Boletim semanal de cibersegurança 8-14 maio

ElevenPaths    14 mayo, 2021

Ataque de ransomware em um dos maiores oleodutos da América

A empresa de energia norte-americana Colonial Pipeline foi afetada na última sexta-feira por um ataque de ransomware, fechando cerca de 8.800 km de oleodutos que fornecem petróleo bruto para a Costa Leste. Essa medida teria sido tomada preventivamente para evitar que o malware se espalhasse, mas, como indicado pela entidade, o ataque teria afetado apenas sua rede de TI corporativa, não sistemas OT. Várias fontes especializadas atribuem o  incidente à família de ransomware conhecida como DarkSide, que já foi responsável pelo ataque à Escola de Organização Industrial (EOI) na Espanha. Este ransomware adere às tendências atuais de dupla extorsão (exfiltração de dados e sua publicação em aberto) e modelo de negócios através de afiliações (Ransomware-as-a-Service). Após o incidente, o governo dos EUA declarou estado de emergência com o objetivo de mover o petróleo bruto necessário para a população via estrada. O impacto do incidente fez com que os operadores da DarkSide publicassem um comunicado à imprensa, alegando ser apolítico e não relacionados a nenhum governo. Da mesma forma, eles indicaram que, a partir de agora, revisarão seus alvos antes de cometerem seus ataques, já que o objetivo de sua organização é ganhar dinheiro e não «criar problemas sociais». O DarkSide funciona como Ransomware-as-a-Service, este modelo consiste em dois grupos de pessoas: os desenvolvedores do ransomware e seus afiliados que fornecem acesso às redes das vítimas. Após o incidente com a Colonial Pipeline, um maior controle sobre este segundo grupo é esperado pelos desenvolvedores da DarkSide. Em conexão com o ataque, estima-se que os operadores de ransomware exfiltiram cerca de 100GB de dados dos sistemas antes da rede criptografa-los, embora no momento eles ainda não tornaram esses arquivos públicos. Nas últimas horas, por meio da Bloomberg, afirmaram que a empresa teria formalizado o pagamento solicitado a fim de recuperar a normalidade, nada foi conformado pela Colonial Pipeline.

Microsoft corrige três vulnerabilidades de zero-day e quatro vulnerabilidades críticas

A Microsoft divulgou seu boletim de segurança para o mês de maio, trazendo a correção de 3 vulnerabilidades de zero-day, das quais não há evidências de exploração ativa, apesar de terem sido divulgadas antes de se tornarem públicas suas correções.

  • CVE-2021-31204– Vulnerabilidade de elevação de privilégio em .NET e Visual Studio.
  • CVE-2021-31207– A função de segurança ignora a vulnerabilidade no Microsoft Exchange Server. Essa falha de segurança foi descoberta na edição de 2021  do Pwn2Own que ocorreu no início de abril.
  • CVE-2021-31200 – Vulnerabilidade de execução remota de código nos utilitários comuns do Microsoft Neural Network Intelligence Toolkit.

Esta atualização abrange um total de 55 vulnerabilidades, 4 delas críticas (CVE-2021-31166 em HTTP Protocol Stack, CVE-2021-26419 no Internet Explorer, CVE-2021-28476 no Hyper-V e CVE-2021-31194 no Windows OLE), 50 importantes e, finalmente, uma de criticidade moderada. Nenhuma delas está sob exploração ativa.

Adobe corrige vulnerabilidade zero-day ativamente explorada

A Adobe corrigiu várias vulnerabilidades que afetam doze de seus produtos: Adobe Experience Manager, InDesign, Illustrator, InCopy, Genuine Service, Acrobat, Magento, Creative Cloud Desktop Application, Media Encoder, After Effects, Medium e Animate. Essas somam um total de 43 vulnerabilidades, incluindo uma vulnerabilidade de zero-day que afeta o Adobe Acrobat Reader e está listada como CVE-2021-28550. A Adobe indica que essa falha de segurança teria sido ativamente explorada em ataques limitados contra dispositivos Windows. Deve-se notar que essa vulnerabilidade pós-uso permite a execução remota de código, o que poderia permitir que os invasores executem comandos, instalem malware ou até mesmo a capacidade de acessar dispositivos de vítimas usando-o como um sistema operacional Windows e abrir um arquivo PDF malicioso especialmente projetado. A Adobe adverte seus clientes a atualizar versões vulneráveis o mais rápido possível.

