Boletim semanal de cibersegurança 18-24 setembro

Telefónica Tech    24 septiembre, 2021

Campanha de malware usando TeamViewer em sites sob IIS

Pesquisadores do Malwarebytes observaram uma campanha de distribuição de malware desde o início de setembro que faz uso de páginas anteriormente violadas sob a operação do servidor web da Microsoft, o Internet Information Services (IIS). O vetor de ataque consiste em exibir um certificado vencido falso alerta do tipo «Detectou um risco potencial de segurança e não estendeu a transição para [nome do site]. Atualizar um certificado de segurança pode permitir que essa conexão tenha sucesso. NET::ERR_CERT_OUT_OF_DATE.» que, por sua vez, sugere ao usuário o download de um «instalador de atualização» malicioso que realmente ofusca o conhecido Trojan TVRAT. Uma vez que a vítima execute o software malicioso, ele será instalado ao lado do software de controle remoto TeamViewer, concedendo ao ator de ameaças comunicação direta com seu servidor de comando e controle e controle total sobre o computador comprometido. Até o momento, os métodos específicos usados para comprometer os servidores IIS não são conhecidos exatamente, embora existam diferentes códigos de exploração disponíveis que a própria Microsoft corrigiu em maio passado (CVE-2021-31166). 

Os pesquisadores de segurança da Microsoft divulgaram detalhes de uma campanha maciça de phishing como serviço (PHaaS) que usa uma infraestrutura semelhante à hospedagem e oferece diferentes serviços para atores de ameaças, como kits de phishing e modelos. De acordo com a pesquisa, o BulletProofLink, que é como esta campanha é chamada, vai além dos kits tradicionais de phishing, isso porque após um registro inicial em seu portal após o pagamento de US$ 800, oferece um serviço abrangente com serviço de hospedagem, geração de domínios, envio de e-mails, coleta de credenciais e logins roubados e que,  posteriormente, ele pode evoluir com modificações dos modelos de phishing entre os mais de 120 que estão disponíveis. No entanto, a Microsoft já avisou que os operadores bulletProofLink enganam seus próprios clientes armazenando as credenciais roubadas nos ataques materializados para acabar vendendo-os em outros fóruns subterrâneos. Estima-se que a campanha passou a ser usada até o momento com mais de 300 mil subdomínios únicos da criação recente, o que mostra a magnitude do impacto desta campanha.

Bug na divulgação automática do Microsoft Exchange permite extrair credenciais

Amit Serper, engenheiro de segurança da Guardicore, descobriu uma falha de implementação no protocolo de autodiscover do Microsoft Exchange que poderia permitir a extração de credenciais. O Autodiscover é um protocolo usado pelo Microsoft Exchange para fornecer aos seus clientes uma maneira simples e automática de configurar o cliente Exchange e seus diferentes aplicativos, como o Outlook, em sua infraestrutura. Uma vez instalado, o processo normal é que o aplicativo solicite o nome de usuário e a senha para proceder automaticamente à configuração do cliente, tentando criar uma URL de autodiscover (Autodiscover.TLD) com base no endereço de e-mail fornecido pelo usuário. No caso de nenhuma das URLs autogeradas responder, uma fase de backspace começa que sempre tende a falhar porque tenta resolver a parte automática do domínio (Autodiscover.TLD), vendo que quem possui o domínio Autodiscover.TLD receberia todas as solicitações que não chegam ao domínio original. Para testar a falha, Serper e sua equipe compraram diferentes domínios de autodiscover com diferentes TLDs, recebendo solicitações de um grande número de clientes em vários setores. Após os testes realizados, o Guardicore teria obtido mais de 90.000 credenciais exclusivas de vários aplicativos, como o Outlook e mais de 350.000 credenciais de domínio do Windows, determinou que a afetação é global.

Nova vulnerabilidade de 0 day na Apple explorada em dispositivos iOS e macOS

Pesquisadores de segurança do Google relataram à Apple uma nova vulnerabilidade de 0 day que afeta dispositivos iOS e macOS.  Além disso, a própria Apple reconheceu que essa falha pode estar sendo ativamente explorada na rede por atores de ameaças. Especificamente, a vulnerabilidade está localizada no kernel do sistema operacional XNU, que foi registrado sob CVE-2021-30869 e, por enquanto, não foi atribuída sua criticidade sob a escala CVSSv3. No entanto, deve-se notar que este é um bug tipo «confusão tipo» que pode levar à execução de código arbitrário em um dispositivo comprometido, de modo que sua criticidade em qualquer caso é considerada alta. Vale ressaltar que somente neste ano de 2021, a Apple já teve que resolver mais de 10 vulnerabilidades de 0 day. Neste caso, os patches correspondentes que resolvem o problema já estão disponíveis para os seguintes dispositivos afetados: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, iPod touch (6ª geração) com iOS 12.5.5 e Mac com atualização de segurança 2021-006 Catalina.

PackageDNA, nossa estrutura de análise de pacote de desenvolvimento que estreou na BlackHat

Diego Samuel Espitia    21 septiembre, 2021

Após vários meses de pesquisa e desenvolvimento, durante o evento BlackHat USA 2021 Arsenal, apresentamos nossa ferramenta de análise profunda para pacotes de desenvolvimento que chamamos de PackageDNA. Foi o que pôde ser visto durante a palestra “Scanning DNA para detectar pacotes maliciosos em seu código”, cujo objetivo foi mostrar o framework de análise de bibliotecas que foi programado para ajudar desenvolvedores e empresas a validar a segurança dos pacotes que estão sendo usados ​​em seus códigos.

Essa ferramenta surgiu quando nós, da equipe de Inovação e Laboratório, decidimos analisar o malware que está oculto nas bibliotecas de desenvolvedores. De vez em quando, tornava-se público que alguns deles suplantavam os originais, já no final de 2018, quando algumas bibliotecas PyPi foram alertadas. A história se repetiria muito desde então, mas como fazer a pesquisa sem uma ferramenta que facilite a pesquisa?

