Boletim semanal de Cibersegurança 7 – 13 Janeiro

Telefónica Tech    13 enero, 2023

Microsoft corrige 98 vulnerabilidades no Patch Tuesday

A Microsoft publicou seu boletim de segurança para o mês de janeiro, no qual corrige um total de 98 vulnerabilidades. Entre elas, destaca-se uma vulnerabilidade de 0-day explorada ativamente, que foi identificada como CVE-2023-21674 com um CVSSv3 de 8,8.

É uma vulnerabilidade de escalonamento de privilégios ALPC (Advanced Local Procedure Call) no Windows, que pode levar um invasor em potencial a obter privilégios SYSTEM. Também digna de nota é a vulnerabilidade CVE-2023-21549 (CVSSv3 8.8) para escalonamento de privilégios do serviço Testemunha SMB do Windows.

Sua exploração por um invasor em potencial pode levar à execução de funções RPC restritas apenas a contas privilegiadas, como já foi divulgado publicamente. Também deve ser notado que das 98 vulnerabilidades corrigidas, onze delas foram classificadas pela Microsoft como críticas, especificamente aquelas identificadas como: CVE-2023-21743, CVE-2023-21743, CVE-2023-21561, CVE-2023-21730, CVE-2023-21556, CVE-2023-21555, CVE-2023-21543, CVE-2023-21543CVE-2023-21546, CVE-2023-21679,  CVE-2023-21548 e CVE-2023-21535.

Ler mais

* * *

Vulnerabilidade crítica em roteadores Cisco não suportados

A Cisco emitiu um comunicado de segurança alertando sobre uma vulnerabilidade crítica que afeta vários roteadores Cisco em fim de vida útil para os quais há um PoC público, embora atualmente não haja tentativas de exploração conhecidas.

Essa falha de segurança, registrada como CVE-2023-20025, com um CVSSv3 de 9.0 de acordo com o fornecedor, pode acionar um desvio de autenticação causado pela validação incorreta da entrada do usuário nos pacotes HTTP de entrada. Agentes mal-intencionados não autenticados podem explorá-lo remotamente enviando uma solicitação HTTP especialmente criada para a interface de administração de dispositivos vulneráveis. Essa falha de segurança também pode ser encadeada junto com outra nova vulnerabilidade, CVE-2023-20026, que permitiria a execução arbitrária de códigos.

Finalmente, deve-se notar que os dispositivos afetados são os modelos de roteadores Cisco Small Business RV016, RV042, RV042G e RV082. A Cisco diz que não lançará um patch, mas como medida atenuante recomenda-se desativar a interface de administração e bloquear o acesso às portas 443 e 60443 para bloquear tentativas de exploração.

Ler mais

* * *

IcedID leva menos de 24 horas para comprometer o Active Directory

Pesquisadores da Cybereason publicaram uma análise do trojan bancário IcedID, também conhecido como BokBot, destacando a rapidez com que ele pode comprometer o sistema de uma vítima. No relatório, Cybereason adverte que o IcedID leva menos de uma hora a partir da infecção inicial para iniciar movimentos laterais no sistema e que leva menos de 24 horas para comprometer o Active Directory e, finalmente, iniciar a extração de dados em apenas 48 horas. O

relatório também destaca que o IcedID alterou seu vetor de acesso inicial, pois foi inicialmente distribuído por meio de arquivos do Office com macros maliciosas, mas após as medidas de proteção de macros implementadas pela Microsoft, agora é distribuído via arquivos ISO e LNK.

Finalmente, vale a pena notar que o IcedID compartilha táticas, técnicas e procedimentos (TTPs) com grupos como Conti e Lockbit.

Ler mais

* * *

Vulnerabilidade explorada ativamente no Painel Web de Controle (CWP)

O Shadowserver Foundation e o GreyNoise detectaram a exploração ativa da vulnerabilidade crítica no Painel Web de Controle (CWP) listado como CVE-2022-44877 com um CVSSv3 de 9,8.

A vulnerabilidade, que foi descoberta pelo pesquisador Numan Türle, foi corrigida em outubro, mas não foi até a semana passada que mais detalhes da vulnerabilidade foram publicados junto com uma Prova de Conceito (PoC). 

De acordo com os especialistas, as primeiras tentativas de explorar essa vulnerabilidade, que permitiria que um agente de ameaça não autenticado executasse remotamente o código em servidores vulneráveis ou escalonamento de privilégios, foram detectadas em 6 de janeiro.

Especificamente, essa falha de segurança afeta as versões CWP7 anteriores à 0.9.8.1147. Vale a pena notar que o GreyNoise observou quatro endereços IP exclusivos tentando explorar essa vulnerabilidade.

Ler mais

* * *

A versão mais recente do SpyNote tem como alvo clientes bancários

Pesquisadores da ThreatFabric relataram atividades recentes na família de malware SpyNote, também conhecida como SpyMax. A última variante conhecida foi listada como SpyNote.C, que foi vendida por seu desenvolvedor via Telegram, sob o nome CypherRat, entre agosto de 2021 e outubro de 2022, acumulando, segundo pesquisadores, um total de 80 clientes.

No entanto, em outubro de 2022, o código-fonte foi compartilhado no GitHub, o que levou a um aumento muito significativo no número de amostras detectadas desse malware. Entre essas últimas amostras, observou-se como o SpyNote.C tem como alvo aplicativos bancários, personificando aplicativos de bancos como HSBC, Deutsche Bank, Kotak Bank ou BurlaNubank, bem como outros aplicativos bem conhecidos, como Facebook, Google Play ou WhatsApp.

Vale ressaltar que o SpyNote.C combina recursos de spyware e Trojan bancário, podendo usar a API da câmera dos dispositivos para gravar e enviar vídeos para seu C2, obter informações de GPS e localização de rede, roubar credenciais de redes sociais ou extrair credenciais bancárias, entre outros recursos.

Ler mais