FragAttacks: 12 novas vulnerabilidades no padrão Wi-Fi e suas implementações

Um pesquisador belga descobriu uma série de 12 novas vulnerabilidades que afetam dispositivos Wi-Fi, coletivamente chamados de FragAttacks. Essas vulnerabilidades podem ser usadas por invasores dentro do alcance Wi-Fi para injetar quadros em uma rede Wi-Fi protegida, fazendo com que a vítima use um servidor DNS controlado pelo ator da ameaça e, assim, interceptar o tráfego. Também permitiria, no caso de um roteador, contornar o firewall/NAT, permitindo que os invasores se comuniquem diretamente com dispositivos na rede Wi-Fi, o que pode resultar em ataques subsequentes a serviços vulneráveis. Entre as falhas identificadas, CVE-2020-24588, CVE-2020-24587  e CVE-2020-24586 são causadas por falhas no design do padrão WiFi, afetando a maioria dos dispositivos; enquanto cve-2020-26145,   CVE-2020-26144,   CVE-2020-26140 e CVE-2020-26143 residem em falhas de implementação, permitindo injeções triviais de quadros em redes Wi-Fi protegidas.  Outras 5 vulnerabilidades menos triviais também residem em falhas de implantação. O pesquisador garantiu que todos os produtos Wi-Fi são afetados por pelo menos uma vulnerabilidade, e a maioria dos produtos são afetados por vários. Uma série de recomendações de mitigação também foram fornecidas para aqueles que ainda não possuem patches.  

FiveHands: Ataques de ransomware de dupla extorsão direcionados às organizações

A Agência Americana de Cibersegurança (CISA) emitiu um alerta sobre uma nova variante do ransomware chamada FiveHands, que foi identificada em janeiro deste ano. Seus operadores empregam a técnica de dupla extorsão, já presente em numerosas famílias de ransomware e em que os agentes de ameaças reivindicam um resgate para descriptografar os sistemas violados e não publicar os dados roubados da organização. Em suas invasões, eles aproveitam ferramentas disponíveis publicamente, como o SoftPerfect Network Scanner for Discovery e o programa de gerenciamento remoto da Microsoft, psExec.exe, juntamente com o ServeManager.exe. Também é comum implantar malware SombRAT, capaz de coletar dados do sistema violado, bem como permitir o download e execução de DLLs nos sistemas afetados através de uma sessão SSL protegida. Além disso, o FiveHands tem recursos para excluir backups de sistemas ou/e quaisquer arquivos de recuperação. O FireEye identificou os operadores do FiveHands como UNC2447 em abril, vinculando-os a explorar uma vulnerabilidade de zero-day no SonicWall VPN(CVE-2021-20016) para o qual os patches existem desde fevereiro.

Malware sem arquivo: ataques crescentes, mas controláveis

Diego Samuel Espitia    13 mayo, 2021

Por alguns anos, o WatchGuard gerou um relatório sobre a situação de segurança detectada na Internet. Após a compra do Panda, este relatório tornou-se ainda mais importante, pois contém detecções dos terminais finais, permitindo um amplo espectro de segurança que detalha melhor os tipos de incidentes ocorridos na Internet.

Assim, o último relatório mostrou um aumento bastante significativo nos ataques de malware sem arquivo, conhecidos como fileless malware, dos quais falamos há alguns anos devido ao perigo que representam e à sua difícil detecção, algo de que os criminosos obviamente estão se aproveitando. , observando o aumento de cerca de 900% no uso desta técnica de ataque se compararmos as amostras relatadas entre 2019 e 2020.

Origens

Esse problema é quase tão antigo quanto os sistemas operacionais, sendo a primeira amostra desse tipo de ameaça em 1987 com o chamado, que ganhou esse nome por ter sido desenvolvido na Lehigh University durante testes na carreira de informática. Porém, não causou danos ao sistema e foi retirado quando o computador foi reiniciado, pois ficava simplesmente alojado na RAM e a cada execução ou chamada de COMMAND.COM aumentava um contador que estava consumindo a memória e assim processos cada vez mais lentos na máquina.

Mas esse desenvolvimento alcançou um marco em termos de ataques, que sempre tiveram a premissa de poder hospedar o segmento malicioso no disco rígido para ser executado, algo que expõe qualquer sistema antivírus para detectar as características maliciosas do software. Desta forma, por não ter que chegar ao disco rígido, mas ficar apenas na memória, deu-lhes uma vantagem de não serem detectados, mas deixou-lhes muito pouca margem de ação no desenvolvimento de ataques sofisticados que requerem códigos extensos.