Nossa ideia inicial era levar apenas os pacotes PyPi, mas nos propusemos um desafio maior e a ideia evoluiu para levar as bibliotecas das principais linguagens de programação. Assim, tornou-se um framework, que deveria mostrar a cada pacote que analisou no PyPi, RubyGems, NPM e Go, os seguintes dados:

  • Metadados do pacote;
  • HASH de todos os arquivos que ele contém;
  • detecção de possíveis IoCs, como IPs, HASH, URLs e e-mails;
  • análise estática do código, com ferramenta open source para cada linguagem;
  • análise usando AppInspector, ferramenta de código aberto da Microsoft para identificar componentes maliciosos;
  • validação de arquivos suspeitos contra Virustotal;
  • validação do relatório CVE no GitHub, levando em consideração a versão específica do pacote;
  • validação de pacotes gerados pelo mesmo usuário dentro da biblioteca e em outras linguagens de programação;
  • verifique o possível typosquatting do pacote na mesma biblioteca.

Tudo isso terminou em uma estrutura poderosa que permite uma análise profunda das bibliotecas que estão sendo usadas no código que é analisado ou que está sendo criado, mas que também dá aos analistas de segurança uma visão estática da segurança do código, uma visão sobre comportamento do atacante e dados para inteligência de ameaças.

Como usar o PackageDNA?

O framework é desenvolvido em Python3 com um console interativo que permite ao usuário simplesmente selecionar o que deseja fazer. A primeira tela que o usuário vê é a seguinte:

A partir daqui você deve iniciar com a opção 7 a configuração de todas as ferramentas externas que estão associadas ao uso do framework (todas são de uso livre ou desenvolvimentos de código aberto). Como você pode ver na imagem a seguir, é apenas para carregar corretamente cada valor.

Depois que tudo estiver configurado, o usuário pode executar o seguinte nas bibliotecas PyPI, RubyGems, NPM e Go:

  1. Analise a versão mais recente de um pacote;
  2. analise todas as versões de um pacote e compare os resultados entre as versões;
  3. carregue uma lista de pacotes com versões específicas;
  4. faça upload de um pacote local para análise.

Para a análise de inteligência de ameaças, o usuário seleciona a opção 4 no painel inicial e permite que ele entre em outro painel onde pode realizar:

  1. Pesquisas dos pacotes gerados em cada uma das bibliotecas e desenvolvimentos carregados no github usando o nome de usuário que deseja investigar;
  2. analisar o «typosquatting» e «marksquiatting» encontrados em uma biblioteca específica de um pacote;
  3. pesquise por segmentos de código dentro de um pacote específico.

Embora a ferramenta seja desenhada sem um banco de dados que armazene todas as buscas, existe uma opção que permite revisar os resultados das análises realizadas e armazenadas localmente na máquina:

Tendo as informações inicialmente no console, mas com a opção de visualizá-las no navegador através do Flask, conforme pode ser visto nas imagens a seguir.

Ataques na cadeia de abastecimento, a melhor bancada de teste

Durante o desenvolvimento, os ataques à cadeia de suprimentos de software ganharam grande relevância no mundo, com relatos de vários pacotes que foram detectados como maliciosos em muitas bibliotecas que estavam ao nosso alcance. Não poderíamos ter um cenário de teste melhor.

Na verdade, fomos capazes de analisar versões do maratlib, um pacote PyPI que foi implantado para minerar criptomoedas maliciosamente e suplantou um pacote comumente usados em matemática chamado matplotlib.

Executando a ferramenta e utilizando a comparação nas duas versões, pudemos ver claramente o segmento de código malicioso que é detectado pelo AppInspector e que está presente em apenas uma das versões carregadas na biblioteca.

Mas, além disso, podemos observar os outros pacotes que aparecem no relatório e que são gerados usando técnicas de typosquatting.

Portanto, com esta estrutura, esperamos ser capazes de fornecer à comunidade de desenvolvedores e analistas de segurança de código um mecanismo simples, mas muito poderoso, para atingir seus objetivos. Você pode baixá-lo gratuitamente em https://github.com/telefonica/packagedna e estamos abertos aos seus comentários e contribuições para melhorar a ferramenta.

Boletim semanal de cibersegurança 10-17 setembro

Telefónica Tech    17 septiembre, 2021

S.O.V.A. – Novo Trojan bancário para Android

Os pesquisadores da Threat Fabric descobriram a existência, pelo menos desde o início de agosto, de um novo Trojan bancário para Android que eles chamaram de S.O.V.A., cujo principal objetivo seria a coleta de informações pessoalmente identificáveis (PII) das vítimas. É um Trojan que contém funcionalidades comuns neste tipo de malware, como a capacidade de realizar ataques de sobreposição, keylogging ou manipulação de notificações; mas também inclui outras funcionalidades menos comuns, como o roubo de cookies de login, o que permitiria aos invasores acessar logins válidos dos usuários sem precisar saber suas credenciais. No momento, o Trojan está em fase de desenvolvimento, e os autores estariam anunciando-o em fóruns subterrâneos com a intenção de poder testá-lo em vários dispositivos e implementar as melhorias necessárias. Segundo os pesquisadores, adaptações do malware já teriam sido detectadas, disponíveis para a representação de instituições bancárias nos Estados Unidos e Espanha fundamentalmente, embora em seu anúncio os autores ofereçam a possibilidade de adaptá-lo contra outras entidades de acordo com as necessidades do comprador.

Mais: https://www.threatfabric.com/blogs/sova-new-trojan-with-fowl-intentions.html

Vermilion Strike: versão não oficial de um Cobalt Strike Beacon

Pesquisadores da Intezer descobriram em agosto passado uma versão não oficial de um Cobalt Strike Beacon para sistemas Linux e Windows. Este Beacon, chamado Vermilion Strike, seria desenvolvido do zero por agentes de ameaças desconhecidos, sem compartilhar código com a versão oficial, e seria usado ativamente contra organizações em todo o mundo. O Vermilion Strike usa o mesmo protocolo do Cobalt Strike para se conectar aos servidores de Comando e Controle e tem recursos de acesso remoto, como carregar arquivos, executar comandos e modificar arquivos. Essa ameaça está em vigor desde agosto e seria usada em ataques direcionados contra empresas de telecomunicações, agências governamentais, tecnologia e instituições financeiras em todo o mundo. O objetivo final destes parece focar no trabalho de ciberespionagem.

