Boletim semanal de cibersegurança 9 — 15 julho

Rozena: backdoor distribuído explorando a vulnerabilidade follina

A equipe de pesquisadores da Fortinet publicou a análise de uma campanha maliciosa na qual eles detectaram a distribuição de um novo backdoor aproveitando a vulnerabilidade conhecida chamada Follina (CVE-2022-30190).  

Especificamente, este novo software malicioso recebeu o nome de Rozena e sua principal função é injetar um shell reverso no host do invasor, permitindo que atores mal-intencionados assumam o controle do sistema da vítima, bem como permitir o monitoramento e captura de informações, e/ou manter um backdoor para o sistema comprometido.

Em relação à metodologia utilizada para executar a infecção, isso consiste na distribuição de documentos de escritório maliciosos, que, quando executados, eles se conectam a uma URL do Discord que recupera um arquivo HTML que, por sua vez, invoca a vulnerável ferramenta de diagnóstico de suporte do Microsoft Windows (MSDT), resultando no download da carga útil,  em que Rozena está incluído.

Ler mais →

* * *

Microsoft corrige um 0-day  ativamente explorado

A Microsoft divulgou recentemente seu boletim de segurança para o mês de julho, onde corrige um total de 84 vulnerabilidades, incluindo 0-day ativamente explorado.

Do total de falhas detectadas, 5 corresponderiam a vulnerabilidades de negação de serviço, 11 vulnerabilidades de divulgação de informações, 4 vulnerabilidades de desvio de recursos de segurança, 52 elevação de vulnerabilidades de privilégios e 12 vulnerabilidades de execução remota de código. Dentro deste último tipo é onde as quatro vulnerabilidades classificadas como críticas (CVE-2022-30221, CVE-2022-22029, CVE-2022-22039, CVE-2022-22038) estão localizados, sendo que o resto das vulnerabilidades é de alta gravidade.

Notavelmente, o 0-day, catalogado como CVE-2022-22047 com um CVSSv3 7.8, descoberto pelo Microsoft Threat Intelligence Center (MSTIC) e pelo Microsoft Security Response Center (MSRC), envolve uma elevação do Windows CSRSS de vulnerabilidade de privilégio, o que poderia permitir que um invasor obtenha privilégios do SISTEMA.

De acordo com a Microsoft, a exploração ativa dessa falha teria sido detectada embora no momento não tenham sido fornecidos mais detalhes a esse respeito, por isso é recomendável aplicar os patches o mais rápido possível. A CISA [7] também adicionou essa vulnerabilidade ao seu catálogo de vulnerabilidades ativamente exploradas.

Ler mais →

* * *

Vulnerabilidade na autenticação de um componente AWS Kubernetes

O pesquisador de segurança Gafnit Amiga descobriu várias falhas de segurança no processo de autenticação do AWS IAM Authenticator, um componente para Kubernetes usado pelo Amazon Elastic Kubernetes Service (EKS)

 A falha está na validação incorreta dos parâmetros de consulta dentro do plugin autenticador ao configurar o uso do parâmetro «AccessKeyID» do modelo dentro das sequências de consulta. Explorá-lo poderia permitir que um invasor escapasse da proteção existente contra ataques repetidos ou obtenha as mais altas permissões no cluster, posando como outras identidades; ou seja, escalar privilégios dentro do cluster Kubernetes.

Segundo o pesquisador, duas das falhas identificadas existem desde o primeiro lançamento de 2017, enquanto a terceira, que permite o roubo de identidade, é explorável a partir de setembro de 2020. As decisões como um todo foram identificadas como CVE-2022-2385 e receberam alta criticidade. Por sua vez, a AWS confirmou que desde 28 de junho todos os clusters EKS foram atualizados com uma nova versão do IAM Authenticator onde o problema é resolvido. Os clientes que gerenciam seus próprios clusters e que usam o parâmetro «AccessKeyID» do plug-in autenticador devem atualizar para a AWS IAM Authenticator para a versão 0.5.0 da Kubernetes.

Ler mais →

* * *

VMware corrige vulnerabilidade em vCenter Server

A VMware lançou recentemente uma nova versão do vCenter Server 7.0 3f no qual corrige, oito meses depois, uma vulnerabilidade no mecanismo de autenticação integrada com o Windows descoberto pelo Crowdstrike e com o CVE-2021-22048.

Essa falha só pode ser explorada a partir da mesma rede física ou lógica na qual o servidor afetado está, e embora seja um ataque complexo, requer poucos privilégios e não precisa de interação do usuário. No entanto, o NIST sugere que ele poderia ser explorado remotamente.

As versões do vCenter Server afetadas pela vulnerabilidade são 6.5, 6.7 e 7.0. Para aqueles que não podem atualizar para a versão mais recente já corrigida, a empresa forneceu medidas de mitigação que incluem a mudança para um modelo de autenticação do Active Directory sobre LDAP. O CVE-2021-22048 também afeta as versões 3 e 4 da WMware Cloud Foundation, que não foram corrigidas por enquanto.

Ler mais →

* * *

Campanha de phishing através Anubis Network

A mídia portuguesa IT Security publicou detalhes sobre uma nova onda da persistente campanha de phishing, que faz uso do portal da Rede Anubis para configurar seus ataques e que estaria ativo desde março de 2022.

Os usuários afetados, principalmente de Portugal e do Brasil, recebem mensagens de smishing ou phishing de serviços financeiros onde os usuários são forçados a indicar seu número de telefone e número PIN, a serem redirecionados para páginas bancárias onde suas credenciais de acesso são solicitadas.

Segundo os pesquisadores, o servidor de Comando & Controle, hospedado na Rede Anubis, é controlado por cerca de 80 operadoras. Da mesma forma, a análise mostra como a Anubis oferece facilidades para rastrear dados do usuário, domínios falsos criados para se passar por bancos e endereços de e-mail temporários que as operadoras podem configurar para cada caso.

Ler mais →