Como esses ataques são realizados?

Hoje em dia, kits de ferramentas como PowerSploit e CobaltStrike permitem que criminosos desenvolvam fileless malware muito mais avançado e preciso, sem ter que saber todos os detalhes de operação do sistema. Um exemplo disso é como com o PowerSploit uma DLL pode ser injetada com um comando simples, gerando ataques de sequestro de DLL sofisticados e simples.

Isso foi amplamente analisado nas matrizes MITRE ATT&CK, que ainda possuem uma análise PowerSploit, para que as equipes de defesa conheçam com antecedência as capacidades que este kit oferece ao atacante e em que técnica específica este tipo de ataque é utilizado.

Ainda dentro de nossa equipe, foi desenvolvido um framework que permite que equipes de ataque e defesa de empresas realizem investigações e detecções de possíveis violações de segurança utilizando o UAC-A-Mola, que possui diversos tipos de automações para contornar os controles de autenticação de usuários em sistemas Windows , principalmente usando ataques baseados em arquivo.

Como podemos nos defender?

Quanto à parte defensiva, os avanços que o Windows fez para conter essa ameaça são cada vez mais úteis e exigem implantações menos complexas nos esquemas de rede das organizações, como já discutimos em ocasiões anteriores em nosso blog, os recursos que foram alcançados com AMSI são, sem dúvida, um complemento fundamental para conseguir proteção contra o aumento iminente de ataques sem arquivo.

No entanto, na maioria das organizações os controles fornecidos por esta ferramenta nativa do sistema operacional não são implementados, com os quais qualquer fluxo de entrada poderia ser analisado e anomalias detectadas, um exemplo das capacidades fornecidas pelo AMSI foram aqueles que alcançamos com o AMSIext extensão do navegador, que fornece uma conexão entre o navegador e o AMSI, para que todos os scripts potenciais contidos em um site sejam analisados ​​por este motor, detectando qualquer possível anomalia para que o disco rígido não seja tocado durante a sua execução.

Outra forma normalmente usada por criminosos para executar ataques sem arquivo é combinar este ataque com a execução de macros em documentos de automação de escritório, que permitem o uso de recursos de programação de macro para baixar e montar código malicioso na memória, atrasando a detecção por sistemas antivírus tradicionais e tornando complexo de detecção para sistemas de endpoint.

Exemplo prático

Ataques como os gerados pelo IcedID, mostram como essa técnica é muito benéfica para os atacantes e integra o poder do sem arquivo dentro das técnicas, usando o PowerShell como ferramenta para baixar e instalar DLLs maliciosas, tornando suas ações quase indetectáveis ​​pelo antivírus, como visto em a imagem de análise do VirusTotal.

Com nossa ferramenta DIARIO, isolamos essas macros para sua análise e detecção de processos maliciosos, com os quais também podem ser integradas ao fluxo de análise que deve haver nos arquivos que chegam a uma organização, para mitigar esse tipo de ataque. Continuando com a análise do IcedID, podemos ver que a extração e análise das macros feitas com DIARIO indicam que são suspeitas de malware e nos mostram as três macros utilizadas para esse fim.

Como você pode ver, embora o aumento desses ataques seja exponencial, a eficácia dos ataques pode ser atenuada com várias ações:

  • A implementação de controles adequados em todos os terminais da rede.
  • A integração de ferramentas dos sistemas com extensões, ou desenvolvimentos que façam uso dessas capacidades sem a necessidade de implementações manuais.
  • Treinamento adequado e conscientização da equipe sobre como proceder para garantir que essas ferramentas sejam eficazes nas detecções e não que sejam ignoradas devido a práticas inadequadas de manuseio.

O futuro das credenciais universitárias aponta em direção a blockchain e Open Badges

Gonzalo Álvarez Marañón    11 mayo, 2021

Quer um diploma universitário em 48 horas e sem abrir um livro, por menos de 1.000 €? Não há problema. Você nem mesmo precisa ir para o Darknet. Pesquise no Google por «comprar diploma universitário falso» ou «mercado de diplomas falsos» e você encontrará dezenas de provedores que garantem a você uma réplica do diploma e da universidade que você escolher, por um preço pequeno, variável em função do prestígio buscado. Eles podem até falsificar diplomas emitidos por universidades fictícias, algumas tão ilustres quanto as de Miskatonic. Vale tudo porque a sua vocação de serviço é «ajudá-lo a encontrar um trabalho de melhor qualidade e mais rápido». E por que a Polícia não os fecha? Porque não é crime vendê-los, mas sim utilizá-los.

