads....
Telefónica Tech Boletim semanal de Cibersegurança 25 – 31 Março GitHub expôs sua chave de host RSA SSH por engano O GitHub anunciou na sexta-feira passada que substituiu sua chave de host RSA SSH usada para proteger as operações do...
Telefónica Tech Boletim semanal de Cibersegurança 17 – 24 Março HinataBot: nova botnet dedicada a ataques DDoS A equipe de pesquisadores da Akamai publicou um relatório no qual eles identificaram uma nova botnet chamada HinataBot que teria a capacidade de realizar ataques...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Março Nova versão do Trojan bancário Xenomorph Pesquisadores do ThreatFabric detectaram uma nova variante do Trojan bancário para Android Xenomorph. Essa família de malware foi detectada pela primeira vez em fevereiro...