Mais: https://www.intezer.com/blog/malware-analysis/vermilionstrike-reimplementation-cobaltstrike/

Operação Harvest: campanha de longa duração da ciberespionagem

Pesquisadores da McAfee publicaram a análise de uma operação de longo prazo que eles chamaram de «Harvest». A descoberta dessa atividade começou com a análise de um incidente de malware que foi expandido para ser configurado como um ataque cibernético de grande sofisticação que teria durado vários anos. O ator de ameaças iniciou suas incursões violando o servidor web da vítima, gerando persistência e instalando ferramentas que seriam usadas para coleta de informações, elevação de privilégios, movimentos laterais e execução de arquivos. Entre as ferramentas utilizadas estão PSexec, Procdump, Mimikatz, RottenPotato e BadPotato.  Além de usar um arsenal bastante grande de ferramentas, o agente de ameaças usou o malware PlugX e Winnti para aumentar os privilégios e obter um backdoor na infraestrutura da vítima. Com base nas análises realizadas, os pesquisadores estimam que o ataque foi realizado por um ator de origem chinesa que compartilha ligações com APT27 e APT41.  Seu objetivo principal teria sido manter sua presença dentro da infraestrutura da vítima para exfiltrar informações de inteligência para fins comerciais ou militares.

Mais: https://www.mcafee.com/blogs/enterprise/mcafee-enterprise-atr/operation-harvest-a-deep-dive-into-a-long-term-campaign/

Detalhes adicionais sobre as campanhas de exploração do 0 day em Microsoft MSHTML

Pesquisadores da Microsoft publicaram uma análise detalhada dos primeiros ataques detectados nos quais a vulnerabilidade CVE-2021-40444 teria sido explorada, bem como sua potencial atribuição. As primeiras campanhas datam de agosto, com e-mails sob o pretexto de acordos legais ou contratuais em que documentos maliciosos estavam hospedados em sites legítimos de compartilhamento de arquivos para a distribuição de carregadores com balizas Cobalt Strike. A carga final não foi marcada por sistemas Windows como baixado de uma fonte externa, por isso foi executada diretamente, sem interação do usuário, evidenciando assim a exploração da vulnerabilidade. A autoria desses ataques iniciais, segundo a Microsoft, aponta para o DEV-0365, um grupo em desenvolvimento sob o qual um conjunto de atividades fraudulentas associadas à infraestrutura cobalto Strike é agrupado. No entanto, eles também indicam que parte da infraestrutura que hospedou os documentos maliciosos iniciais pode estar relacionada com cargas de BazarLoader e Trickbot, atividade associada ao ator de ameaças DEV-0193 (também conhecido como UNC1878 ou Wizar Spider).  Apesar desses vínculos com atores genéricos, da Microsoft eles têm desejado diferenciar essa atividade de exploração da vulnerabilidade para um novo grupo chamado DEV-0413, uma vez que indicam que não estaríamos enfrentando campanhas genéricas, mas que os e-mails de phishing estavam muito alinhados com as operações comerciais das organizações que foram atacadas. Além da investigação da Microsoft, nos últimos dias, pesquisadores de segurança no Twitter também têm alertado para a detecção de campanhas de spam que estariam distribuindo o Trojan Ramint explorando o mesmo bug.

Mais:  https://www.microsoft.com/security/blog/2021/09/15/analyzing-attacks-that-exploit-the-mshtml-cve-2021-40444-vulnerability/

OMIGOD: Vulnerabilidades na cadeia de fornecimento de nuvens

A equipe de pesquisadores da Wiz descobriu recentemente uma série de vulnerabilidades no agente de software Open Management Infrastructure (OMI), incorporado em muitos dos produtos mais populares do Azure. Especificamente, são quatro vulnerabilidades classificadas como CVE-2021-38647 CVSS 9.8, CVE-2021-38648 CVSS 7.8, CVE-2021-38645 CVSS 7.8 e CVE-2021-38649 CVSS 7.0, coletivamente referido como «OMIGOD». O risco está nos clientes que usam máquinas virtuais Linux na nuvem, uma vez que o agente OMI é executado automaticamente e sem o conhecimento dos usuários ao habilitar determinados serviços no Azure (por exemplo, Log Analytics, Diagnósticos, Gerenciamento de Configuração, etc.), para que essas vulnerabilidades no OMI possam permitir que um potencial invasor aumente para privilégios raiz e execute códigos maliciosos remotamente. A Microsoft lançou a versão corrigida do OMI 1.6.8.1., por isso é aconselhável atualizá-lo o mais rápido possível, já que de acordo com os pesquisadores milhares de clientes do Azure e milhões de pontos finais seriam afetados.

Mais: https://www.wiz.io/blog/secret-agent-exposes-azure-customers-to-unauthorized-code-execution

Inteligência da Telefónica Tech reforça a capacidade da Vivo para a mitigação de ameaças em seu Backbone

Eliane Lima Rodrigues    15 septiembre, 2021

Cybersecurity é o assunto do momento, qualquer segmento que trate o seu negócio precisa proteger suas informações contra pessoas mal-intencionadas que tentam furtá-la.

Em um mundo cada vez mais conectado, onde vemos expandir a Internet das Coisas (IoT) para quase tudo, cresce também nossa preocupação com a cibersegurança de elementos importantes da nossa vida, como câmeras, fechaduras eletrônicas, assistentes eletrônicos, lâmpadas e eletrodomésticos inteligentes, até geladeiras estão conectadas agora. Então o que devemos fazer?

Os ataques de phishing, malware e de engenharia social vem crescendo em uma proporção enorme, tem exigido que o bloqueio de conteúdos falsos e ações de redução de danos de malwares aconteça cada vem em um tempo menor, antes que clientes e empresas percam dinheiro, se tornando uma corrida contra o tempo.

E é aí que entra a Vivo Empresas, com grande parte do tráfego de internet do Brasil passando em seu backbone e com uma equipe de ponta, conseguimos atuar rapidamente no bloqueio de conteúdos maliciosos dentro da nossa rede, enquanto as ações burocráticas de retirada efetiva do conteúdo do ar estão em andamento.  Isso traz um benefício aos negócios e aos clientes, em velocidade e eficiência para a cibersegurança de seus negócios, uma vez que esses conteúdos deixam de serem visualizados e acessados a partir de uma grande parcela da população brasileira, evitando inúmeras perdas.

Hoje grandes clientes, com excelentes equipes de análise de segurança usam o nosso serviço como um aliado importante, criando uma estratégia de mitigação em um curto espaço de tempo, inibindo o acesso de rede e a concretização de fraudes com clientes que acessam a partir do backbone da Vivo.

Então a Vivo também fala de cibersegurança? A resposta é sim, a Vivo com sua provedora global de serviços de cibersegurança, a Telefônica Tech, vem trabalhando continuamente para auxiliar no segurança das informações dos seus clientes e para os seus clientes, reduzindo o cenário de risco tanto para as empresas parceiras quanto para seus clientes que nos contratam como sua operadora;

Além do serviço de Mitigação de Ameaças no Backbone da Vivo, com a Telefônica Tech, estamos trazendo novidades em governança, compliance, risco, transformação digital, gerenciamento e detecção e resposta e recuperação, com um portfolio novo e arrojado de proteção a informações.

Então daqui pra frente, quando pensar em segurança no seu negócio pense Telefonica Tech e Vivo Empresas.

A vitória está em suas idéias

Telefónica Tech    13 septiembre, 2021

A vitória nem sempre é uma questão de números. Para vencer, é preciso acreditar no que se faz, confiar em sua equipe e estar sempre disposto a melhorar. Superar as probabilidades não é uma tarefa fácil e nosso #LadyHacker sabe disso. Somente através da análise da situação, da capacidade de convencer e, acima de tudo, do valor do trabalho em equipe, nós ganhamos jogos.

Como a vitória está em suas idéias, apresentamos o quarto vídeo da campanha #LadyHacker 2021, a iniciativa global da Telefónica que visa tornar mais visível o papel da mulher no setor de tecnologia e conscientizar nossas meninas sobre seu potencial para estudar carreiras na STEM. JOGUE!

Participe da iniciativa #LadyHacker e ESTAMOS ESPERANDO POR VOCÊ!

Boletim semanal de cibersegurança 28 agosto – 3 setembro

Telefónica Tech    3 septiembre, 2021

PoC disponível e varreduras detectadas para RCE na Confluence

Na última quarta-feira, 25 de agosto, a Confluence publicou um aviso de segurança para alertar sobre uma vulnerabilidade no Confluence Server e data center em versões anteriores a 6.13.23, 7.4.11, 7.11.6, 7.12.5 e 7.13.0. Em sua nota, a empresa esclareceu que a decisão não afetou os clientes da Confluence Cloud. A vulnerabilidade, que recebeu o identificador CVE-2021-26084 e um CVSS de 9.8, é especificamente uma vulnerabilidade de injeção OGNL(Object-Graph Navigation Language) que permitiria a um usuário autenticado e, em alguns casos, até mesmo um usuário não autenticado, executar código arbitrário em uma instância do Confluence Server ou data center. Apenas alguns dias depois, no domingo, 29 de agosto, alguns pesquisadores de segurança anunciaram que tinham conseguido executar o código remotamente sem autenticar relativamente facilmente, mas eles ainda não divulgaram os detalhes do PoC, fato que eles atrasaram alguns dias até ontem, 1º de setembro. Apesar de não tornar o PoC público inicialmente, em 31 de agosto já estava começando a ser alertado para a detecção de varreduras maciças de servidores vulneráveis da Confluence.

ChaosDB – Vulnerabilidade Crítica no Microsoft Azure Cosmos DB

Os pesquisadores de segurança do Wiz encontraram uma vulnerabilidade crítica no Azure, a plataforma de nuvem da Microsoft, que permitiria a aquisição remota, de direitos de administrador, da conta do banco de dados Cosmos DB. Devido à gravidade da vulnerabilidade, os pesquisadores não publicaram todos os detalhes técnicos e os meios para explorá-la, embora detalhem que o ChaosDB seria produzido a partir da exploração acorrentada de uma série de vulnerabilidades encontradas na função De Caderno Jupyter da Cosmos DB. Ao explorar essas vulnerabilidades, um ator mal-intencionado poderia obter credenciais relacionadas ao alvo Cosmos DB, Jupyter Notebook e Jupyter Notebok Storage. Com essas credenciais, o invasor já poderá visualizar, modificar e excluir dados na conta Cosmos DB. Em seu artigo, Wiz teria incluído um vídeo no qual eles mostram a exploração das falhas indicadas. Por parte da Microsoft, corrigiu a falha em 12 de agosto, menos de 48 horas após ser alertado do Wiz, e alguns dias depois, em 26 de agosto, notificado através de um aviso enviado a aproximadamente 30% dos clientes da Cosmos DB sobre a possível violação de segurança. Em seu aviso, a Microsoft indicou que não tinha registro da exploração da vulnerabilidade, mas aconselhou a regenerar as chaves primárias como medida de segurança.  Por sua vez, a Wiz indica que o volume de clientes potencialmente afetados em sua opinião é maior do que o que a Microsoft teria avisado, e eles recomendam que todos os clientes adotem as medidas de segurança recomendadas..

ProxyToken – Nova vulnerabilidade no Microsoft Exchange

Pesquisadores de segurança da Iniciativa Zero Day divulgaram detalhes técnicos sobre uma grave vulnerabilidade no Microsoft Exchange Server chamada ProxyToken. A falha, catalogada com o identificador CVE-2021-33766 e que recebeu um CVSSv3 de 7.3, é especificamente uma vulnerabilidade de divulgação de informações que poderia revelar as informações pessoais das vítimas ou dados confidenciais da empresa, entre outros. O Microsoft Exchange usa dois sites da Web: o front-end, ao qual os usuários se conectam para acessar e-mails, e que funciona em grande parte como um proxy para o back-end, para o qual ele passa solicitações de autenticação. O problema atualmente identificado surge em uma função chamada DelegatedAuthModule, onde o frontend passa solicitações de autenticação, que contêm um cookie SecurityToken que os identifica, diretamente para o back-end.  Quando o front-end recebe uma solicitação de autenticação com o cookie SecurityToken, ele sabe que o back-end é o único responsável por autenticar essa solicitação. No entanto, o back-end não está completamente ciente de que precisa autenticar algumas solicitações recebidas com base no cookie SecurityToken, já que o DelegatedAuthModule não está carregado em instalações que não foram configuradas para usar o recurso de autenticação delegado especial. O resultado final é que as solicitações podem passar, sem serem submetidas à autenticação no front-end ou back-end.    A Microsoft abordou o problema como parte de suas atualizações de julho, e recomenda que todos os administradores de servidores do Exchange que não instalaram os patches correspondentes priorizem essa tarefa.

BrakTooth: Vulnerabilidades que afetam dispositivos Bluetooth

A equipe de pesquisadores do ASSET publicou um total de 16 avisos de segurança, abordando 20 vulnerabilidades que afetam a pilha de software Bluetooth de placas System-on-Chip (SoC) de onze fornecedores diferentes. Estima-se que os dispositivos afetados seriam em torno de bilhões, entre os quais estariam dispositivos móveis, equipamentos de computador ou tablets, entre outros. De acordo com os pesquisadores, a exploração dessas falhas de segurança poderia permitir que ataques de negação de serviço ou código malicioso fossem executados, embora o impacto fosse diferente dependendo do modelo de placa SoC e da pilha de software Bluetooth utilizada. Entre as vulnerabilidades identificadas está o CVE-2021-28139, que permite que o código remoto seja executado em dispositivos com placas SoC Espressif Systems ESP32 através de pacotes Bluetooth LMP. Até agora, apenas três dos fornecedores afetados lançaram patches: Espressif Systems, Infineon e Bluetrum. Outros, como a Intel, continuam a trabalhar nesta questão e alguns como a Texas Instruments indicaram que ele não vai resolver esse problema ou a Qualcomm, que só funcionará em uma parte delas.

Boletim semanal de cibersegurança 14-27 agosto

Telefónica Tech    27 agosto, 2021

Vulnerabilidades no Realtek exploradas para distribuir malware

Em meados de agosto, pesquisadores do IoT Inspector Research Lab divulgaram quatro vulnerabilidades em um software SDK distribuído em chipsets Realtek que afetaria milhares de dispositivos inteligentes de pelo menos 65 fornecedores. Entre os quatro bugs descobertos, destacou-se a vulnerabilidade crítica classificada com o identificador CVE-2021-35395 CVSSv3 9.8. A exploração efetiva desses erros permitiria que um agente de ameaça não autenticado comprometesse o dispositivo alvo e executasse código arbitrário. Embora a Realtek tenha lançado patches um dia antes do IoT Inspector publicar suas descobertas, pesquisadores da Rede perfeitas detectaram tentativas de explorar essas vulnerabilidades para espalhar uma variante do malware Mirai. Além disso, e de acordo com as varreduras da Rede Perfeita, os modelos de dispositivos mais comuns atualmente executando o SDK vulnerável da RealTek seriam os seguintes: extensor Netis E1+, roteador Wi-Fi Edimax N150 e N300, roteador Repotec RP-WR5444, recomendando que os proprietários entrem em contato com seus fornecedores para solicitar patches de firmware.

Mais: https://securingsam.com/realtek-vulnerabilities-weaponized/

38 milhões de registros expostos por configuração incorreta do Microsoft Power Apps

A equipe do UpGuard publicou um relatório sobre uma configuração incorreta no Microsoft Power Apps, o que teria resultado na exposição de mais de 38 milhões de registros de dados pessoais. O Microsoft Power Apps permite criar aplicativos personalizados para empresas e instituições, sendo capaz de habilitar a API OData (protocolo de dados aberto) para recuperar dados do usuário das listas de Aplicativos de Energia. Em 24 de maio, o UpGuard detectou que listas com dados de Aplicativos de Energia poderiam ser acessadas anonimamente usando a API Odata, porque o acesso não é limitado por padrão. A pesquisa descobriu milhares de listas acessíveis em centenas de portais, incluindo empresas privadas e administrações públicas; com uma diversidade de dados que vão desde e-mails, consultas de vacinação, nomes e sobrenomes, números de telefone ou números de segurança social. A Microsoft alterou as configurações padrão para resolver esse problema, além de contatar clientes afetados, assim como o UpGuard fez notificando 47 entidades afetadas.

Mais: https://www.upguard.com/breaches/power-apps

Nova exploração do iPhone usada para implantar spyware pegasus

Pesquisadores do Citizen Lab  detectaram uma nova exploração de iMessage de zero clique, apelidada de FORCEDENTRY, que teria sido usada para implantar o spyware Pegasus do NSO Group. Indica-se que isso teria sido usado nos iPhones de nove ativistas do Bahrein, incluindo membros do Centro de Direitos Humanos do Bahrein, Waad, Al Wefaq, entre junho de 2020 e fevereiro de 2021. Acredita-se que pelo menos quatro dos ativistas foram comprometidos pela LULU, uma operadora da Pegasus que é creditada com grande confiança ao governo do Bahrein. Além disso, destaca que um dos ativistas comprometidos já estava residindo em Londres quando ele estava envolvido, sendo este, portanto, o primeiro compromisso documentado feito pelo governo do Bahrein de um dispositivo que foi usado por um ativista na Europa. No relatório do Citizen Lab, também é afirmado que os ativistas foram comprometidos usando outra já conhecida exploração de clique zero iMessage apelidada de KISMET 2020.  Especialistas recomendam desativar o iMessage e o Face Time para evitar esse tipo de compromisso, embora considerem que a Pegasus tem muitas outras façanhas em seu arsenal.

Mais: https://citizenlab.ca/2021/08/bahrain-hacks-activists-with-nso-group-zero-click-iphone-exploits/

Vulnerabilidade no protocolo Kalay afeta milhões de dispositivos IoT

Pesquisadores da Mandiant descobriram, em coordenação com a Agência de Segurança cibernética e infraestrutura (CISA), uma vulnerabilidade em dispositivos IoT que empregam o protocolo de rede Kalay da fabricante ThroughTek. A vulnerabilidade, classificada como CVE-2021-28372, permite conexão remota não autorizada a dispositivos por um invasor, comprometendo assim sua integridade e permitindo escuta de áudio, visualização de vídeo em tempo real e até mesmo comprometimento de credenciais do dispositivo. O fabricante, por enquanto, não conseguiu determinar o número de dispositivos afetados devido à forma como o protocolo é integrado ao software dos produtos, porém, estima-se que existam pelo menos 85 milhões de dispositivos ativos que empregam esse protocolo. Versões anteriores ao 3.1.10 e 3.4.2.0 são afetadas por essa vulnerabilidade.

Mais: https://www.fireeye.com/blog/threat-research/2021/08/mandiant-discloses-critical-vulnerability-affecting-iot-devices.html

Vários invasores explorando vulnerabilidades do Exchange ProxyShell

O pesquisador de segurança Kevin Beaumont vem analisando a exploração massiva de vulnerabilidades no Microsoft Exchange Server conhecido como ProxyShell, um conjunto de bugs revelados por Orange Tsai no BlackHat e contendo as seguintes vulnerabilidades: CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207.  Em sua publicação, Beaumont, além de explicar como identificar possíveis sistemas afetados, também aponta a urgência de corrigir essas vulnerabilidades o mais rápido possível, uma vez que de acordo com uma investigação realizada pela Symantec o grupo de ransomware chamado LockFile estaria aproveitando essas vulnerabilidades nos servidores do Exchange para acessar as redes das vítimas e, em seguida, usar a vulnerabilidade do PetitPotam, que não foi totalmente corrigida, para acessar o controlador de domínio e, posteriormente, se espalhar pela rede. Até o momento, pelo menos 10 empresas afetadas pela campanha foram identificadas, localizadas principalmente nos Estados Unidos e na Ásia. Dada a gravidade da situação, a CISA também publicou um guia para identificar os sistemas afetados e possíveis correções. Por sua vez, a equipe do Microsoft Exchange emitiu um alerta sobre a publicação na semana passada de informações sobre as vulnerabilidades que são conhecidas em conjunto com o nome de ProxyShell. O motivo da publicação é confirmar que, com as atualizações dos boletins de maio e julho, os servidores do Exchange estariam protegidos contra o ProxyShell, além de alertar sobre a necessidade de manter esse tipo de serviços corretamente atualizados. Dentro do artigo, também são fornecidos uma série de pontos, a fim de identificar servidores vulneráveis do Exchange. Da mesma forma, pesquisadores da Huntress publicaram nos últimos dias várias atualizações no post onde estão analisando essas vulnerabilidades, para relatar a detecção de mais de 140 webshells que teriam sido instalados em servidores vulneráveis, pertencentes a empresas de diferentes setores e tamanhos. De acordo com os pesquisadores, algumas das datas em que as configurações teriam sido modificadas datam dos meses de março, abril, junho e julho, para que pudessem estar relacionadas ao ProxyLogon.

Mais: https://doublepulsar.com/multiple-threat-actors-including-a-ransomware-gang-exploiting-exchange-proxyshell-vulnerabilities-c457b1655e9c

Os sistemas de controle industrial são o novo alvo dos criminosos?

Diego Samuel Espitia    25 agosto, 2021

Criminosos cibernéticos industriais

Há alguns dias publicamos o relatório de segurança cibernética do primeiro semestre do ano, onde você pode encontrar um capítulo especial sobre as ameaças no mundo OT, também conhecido como Sistema de Controle Industrial (ICS, Industrial Control System), retirado do metahoneypot que a área de inovação e laboratório implantou no C4IN, que é chamado de Aristeo.

Nas 24 horas anteriores, a Aristeo havia detectado quase 3.000.000 eventos de segurança cibernética direcionados a essas infraestruturas. Nos últimos seis meses, testemunhamos como as infraestruturas críticas, que baseiam sua operação no ICS, têm sido notícia de primeira página em todo o mundo, com casos como o Colonial Pipeline Ransomware, a detecção de bugs nos sistemas Schneider Electric, implicações do caso SolarWinds em ambientes industriais, entre outros.

Por que os incidentes são tão sérios?

O mundo do ICS migrou rapidamente para a digitalização, a Indústria 4.0 avançou com a pandemia aos trancos e limites e está aqui para ficar. No entanto, nem todas as mudanças foram feitas com a proteção dessa infraestrutura em mente, nem levaram em conta que os protocolos e conexões que eles lidam não estão necessariamente atualizados ou preparados para lidar com o tráfego que é comum nas redes de TI.

Isso torna alguns dispositivos muito mais propensos a negações com uma simples varredura de porta ou alguns consoles HMI têm sistemas operacionais obsoletos à medida que suportam o software para o DCS ou SCADA que gerenciam.

Outro indicador claro das fraquezas da segurança cibernética do ICS é o aumento dos relatórios de vulnerabilidade emitidos pela CISA, que só em julho de 2020 contabilizaram um total de 21 relatórios, enquanto no mesmo mês de 2021 foram 41 relatórios.

Outro indicador claro da falta de salvaguardas que têm sido em vigor durante a pandemia para a migração da indústria para a digitalização é o aumento das detecções de equipamentos com protocolos industriais por motores de Internet, como visto nos resultados do ZoomEye.

Toda ação tem consequências.

A soma de todos esses indicadores de má gestão da segurança cibernética tem gerado reações dos diferentes atores envolvidos nos ataques, por um lado está claro que a indústria criminosa começou a direcionar suas ações para os setores de controle industrial, embora a história dos incidentes do ICS seja longa e tenha casos muito importantes nos últimos 12 anos.

E gerou uma reação dos Estados, que viram como as infraestruturas críticas de seus países foram afetadas por essas organizações, gerando novas políticas e obrigações para os operadores dessas infraestruturas. Sem dúvida, o país mais afetado tem sido os Estados Unidos, razão pela qual, no final de julho, a Casa Branca emitiu um memorando que obriga os operadores responsáveis pelo funcionamento da infraestrutura crítica para melhorar a segurança cibernética de suas operações.

No entanto, não é o único país a ter tomado medidas presidenciais. Após uma série de incidentes, a Austrália decidiu implementar melhorias nas políticas estaduais para reforçar a proteção crítica da infraestrutura.

Que tipo de ação deve ser tomada?

As empresas já começaram a agir e buscar ao mercado opções para melhorar sua postura de segurança cibernética em ambientes de controle industrial, como pode ser facilmente visto pela forma como as empresas de auditoria começaram a firmar acordos comerciais com empresas do setor de segurança cibernética.

Nós da Telefónica Tech estamos cientes da importância deste setor e da necessidade de estar na vanguarda da segurança cibernética, e no último ano temos sido investidores na Nozomi Networks. Também criamos o laboratório de inovação C4IN, lançado em 2019, onde vários desenvolvimentos foram gerados para melhorar a segurança cibernética industrial e onde a Aristeo, o metahoneypot para inteligência de ameaças no setor, foi criado

Isso dá uma ação clara que, com estudos de caso, contribui para a melhoria da segurança cibernética nos ambientes industriais e permite minimizar a eficácia das ações criminosas que têm aumentado para esse setor empresarial.

Boletim semanal de cibersegurança 1-16 Agosto

Telefónica Tech    17 agosto, 2021

Vulnerabilidades em serviços DNS-as-a-Service

Os pesquisadores Shir Tamari e Ami Luttwak, da empresa de segurança Wiz, revelaram várias vulnerabilidades na conferência de segurança Black Hat que podem afetar os serviços DNS-as-a-Service (DNSaaS). Especificamente, eles alegaram que um deles teria sido testado e explorado com sucesso em pelo menos três provedores de nuvem, como AWS, Route53 e Google Cloud Platform. Eles também observaram que todos os provedores de DNSaaS podem ser vulneráveis. Essa falha ocorre porque a maioria dos provedores de DNS não coloca seus próprios servidores DNS na lista negra em seus back-ends. Os pesquisadores confirmaram que, se explorado, um ator de ameaça pode exfiltrar informações confidenciais de redes corporativas, como endereços IP internos e externos, NTLM ou tíquetes Kerberos, e pode até mapear a empresa. Wiz afirma que eles foram capazes de coletar informações de mais de 15.000 organizações em 14 horas, afirmando que o risco é alto. Por sua vez, a Amazon e o Google publicaram atualizações que resolveriam esta falha, esta segunda afirmando à The Record Media que não encontraram atividade maliciosa relacionada.

https://www.blackhat.com/us-21/briefings/schedule/#a-new-class-of-dns-vulnerabilities-affecting-many-dns-as- service-platforms-23563

Campanhas maliciosas usando Prometheus TDS para distribuir malware

Os pesquisadores do Grupo IB publicaram a análise de duas campanhas maliciosas que usam o serviço clandestino Prometheus Traffic Direction System (TDS) para a distribuição de diferentes famílias de malware, como BazarLoader, IcedID, QBot, SocGholish, Hancitor e Buer Loader. A Cyber Kill Chain usada em uma infecção em que o serviço Prometheus TDS foi usado é multifase. Primeiro, a vítima recebe um e-mail malicioso em que três itens diferentes podem ser anexados: um arquivo HTML, um link para um webshell ou um documento do Google Docs; todos eles acabariam redirecionando a vítima para sites maliciosos controlados pelo Prometheus. Após acessar a URL maliciosa, inicia-se a segunda fase, que visa baixar o Prometheus Backdoor, ferramenta responsável por coletar dados do usuário como IP, Agente do Usuário ou referência, entre outros. Depois de coletados os dados, eles são enviados ao painel gerenciado pelo Prometheus TDS e, após serem analisados, a vítima é redirecionada para uma nova URL ou um arquivo malicioso Word, Excel, ZIP ou RAR é enviado para download. as famílias de malware mencionadas. Segundo os

investigadores, localizaram duas diferentes campanhas ativas, uma dirigida contra a população belga e outra contra empresas, universidades e organizações governamentais dos Estados Unidos. https://blog.group-ib.com/prometheus-tds

Ataques no Microsoft Exchange: ProxyOracle e ProxyShell são adicionados ao ProxyLogon

O pesquisador de segurança Orange Tsai publicou dois artigos em uma série de quatro, nos quais pretende compilar as informações que descobriu sobre novos tipos de ataques à infraestrutura do Microsoft Exchange. A origem desta investigação reside na descoberta do ProxyLogon, um ataque a partir do qual se descobriu que não estávamos tanto perante vulnerabilidades isoladas, mas que estávamos perante um novo campo de ataque e decidiu-se aprofundar a investigação. Como resultado disso, ele detalha oito novas vulnerabilidades, algumas descobertas junto com outras assinaturas e agrupadas em três tipos de ataques:

  • ProxyLogon (CVE-2021-26855 / CVE-2021-27065)
  • ProxyOracle (CVE-2021-31196 / CVE-2021-31195): Ao simplesmente direcionar um usuário para visitar um link malicioso, o ProxyOracle permite que um invasor recupere a senha de um usuário em texto simples.
  • ProxyShell (CVE-2021-34473 / CVE-2021-34523 / CVE-2021-31207): Vulnerabilidades apresentadas em Pwn2Own 2021 para as quais os detalhes ainda não foram publicados, mas que, conforme confirmado, permitiriam assumir o controle de um servidor Exchange usando evasão de autenticação e escalonamento de privilégios.

Todas as oito vulnerabilidades, incluindo CVE-2021-33768, que não foi associada a nenhum dos três tipos de ataque anteriores, foram corrigidas pela Microsoft. No entanto, como já acontecia quando as vulnerabilidades do ProxyLogon eram conhecidas, os pesquisadores de segurança apontam para o aumento da varredura de servidores vulneráveis contra esses ataques. https://devco.re/blog/2021/08/06/a-new-attack-surface-on-MS-exchange-part-2-ProxyOracle/

StealthWorker Botnet Ataques de força bruta contra dispositivos Synology

A equipe de resposta a incidentes da Synology detectou um aumento no volume de ataques de força bruta contra seus dispositivos. Os pesquisadores acreditam que os ataques tiveram origem no botnet conhecido como StealthWorker, identificado por Malwarebytes em uma campanha de força bruta em fevereiro de 2019. Nesses ataques, vários dispositivos já infectados são usados para lançar ataques de força bruta nos quais são testados o administrador mais comum credenciais em outros dispositivos. Se for bem-sucedido, o agente de ameaça obterá acesso ao sistema para instalar malware que pode incluir recursos de criptografia (ransomware). Além disso, de acordo com os dados coletados, os sistemas afetados podem, por sua vez, ser usados em ataques a outros dispositivos baseados em Linux,

incluindo o NAS (Network-Attached-Storage) da Synology. A empresa recomenda fortemente que seus clientes revisem seus sistemas para modificar credenciais fracas, ativar bloqueio automático e proteção de conta, bem como ter, se possível, um sistema de autenticação MFA (Multi-Factor Authentication). https://blog.cyble.com/2021/08/08/one-million-credit-cards-leaked-in-a-cybercrime-forum-for-free/

