Víctor Mayoral-Vilches Cibercrime em Robótica, pesquisa da Alias Robotics que viaja para Black Hat Robôs industriais são seguros? É a dúvida com que essa análise começa, a partir da Alias Robotics, trabalhamos em conjunto com a TrendMicro em uma pesquisa sobre segurança robótica...
ElevenPaths Boletim semanal de cibersegurança 2 maio-4 junho Vulnerabilidade no SonicWall Network Security Manager A SonicWall lançou patches de segurança, para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do...
Boletim semanal de cibersegurança 9 — 15 julhoTelefónica Tech 15 julio, 2022 Rozena: backdoor distribuído explorando a vulnerabilidade follina A equipe de pesquisadores da Fortinet publicou a análise de uma campanha maliciosa na qual eles detectaram a distribuição de um novo backdoor aproveitando a vulnerabilidade conhecida chamada Follina (CVE-2022-30190). Especificamente, este novo software malicioso recebeu o nome de Rozena e sua principal função é injetar um shell reverso no host do invasor, permitindo que atores mal-intencionados assumam o controle do sistema da vítima, bem como permitir o monitoramento e captura de informações, e/ou manter um backdoor para o sistema comprometido. Em relação à metodologia utilizada para executar a infecção, isso consiste na distribuição de documentos de escritório maliciosos, que, quando executados, eles se conectam a uma URL do Discord que recupera um arquivo HTML que, por sua vez, invoca a vulnerável ferramenta de diagnóstico de suporte do Microsoft Windows (MSDT), resultando no download da carga útil, em que Rozena está incluído. Ler mais → * * * Microsoft corrige um 0-day ativamente explorado A Microsoft divulgou recentemente seu boletim de segurança para o mês de julho, onde corrige um total de 84 vulnerabilidades, incluindo 0-day ativamente explorado. Do total de falhas detectadas, 5 corresponderiam a vulnerabilidades de negação de serviço, 11 vulnerabilidades de divulgação de informações, 4 vulnerabilidades de desvio de recursos de segurança, 52 elevação de vulnerabilidades de privilégios e 12 vulnerabilidades de execução remota de código. Dentro deste último tipo é onde as quatro vulnerabilidades classificadas como críticas (CVE-2022-30221, CVE-2022-22029, CVE-2022-22039, CVE-2022-22038) estão localizados, sendo que o resto das vulnerabilidades é de alta gravidade. Notavelmente, o 0-day, catalogado como CVE-2022-22047 com um CVSSv3 7.8, descoberto pelo Microsoft Threat Intelligence Center (MSTIC) e pelo Microsoft Security Response Center (MSRC), envolve uma elevação do Windows CSRSS de vulnerabilidade de privilégio, o que poderia permitir que um invasor obtenha privilégios do SISTEMA. De acordo com a Microsoft, a exploração ativa dessa falha teria sido detectada embora no momento não tenham sido fornecidos mais detalhes a esse respeito, por isso é recomendável aplicar os patches o mais rápido possível. A CISA [7] também adicionou essa vulnerabilidade ao seu catálogo de vulnerabilidades ativamente exploradas. Ler mais → * * * Vulnerabilidade na autenticação de um componente AWS Kubernetes O pesquisador de segurança Gafnit Amiga descobriu várias falhas de segurança no processo de autenticação do AWS IAM Authenticator, um componente para Kubernetes usado pelo Amazon Elastic Kubernetes Service (EKS) A falha está na validação incorreta dos parâmetros de consulta dentro do plugin autenticador ao configurar o uso do parâmetro «AccessKeyID» do modelo dentro das sequências de consulta. Explorá-lo poderia permitir que um invasor escapasse da proteção existente contra ataques repetidos ou obtenha as mais altas permissões no cluster, posando como outras identidades; ou seja, escalar privilégios dentro do cluster Kubernetes. Segundo o pesquisador, duas das falhas identificadas existem desde o primeiro lançamento de 2017, enquanto a terceira, que permite o roubo de identidade, é explorável a partir de setembro de 2020. As decisões como um todo foram identificadas como CVE-2022-2385 e receberam alta criticidade. Por sua vez, a AWS confirmou que desde 28 de junho todos os clusters EKS foram atualizados com uma nova versão do IAM Authenticator onde o problema é resolvido. Os clientes que gerenciam seus próprios clusters e que usam o parâmetro «AccessKeyID» do plug-in autenticador devem atualizar para a AWS IAM Authenticator para a versão 0.5.0 da Kubernetes. Ler mais → * * * VMware corrige vulnerabilidade em vCenter Server A VMware lançou recentemente uma nova versão do vCenter Server 7.0 3f no qual corrige, oito meses depois, uma vulnerabilidade no mecanismo de autenticação integrada com o Windows descoberto pelo Crowdstrike e com o CVE-2021-22048. Essa falha só pode ser explorada a partir da mesma rede física ou lógica na qual o servidor afetado está, e embora seja um ataque complexo, requer poucos privilégios e não precisa de interação do usuário. No entanto, o NIST sugere que ele poderia ser explorado remotamente. As versões do vCenter Server afetadas pela vulnerabilidade são 6.5, 6.7 e 7.0. Para aqueles que não podem atualizar para a versão mais recente já corrigida, a empresa forneceu medidas de mitigação que incluem a mudança para um modelo de autenticação do Active Directory sobre LDAP. O CVE-2021-22048 também afeta as versões 3 e 4 da WMware Cloud Foundation, que não foram corrigidas por enquanto. Ler mais → * * * Campanha de phishing através Anubis Network A mídia portuguesa IT Security publicou detalhes sobre uma nova onda da persistente campanha de phishing, que faz uso do portal da Rede Anubis para configurar seus ataques e que estaria ativo desde março de 2022. Os usuários afetados, principalmente de Portugal e do Brasil, recebem mensagens de smishing ou phishing de serviços financeiros onde os usuários são forçados a indicar seu número de telefone e número PIN, a serem redirecionados para páginas bancárias onde suas credenciais de acesso são solicitadas. Segundo os pesquisadores, o servidor de Comando & Controle, hospedado na Rede Anubis, é controlado por cerca de 80 operadoras. Da mesma forma, a análise mostra como a Anubis oferece facilidades para rastrear dados do usuário, domínios falsos criados para se passar por bancos e endereços de e-mail temporários que as operadoras podem configurar para cada caso. Ler mais → Boletim semanal de cibersegurança 1 — 8 julhoBoletim semanal de cibersegurança 16 — 22 julho
Telefónica Tech Boletim semanal de cibersegurança, 30 de julho – 5 de agosto Possível ligação entre o malware Raspberry Robin e as infecções da Evil Corp A equipe do Microsoft Threat Intelligence Center (MSTIC) publicou novas informações sobre o malware Raspberry Robin, detectado...
Telefónica Tech Boletim semanal de cibersegurança 16 — 22 julho Lightning Framework: novo malware direcionado a ambientes Linux A equipe de pesquisadores da Intezer publicou informações sobre um novo tipo de malware que afeta ambientes Linux e que eles chamaram...
Telefónica Tech Boletim semanal de cibersegurança 1 — 8 julho Raspberry Robin: worm detectado em várias redes do Windows A Microsoft emitiu um aviso privado voltado para assinantes do Microsoft Defender for Endpoint, informando sobre a detecção de malware Raspberry...
Telefónica Tech Boletim semanal de cibersegurança 18-24 junho Serviços do Microsoft Office 365 e Cloudflare interrompidos globalmente Ao longo da última terça-feira, vários serviços web foram interrompidos em todo o mundo. A origem desses incidentes residia, por um...
Telefónica Tech Boletim semanal de cibersegurança 13-17 junho Hertzbleed. Novo ataque de canal lateral contra processadores AMD e Intel Pesquisadores de segurança de várias universidades dos EUA descobriram um novo ataque de canal lateral que afeta processadores Intel...
Telefónica Tech Boletim semanal de cibersegurança 3-10 junho LockBit ameaça Mandiant depois de vinculá-los à EvilCorp Durante a tarde de 6 de maio, o grupo de ransomware Lockbit 2.0 anunciou em sua página de publicações na dark web...