Boletim semanal de cibersegurança 9 — 16 setembro

Telefónica Tech    16 septiembre, 2022
Foto: Kelly Sikkema / Unsplash

Microsoft corrige duas vulnerabilidades de 0-day e 63 outras vulnerabilidades no Patch Tuesday

A Microsoft corrigiu 63 vulnerabilidades no Patch Tuesday de setembro, incluindo dois 0-days, uma delas ativamente explorada e outras cinco falhas críticas que permitiriam a execução remota de código.

O 0-day ativamente explorado, identificado como CVE-2022-37969 e CVSS 7.8, foi descoberto por pesquisadores do DBAPPSecurity, Mandiant, CrowdStrike e Zscaler e afeta o Common Log File System (CLFS), permitindo que um invasor obtenha privilégios do sistema.

Por outro lado, o segundo 0-day que não foi explorado está listado como CVE-2022-23960 e com CVSS 5.6, e refere-se a uma vulnerabilidade de restrição de especulação de cache. Microsoft Dynamics CRM (CVE-2022-35805 e CVE-2022-34700), 2 outros no IKE (CVE-2022-34722 e CVE-2022-34721) e, finalmente, uma falha no Windows TCP/IP (CVE-2022-34718), tudo isso permitiria a execução remota de código.

Ler mais 

* * *

Análise do keylogger OriginLogger

O pesquisador Jeff White, da Unidade 42 da Palo Alto, publicou os resultados de sua recente análise sobre o keylogger OriginLogger, que é considerado o herdeiro do Agente Tesla.

Ele é usado para roubar credenciais, capturas de tela e todos os tipos de informações do dispositivo, e está à venda em sites especializados em espalhar malware.

Sua cadeia de infecções é iniciada através de diferentes tipos de droppers, mas geralmente um documento do Microsoft Office com macros maliciosas, que redirecionam para uma página a partir da qual um arquivo com um script ofuscado é baixado, usado ao mesmo tempo para baixar uma carga que será usada para criar persistência e agendar tarefas diferentes.

A carga também conterá código PowerShell e dois binários criptografados, um deles é um carregador e o outro a carga real do OriginLogger. Outro recurso que faz do OriginLogger uma versão separada do agente Tesla é a variedade de métodos de extração de dados, usando protocolos e servidores SMTP e FTP, páginas da Web com seus próprios painéis ou canais e bots do Telegram.

Ler mais 

* * *

Malware lampion distribuído em nova campanha de phishing

Pesquisadores da Cofense analisaram uma campanha de phishing distribuída por e-mail, na qual o anexo contém um script que baixa e executa o malware Lampion.

Esse malware, descoberto em 2019, corresponde a um trojan bancário que busca roubar informações do dispositivo infectado. Ele se conecta ao seu servidor de comando e controle (C2) e é capaz de sobrepor uma página em cima de formulários de login bancários para obter as informações do usuário.

Quanto à campanha, ela é distribuída enviando através de contas corporativas roubadas vários e-mails fraudulentos, que anexam comprovantes de pagamento maliciosos hospedados no WeTransfer e pedem que sejam baixados.

Uma vez que o destinatário do e-mail fraudulento baixa o documento malicioso e o abre, vários scripts VBS são executados e a cadeia de ataque começa.

Vale a pena notar que o Lampion se concentra principalmente em alvos de língua espanhola, abusando de serviços em nuvem para hospedar o malware, incluindo o Google Drive e o pCloud.

Ler mais 

* * *

Boletins de Segurança SAP

A SAP emitiu 16 avisos de segurança em seu Security Patch Day de setembro, corrigindo 55 Chromium e outras vulnerabilidades de alta prioridade. Primeiro, a SAP está emitindo atualizações de segurança para o navegador Google Chromium que afetam várias versões do SAP Business Client.

Por outro lado, entre as vulnerabilidades de alta prioridade corrigidas está uma vulnerabilidade XSS que afeta o SAP Knowledge Warehouse, identificado como CVE-2021-42063 e com CVSS 8.8. Também entre os mais críticos está o CVE-2022-35292, com CVSS de 7.8, o que afeta o caminho de serviço no SAP Business One e permitiria a escalada de privilégios ao sistema.

A segunda nota prioritária corresponde ao serviço SAP Business Objects, afetado com duas vulnerabilidades, uma delas, com cve-2022-39014 e CVSS 7.7, possibilitaria que um invasor obtenha acesso a informações confidenciais não criptografadas; enquanto a outra vulnerabilidade, designada com CVE-2022-28214 e CVSS 7.8, corrige para a possibilidade de divulgação de informações no serviço.

Uma atualização de vulnerabilidade relacionada, CVE-2022-35291 e CVSS 8.1, que afeta o SuccessFactors é publicado, o que retoma a funcionalidade dos anexos de arquivo.

Ler mais 

* * *

Análise de atividades do webworm

A equipe de pesquisa de ameaças da Symantec publicou um post ontem detalhando as atividades de um grupo chamado Webworm, que supostamente tem os mesmos TTPs e dispositivos em uso como o ator de ameaças conhecido como Space Pirates, levando os pesquisadores a acreditar que eles poderiam ser o mesmo grupo.

De acordo com a investigação, o grupo atua desde 2017 e tem se envolvido em ataques e campanhas de espionagem contra agências governamentais e empresas dos setores de TI, aeroespacial e energia, especialmente em países asiáticos.

Entre seus recursos usuais estão versões modificadas dos trojans de acesso remoto Trochilus, Gh0st RAT e 9002 RAT, usados como backdoor e espalhados por carregadores escondidos em documentos falsos.

Vale ressaltar que os RATs usados pelo Webworm permanecem difíceis de detectar por ferramentas de segurança, pois seus truques de evasão, ofuscação e anti-análise ainda são notáveis.

Ler mais 

Telefónica Tech
Telefónica Tech

A Telefónica Tech é a empresa líder na transformação digital. A empresa oferece uma ampla gama de serviços e soluções tecnológicas integradas em Cybersecurity, Cloud, IoT, Big Data e Blockchain.

Te puede interesar

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *