Boletim semanal de cibersegurança 9 — 15 julho

Telefónica Tech    15 julio, 2022
Foto: Christina Wocintechchat.com / Unsplash

Rozena: backdoor distribuído explorando a vulnerabilidade follina

A equipe de pesquisadores da Fortinet publicou a análise de uma campanha maliciosa na qual eles detectaram a distribuição de um novo backdoor aproveitando a vulnerabilidade conhecida chamada Follina (CVE-2022-30190).  

Especificamente, este novo software malicioso recebeu o nome de Rozena e sua principal função é injetar um shell reverso no host do invasor, permitindo que atores mal-intencionados assumam o controle do sistema da vítima, bem como permitir o monitoramento e captura de informações, e/ou manter um backdoor para o sistema comprometido.

Em relação à metodologia utilizada para executar a infecção, isso consiste na distribuição de documentos de escritório maliciosos, que, quando executados, eles se conectam a uma URL do Discord que recupera um arquivo HTML que, por sua vez, invoca a vulnerável ferramenta de diagnóstico de suporte do Microsoft Windows (MSDT), resultando no download da carga útil,  em que Rozena está incluído.

Ler mais

* * *

Microsoft corrige um 0-day  ativamente explorado

A Microsoft divulgou recentemente seu boletim de segurança para o mês de julho, onde corrige um total de 84 vulnerabilidades, incluindo 0-day ativamente explorado.

Do total de falhas detectadas, 5 corresponderiam a vulnerabilidades de negação de serviço, 11 vulnerabilidades de divulgação de informações, 4 vulnerabilidades de desvio de recursos de segurança, 52 elevação de vulnerabilidades de privilégios e 12 vulnerabilidades de execução remota de código. Dentro deste último tipo é onde as quatro vulnerabilidades classificadas como críticas (CVE-2022-30221, CVE-2022-22029, CVE-2022-22039, CVE-2022-22038) estão localizados, sendo que o resto das vulnerabilidades é de alta gravidade.

Notavelmente, o 0-day, catalogado como CVE-2022-22047 com um CVSSv3 7.8, descoberto pelo Microsoft Threat Intelligence Center (MSTIC) e pelo Microsoft Security Response Center (MSRC), envolve uma elevação do Windows CSRSS de vulnerabilidade de privilégio, o que poderia permitir que um invasor obtenha privilégios do SISTEMA.

De acordo com a Microsoft, a exploração ativa dessa falha teria sido detectada embora no momento não tenham sido fornecidos mais detalhes a esse respeito, por isso é recomendável aplicar os patches o mais rápido possível. A CISA [7] também adicionou essa vulnerabilidade ao seu catálogo de vulnerabilidades ativamente exploradas.

Ler mais

* * *

Vulnerabilidade na autenticação de um componente AWS Kubernetes

O pesquisador de segurança Gafnit Amiga descobriu várias falhas de segurança no processo de autenticação do AWS IAM Authenticator, um componente para Kubernetes usado pelo Amazon Elastic Kubernetes Service (EKS)

 A falha está na validação incorreta dos parâmetros de consulta dentro do plugin autenticador ao configurar o uso do parâmetro «AccessKeyID» do modelo dentro das sequências de consulta. Explorá-lo poderia permitir que um invasor escapasse da proteção existente contra ataques repetidos ou obtenha as mais altas permissões no cluster, posando como outras identidades; ou seja, escalar privilégios dentro do cluster Kubernetes.

Segundo o pesquisador, duas das falhas identificadas existem desde o primeiro lançamento de 2017, enquanto a terceira, que permite o roubo de identidade, é explorável a partir de setembro de 2020. As decisões como um todo foram identificadas como CVE-2022-2385 e receberam alta criticidade. Por sua vez, a AWS confirmou que desde 28 de junho todos os clusters EKS foram atualizados com uma nova versão do IAM Authenticator onde o problema é resolvido. Os clientes que gerenciam seus próprios clusters e que usam o parâmetro «AccessKeyID» do plug-in autenticador devem atualizar para a AWS IAM Authenticator para a versão 0.5.0 da Kubernetes.

Ler mais

* * *

VMware corrige vulnerabilidade em vCenter Server

A VMware lançou recentemente uma nova versão do vCenter Server 7.0 3f no qual corrige, oito meses depois, uma vulnerabilidade no mecanismo de autenticação integrada com o Windows descoberto pelo Crowdstrike e com o CVE-2021-22048.

Essa falha só pode ser explorada a partir da mesma rede física ou lógica na qual o servidor afetado está, e embora seja um ataque complexo, requer poucos privilégios e não precisa de interação do usuário. No entanto, o NIST sugere que ele poderia ser explorado remotamente.

As versões do vCenter Server afetadas pela vulnerabilidade são 6.5, 6.7 e 7.0. Para aqueles que não podem atualizar para a versão mais recente já corrigida, a empresa forneceu medidas de mitigação que incluem a mudança para um modelo de autenticação do Active Directory sobre LDAP. O CVE-2021-22048 também afeta as versões 3 e 4 da WMware Cloud Foundation, que não foram corrigidas por enquanto.

Ler mais

* * *

Campanha de phishing através Anubis Network

A mídia portuguesa IT Security publicou detalhes sobre uma nova onda da persistente campanha de phishing, que faz uso do portal da Rede Anubis para configurar seus ataques e que estaria ativo desde março de 2022.

Os usuários afetados, principalmente de Portugal e do Brasil, recebem mensagens de smishing ou phishing de serviços financeiros onde os usuários são forçados a indicar seu número de telefone e número PIN, a serem redirecionados para páginas bancárias onde suas credenciais de acesso são solicitadas.

Segundo os pesquisadores, o servidor de Comando & Controle, hospedado na Rede Anubis, é controlado por cerca de 80 operadoras. Da mesma forma, a análise mostra como a Anubis oferece facilidades para rastrear dados do usuário, domínios falsos criados para se passar por bancos e endereços de e-mail temporários que as operadoras podem configurar para cada caso.

Ler mais

Te puede interesar

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *