Boletim semanal de cibersegurança 6-12 novembro

Telefónica Tech    12 noviembre, 2021
Boletim

Boletim de segurança da Microsoft

A Microsoft publicou seu boletim de segurança de novembro no qual corrigiu um total de 55 bugs em seu software, incluindo seis vulnerabilidades 0-day, duas das quais estão sendo exploradas. O primeiro, classificado como CVE-2021-42292 e com um CVSS de 7.8, é uma falha de evasão de mecanismos de segurança no Microsoft Excel. O segundo 0-day de exploração (CVE-2021-42321 e CVSS de 8,8) é uma vulnerabilidade de execução remota de código no Microsoft Exchange Server. As quatro vulnerabilidades restantes de 0-day, para os quais não foram fornecidos detalhes nesta fase, estão falhas de divulgação de informações no Windows Remote Desktop Protocol (CVE-2021-38631  e  CVE-2021-41371) e vulnerabilidades de execução remota de código no 3D Viewer (CVE-2021-43208  e  CVE-2021-43209).

https://msrc.microsoft.com/update-guide/releaseNote/2021-Nov

Campanha contra uma vulnerabilidade recente no Zoho

Pesquisadores da Unidade 42 de Palo Alto publicaram uma investigação sobre uma campanha de exploração de vulnerabilidade CVE-2021-40539(CVSS 9.8) na solução ManageEngine ADSelfService Plus da Zoho. Esta é a segunda campanha detectada contra a mesma falha, pois no último dia 16 de setembro a CISA emitiu  um comunicado  confirmando que estava sendo ativamente explorada por um APT. As tentativas de exploração nesta segunda campanha, sem relação com a exposta pela CISA, começaram em 22 de setembro e só terminaram no início de outubro, período em que o agente de ameaças invadiu pelo menos nove entidades de diversos setores. Na cadeia de infecções, os pesquisadores observaram que, após ter acesso à rede da vítima, o webshell Godzilla ou o backdoor NGLite, ambos usados para se mover lateralmente, foram instalados. À medida que conseguiam passar pela infraestrutura, exfiltravam informações dos servidores até chegarem ao DC, onde instalaram a ferramenta de roubo de credenciais KdcSponge. Vale ressaltar que, embora Palo Alto vincule esta campanha ao grupo APT27 (TG-3390), de origem chinesa, a equipe de Inteligência de Ameaças da Microsoft, que também acompanhou a exploração da mesma vulnerabilidade, atribuiu a campanha ao ator chinês DEV-0322, relacionado ao incidente do SolarWinds.

https://unit42.paloaltonetworks.com/manageengine-godzilla-nglite-kdcsponge/

Acesso não autorizado à Aruba Central

A HPE relatou um incidente de segurança que supostamente resultou em um terceiro não autorizado a obter acesso a informações no ambiente de nuvem Aruba Central. O ator, que ainda não foi identificado, teve acesso usando uma chave de acesso roubada, o que lhe permitiu visualizar dados armazenados do usuário. Em particular, um repositório contendo dados de telemetria de rede dos clientes e outro com dados sobre a localização de dispositivos WiFi foram afetados, afetando dados como endereço MAC, endereço IP, tipo de sistema operacional, nome do host e nome de usuário em redes WiFi onde a autenticação é necessária. De acordo com as informações fornecidas pela empresa, o ator teria tido acesso no dia 9 de outubro pela primeira vez, e poderia ter acesso até o dia 27 de outubro, quando a senha foi alterada. Isso significava que os dados aos quais ele teve acesso datam de 10 de setembro, no máximo, pois são removidos dos repositórios a cada 30 dias. A HPE teria confirmado que nenhum dado sensível/confidencial foi afetado, e nenhuma ação foi necessária dos clientes.

https://www.arubanetworks.com/support-services/security-bulletins/central-incident-faq/

Várias vulnerabilidades no driver gráfico da AMD para Windows 10

Pesquisadores de segurança privada em colaboração com o CyberArk Labs e a Apple Media Products RedTeam relataram uma longa lista de vulnerabilidades no driver gráfico da AMD para windows 10. Em particular, 18 dos bugs detectados foram classificados com alta gravidade como um conjunto de falhas em várias APIs poderia levar a cenários de escalada de privilégios, negação de serviço, divulgação de informações e até mesmo execução arbitrária de código na memória do kernel. Enquanto isso, a AMD já abordou todas as vulnerabilidades e emitiu um aviso refletindo todos os CVEs atribuídos, bem como informações sobre como aplicar atualizações tanto para a AMD Radeon Software quanto para a AMD Radeon Pro Software for Enterprise. Além disso, a AMD também corrigiu recentemente bugs em seu produto de processador de servidor AMD EPYC e problemas de desempenho de seus processadores compatíveis com as novas versões do Windows 11 lançadas pela Microsoft.

https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1000

Deja una respuesta

Tu dirección de correo electrónico no será publicada.