Boletim semanal de cibersegurança 5 – 11 Março 

Mozilla corrige duas vulnerabilidades de 0 day

A Mozilla emitiu um aviso de segurança onde corrige duas vulnerabilidades de 0 day que estão sendo ativamente exploradas e que afetam o Firefox, Focus e Thunderbird. Ambas as vulnerabilidades foram relatadas pela equipe de segurança 360 da empresa ATA.  A primeira delas, classificada como CVE-2022-26485, é uma vulnerabilidade pós-uso no processamento de parâmetros XSLT, que permite a conversão de documentos. O segundo foi classificado como CVE-2022-26486, e é uma vulnerabilidade pós-uso no quadro IPC do WebGPU. Em caso de exploração, um agente de ameaças pode executar o código remotamente, fugindo da segurança, e pode até comprometer o dispositivo baixando algum código malicioso. Ambas as vulnerabilidades são abordadas no Firefox 97.0.2, Firefox ESR 91.6.1, Firefox para Android 97.3.0 e Focus 97.3.0. A Mozilla recomenda a atualização o mais rápido possível.

Dirty Pipe: Nova vulnerabilidade no kernel Linux

O pesquisador de segurança Max Kellermann divulgou detalhes de uma nova vulnerabilidade no kernel Linux desde a versão 5.8 que permitiria aos usuários locais obter privilégios raiz através de explorações que já estão disponíveis publicamente. Identificado com cve-2022-0847 e um CVSSv3 de 7.8, o bug permitiria que um usuário local desprivilegiado injetasse e substituísse dados aleatórios em arquivos somente leitura, incluindo processos SUID executados como raiz, levando a uma escalada privilegiada no sistema afetado e até mesmo permitindo a manipulação de arquivos sensíveis, como aqueles localizados no caminho /etc/passwd,  que permitiria excluir a senha do usuário raiz. Em sua publicação, o pesquisador compartilha uma prova de conceito (PoC) e aponta a semelhança dessa vulnerabilidade com «Dirty Cow» (CVE-2016-5195), que veio à tona em outubro de 2016, embora desta vez sua exploração seria menos complexa e grupos como o Anonymous já tenham falado sobre o assunto. A vulnerabilidade já foi corrigida nas versões Linux 5.16.11, 5.15.25 e 5.10.102, por isso é recomendável corrigir o mais rápido possível, dado o impacto que uma exploração bem sucedida desse erro causaria.

Boletim de atualização da Microsoft

A Microsoft publicou seu boletim de segurança para o mês de março no qual relata a correção de um total de 74 falhas, incluindo três vulnerabilidades críticas de acordo com a empresa e três 0 days que supostamente não estão sendo explorados ativamente.

• Vulnerabilidades críticas de acordo com a Microsoft: A falha mais crítica das três (CVE-2022-23277 CVSSv3 8.8) afeta o Microsoft Exchange Server e permite que um invasor autenticado segmente contas de servidor com o objetivo de executar código remoto com privilégios ADMIN, devido a uma falha no gerenciamento de memória pelo servidor. Os outros dois bugs também categorizados como críticos pela Microsoft, CVE-2022-22006 e CVE-2022-24501, ambos com CVSSv3 7.8, afetam as extensões de vídeo HEVC e VP9, mas sua exploração requer engenharia social já que a vítima precisa baixar e abrir um arquivo especialmente modificado.

• 0 days: O bug mais grave deste tipo CVE-2022-21990 CVSSv3 8.8, permite a execução remota de código em RDP. Alguns pesquisadores apontam que essa decisão deve ser considerada crítica e enfatizam que, embora ainda não esteja sendo explorada ativamente, pode ser em breve, uma vez que uma prova de conceito já está disponível. Os outros dois 0 days corrigidos são os identificados como CVE-2022-23285 CVSSv3 8.8 e CVE-2022-24503 CVSSv3 5.4.

Vulnerabilidades do firmware UEFI

A HP, em conjunto com a equipe Binarly, descobriu várias vulnerabilidades de alto impacto relacionadas ao firmware UEFI, que supostamente afetam diferentes produtos HP, como laptops e desktops, ou nós de perímetro e sistemas de ponto de venda (PoS). Estes foram classificados como CVE-2021-39298 com CVSSv3 8.8, CVE-2021-39297, CVE-2021-39299, CVE-2021-39300 e CVE-2021-39301, todos com CVSSv3 de 7.5. Quando explorado, um agente de ameaças pode injetar código malicioso, aumentar privilégios e permanecer nos dispositivos após as atualizações do sistema operacional. A HP forneceu atualizações de firmware e instruções sobre como atualizar o BIOS.

Análise do ressurgimento do Emotet

Pesquisadores da Black Lotus Labs publicaram uma análise das evidências do ressurgimento da botnet Emotet desde novembro de 2021. Os pesquisadores indicam que, desde então, a botnet mostrou um aumento acentuado em sua atividade através de aproximadamente 130.000 bots únicos distribuídos por 179 países, acumulando mais de 1,6 milhão de dispositivos infectados. O malware reapareceu usando o Trickbot como método de entrega, e mesmo que a estrutura de seu Comando&Controle (C2) teria sido reintegrada em novembro, a adição de bots não foi pronunciada até janeiro. Os detalhes técnicos do relatório revelam que o Emotet fez mudanças notáveis  em sua operação, como o algoritmo usado para criptografar o tráfego de rede, que agora é baseado na criptografia elíptica (ECC); ou na mudança do modelo de nível, marcado pela ausência do Bot C2, embora não se saiba se é uma mudança eventual ou permanente. Como a distribuição do Emotet é feita por meio de e-mails comprometidos com anexos maliciosos, os pesquisadores recomendam intensificar medidas preventivas contra phishing e monitoramento de recursos de rede para evitar possíveis incidentes derivados.