Boletim semanal de Cibersegurança 8 – 14 Abril

Telefónica Tech    17 abril, 2023

Apple corrige duas novas vulnerabilidades de 0-day exploradas ativamente

A Apple lançou novos avisos de segurança sobre duas novas vulnerabilidades de 0-day exploradas ativamente que afetam iPhones, Macs e iPads.

  • Primeiro, há a falha de segurança registrada como CVE-2023-28206, que é uma gravação fora dos limites no IOSurfaceAccelerator que pode desencadear corrupção de dados, uma falha ou execução de código.
  • Em segundo lugar, a vulnerabilidade atribuída como CVE-2023-28205 é um uso do WebKit que pode permitir corrupção de dados ou execução arbitrária de código reutilizando a memória liberada para criar páginas da Web maliciosas especialmente criadas controladas por agentes de ameaças.

A Apple recomenda atualizar o software nos dispositivos afetados para corrigir as duas vulnerabilidades de 0-day nas versões iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 e Safari 16.4.1.

Ler mais

* * *

Patch Tuesday da Microsoft inclui um 0-day explorado ativamente

Em sua última atualização de segurança, a Microsoft corrigiu um total de 98 vulnerabilidades que afetam vários de seus produtos, incluindo Microsoft Windows, Office e Edge.

Isso inclui uma vulnerabilidade de 0-day  explorada ativamente que foi registrada como CVE-2023-28252, CVSSv3 de 7.8 de acordo com o fabricante. É uma falha do CLFS que pode ser explorada localmente por agentes mal-intencionados com o objetivo de obter privilégios do SYSTEM.

O restante das falhas críticas de segurança, que foram registradas como CVE-2023-28311, CVE-2023-21554 e CVE-2023-28231, CVE-2023-28219, CVE-2023-28220, CVE-2023-28250,     CVE-2023-28291 também devem ser mencionadas.

As últimas vulnerabilidades CVE-2023-28285, CVE-2023-28295, CVE-2023-28287 e CVE-2023-28311, embora menos críticas do que as demais, merecem destaque e, embora não estejam sendo exploradas ativamente, podem ser facilmente exploradas abrindo documentos maliciosos enviados em possíveis campanhas de phishing futuras.

Ler mais

* * *

Quadreams acusado de usar spyware contra figuras políticas e jornalistas

Pesquisadores do CitizenLab e a equipe de Threat Intelligence da Microsoft publicaram uma investigação sobre a empresa israelense QuaDreams, que eles acusam de usar spyware contra jornalistas e figuras políticas.

A atividade da empresa seria baseada na venda e distribuição de uma plataforma chamada Reign para entidades governamentais, que a Microsoft descreve como um conjunto de exploits, malware e infraestrutura projetados para extrair informações de dispositivos móveis.

Das técnicas usadas para sua operação, destaca-se o que os pesquisadores suspeitam ser um exploit zero-click para dispositivos iOS, que eles chamaram de ENDOFDAYS, que faria uso de convites invisíveis do iCloud.

A análise teria identificado pelo menos cinco vítimas, que por enquanto permanecem anônimas, na América do Norte, Ásia Central, Sudeste Asiático, Europa e Oriente Médio.

Ler mais

* * *

Boletim de segurança do Android

O Android lançou seu boletim de segurança para o mês de abril, onde corrige um total de 68 vulnerabilidades.

Entre as vulnerabilidades, as mais importantes são duas detectadas no componente Sistema, que foram catalogadas como CVE-2023-21085 e CVE-2023-21096, ambas com gravidade crítica e que poderiam permitir que um possível invasor executasse uma execução remota de código (RCE) sem a necessidade de privilégios de execução adicionais.

Quatro vulnerabilidades no componente de código fechado da Qualcomm também foram listadas como críticas: CVE-2022-33231, CVE-2022-33288, CVE-2022-33289 e CVE-2022-33302.

Finalmente, uma vulnerabilidade no driver do kernel da GPU Arm Mali, CVE-2022-38181 CVSSv3 8.8, também foi corrigida, que é relatada como tendo sido explorada ativamente .  

Ler mais

* * *

Falha de design do Azure permite a aquisição de contas

Uma investigação do Orca expôs uma falha de design na Chave Compartilhada do Microsoft Azure que permitiria que um invasor obtivesse acesso a contas do Microsoft Storage.

Embora a Orca tenha publicado uma prova de conceito demonstrando como roubar tokens de acesso de identidades privilegiadas superiores, mover-se lateralmente, acessar ativos críticos de negócios e executar RCE (execução remota de código), o Centro de Resposta de Segurança da Microsoft considerou o problema uma falha de design e não uma vulnerabilidade, por isso não pode fornecer uma atualização de segurança e terá que esperar por um redesign do Azure.

Enquanto isso, é recomendável remover a autorização de chave compartilhada do Azure e, em vez disso, adotar a autenticação do Azure Active Directory como uma estratégia de mitigação.

Ler mais