Boletim informativo mensal da Microsoft

A Microsoft lançou seu boletim de segurança de agosto, que inclui correções para 44 vulnerabilidades, sete delas críticas. Dentro do conjunto de vulnerabilidades, a empresa corrigiu três novos dias 0, um dos quais já está sendo explorado ativamente:

  • CVE-2021-36948: Vulnerabilidade de elevação de privilégio do sistema Windows Update Medic, para a qual a exploração ativa foi detectada.
  • CVE-2021-36942: Vulnerabilidade de falsificação de LSA do Windows.
  • CVE-2021-36936: Vulnerabilidade de execução remota de código do Windows Print Spooler.

Além disso, é relevante mencionar que a Microsoft corrigiu importantes vulnerabilidades que surgiram nas últimas semanas, entre as quais se destacam:

  • PrintNightmare CVE-2021-34527: Embora a parte de execução remota de código já tenha sido corrigida, o componente de elevação local de privilégios CVE-2021-34481 não foi, o que pode ser explorado através da função Apontar e Imprimir para instalar drivers para impressão maliciosa.
  • PetitPotam CVE-2021-36942: O vetor que permitia explorar a falha de segurança por não conseguir forçar um controlador de domínio a se autenticar em outro servidor foi corrigido.

Por fim, também vale destacar a atualização de uma vulnerabilidade CVE-2020-0765 no Remote Desktop Connection Manager (RDCMan), um aplicativo cujo uso foi desencorajado pela Microsoft em março de 2020, mas que voltou à vida neste mês de junho com o lançamento da versão 2.8. No boletim de agosto, a Microsoft anuncia uma nova vulnerabilidade no aplicativo e recomenda a atualização para a versão 2.82. https://msrc.microsoft.com/update-guide/releaseNote/2021-Aug

LockBit Anuncia Violação de Dados da Accenture

O grupo Ransomware-as-a-Service Lockbit anunciou esta semana, por meio de seu portal dark web, a publicação de uma série de dados relacionados à empresa Accenture, que poderiam ter sido roubados durante um ataque de

ransomware do grupo. De acordo com um relatório do Cyberscoop, a multinacional conseguiu detectar o incidente em 30 de julho e, como resultado, os servidores comprometidos foram isolados, a ameaça mitigada e os sistemas afetados restaurados por meio de cópias de backup. Isso implicaria que, atualmente, o nível de risco de possível infecção é praticamente inexistente para sistemas que têm comunicação direta com redes Accenture. Da mesma forma, a empresa reconhece que os invasores teriam tido acesso a documentos que se referiam a um número reduzido de clientes e materiais de trabalho que a empresa teria preparado para seus clientes, mas que em nenhum caso esses documentos têm um nível muito alto de confidencialidade. alta. Em resposta aos vazamentos dos operadores LockBit, o grupo publicou um primeiro vazamento na quarta-feira, que excluiu logo em seguida para adiar imediatamente a data e hora de publicação de novas informações. Um dia depois, eles forneceram evidências da violação dos sistemas da Accenture e reiniciaram a contagem regressiva em seu portal, anunciando uma terceira data para 13 de agosto às 22h43 (horário espanhol). https://www.cyberscoop.com/accenture-ransomware-lockbit/

Cibercrime em Robótica, pesquisa da Alias Robotics que viaja para Black Hat

Víctor Mayoral-Vilches    10 agosto, 2021

Robôs industriais são seguros? É a dúvida com que essa análise começa, a partir da Alias Robotics, trabalhamos em conjunto com a TrendMicro em uma pesquisa sobre segurança robótica na qual pesquisadores da Universidade Alpen-Adria-Universität Klagenfurt da Áustria também participaram. Esta análise resultou em um relatório detalhado que inclui novos resultados no campo da pesquisa de ameaças e vulnerabilidades na robótica que alertam para os graves riscos desses dispositivos.

A pesquisa, que será apresentada no prestigiado evento de cibersegurança Black Hat 2021,inclui uma nova metodologia na qual, graças a uma abordagem ofensiva e complementar, a proteção dos robôs industriais é alcançada de forma viável e oportuna.

Chapéu Preto 2021

Como mencionamos, este evento é um dos mais respeitados e importantes no cenário internacional de cibersegurança, que este ano é realizado em Las Vegas entre 31 de julho e 5 de agosto. A crescente preocupação com a segurança dos ambientes OT e os riscos enfrentados pelo setor industrial levou os organizadores a nos selecionar como palestrantes, algo que poucas empresas no mundo podem dizer e que demonstra como essa startup está liderando o campo da cibersegurança de robôs desde 2018.

obsolescência programada

Da mesma forma que a Ford na década de 20, muitos fabricantes de robôs realizam práticas de obsolescência organizando distribuidores e integradores em redes privadas, fornecendo peças de reposição apenas para certas empresas na tentativa de desencorajar reparos e eliminar a concorrência.

A investigação descobriu mais de 100 vulnerabilidades que afetam vários fabricantes. Entre os resultados obtidos, observou-se uma tendência da Teradyne, onde duas das empresas de robótica que possui (Robôs Universais e Robôs Industriais Móveis) apresentaram dezenas de vulnerabilidades. Este é um caso especialmente interessante porque seus robôs se anunciam como colaborativos, isso significa que eles aumentam as capacidades físicas humanas sem causar danos.

Os resultados da pesquisa mostram que a desmontagem de robôs pode ajudar a indústria robótica e a cadeia de suprimentos melhorando significativamente a qualidade, a segurança e a proteção, além disso, as práticas de obsolescência programada são apreciadas, como dissemos. Defendemos o «direito de reparar» na robótica e encorajamos os usuários finais a reavaliarem suas necessidades de segurança tanto para suas cadeias de suprimentos quanto para os fabricantes.