Assim as coisas, a falsidade documental no campo educacional está se transformando em um verdadeiro flagelo social e econômico. É trivial colocar qualquer coisa em um currículo e muito barato apoiá-lo com um título falso, mas muito caro para verificar. É por isso que a maioria dos recrutadores de talentos nem se dá ao trabalho de tentar. Precisamos de algo melhor do que diplomas e diplomas em papel!

As credenciais digitais representam a evolução natural das credenciais tradicionais para eliminar a fraude. Mas um PDF com assinatura digital não vale a pena. Permitir uma troca ágil e segura de credenciais que facilite o processo de verificação e contratação requer uma proteção criptográfica muito mais sofisticada. Duas tecnologias precisam ser reconciliadas:

  • Credenciais além dos graus acadêmicos emitidos por instituições de ensino tradicionais: eles contemplarão todos os tipos de conhecimentos, habilidades e habilidades que refletem as realizações de aprendizagem de um indivíduo ao longo de sua vida. Além disso, tudo isso será encapsulado digitalmente usando um vocabulário padrão para descrever essas realizações acadêmicas, universalmente reconhecidas e facilmente intercambiáveis.
  • Um sistema de armazenamento de credenciais digitais que é transparente, imutável, imperceptível e acessível ao público, para contar a história acadêmica de forma segura e verificável por qualquer pessoa.

Hmmmm, como estão esses dois requisitos? Mais e mais pessoas acreditam em Open Badges e Blockchain. Quais são eles e como você resolveria as limitações dos títulos atuais juntos?

Open Badges, um formato de crachá digital portátil e verificável com informações sobre habilidades e realizações

Para entender a lógica por trás dos Open Badges, primeiro é importante entender as limitações dos graus, diplomas e certificações atuais:

  • Diplomas tradicionais, como «Engenheiro Sênior de Telecomunicações», não dizem muito sobre o conhecimento, as habilidades e as habilidades específicas de seu proprietário. «Ok, sim, Fulanito é formado em engenharia, mas ele tem habilidades avançadas de programação em Python? Ele tem a capacidade de dirigir um projeto de segurança de rede corporativa? Ele tem algum conhecimento prático da ISO 27001?» Os títulos não têm a granularidade exigida pelo mercado de trabalho atual. Eles contam uma história incompleta sobre quem os possui, sem mencionar que muitas carreiras e programas estão claramente desatualizados.
  • Há educação fora do jardim murado da Universidade. Existe uma enorme oferta de formação não regulamentada actualmente servida por uma miríade de plataformas de e-learning, com propostas verdadeiramente de qualidade, mas não é fácil validar os conhecimentos e competências adquiridos, o que dificulta o seu reconhecimento e comparação.
  • Existem muitos outros lugares para aprender além da universidade e escolas de negócios e cursos online: workshops, autoaprendizagem, projetos pessoais ou comunitários, o local de trabalho … Como tornar os conhecimentos e habilidades assim adquiridos visíveis e relevantes em termos que são reconhecidos por instituições educacionais formais e por ecossistemas de treinamento e carreira?

O mercado de hoje exige um sistema de credenciais capaz de capturar granularmente conhecimentos, habilidades e competências, em muitos contextos diferentes, e associá-los à sua identidade digital, e que pode ser exibido para as partes interessadas para demonstrar suas capacidades. Essas credenciais devem permitir que a aprendizagem se conecte a contextos de aprendizagem formais e informais, permitindo que cada pessoa desenvolva seus próprios caminhos de aprendizagem, em seu próprio ritmo, com base em seus próprios interesses e estilos de aprendizagem.

Os crachás são a solução proposta para atender a todos esses requisitos. Um emblema pode representar uma micro credencial, mas também qualquer outro tipo de credencial, incluindo títulos oficiais e certificações de fabricantes. Sem dúvida, a iniciativa mais avançada e promissora nesta linha é o projeto Open Badges, inicialmente promovido pela Mozilla Foundation e atualmente sob a liderança do IMS Global Learning Consortium.

Em essência, um “open badge” é um formato padronizado e aberto para representar credenciais educacionais verificáveis ​​e compartilháveis, com informações detalhadas sobre a realização e o que o proprietário fez para obtê-la. Muitos Sistemas de Gerenciamento de Aprendizagem (LMS) já os incorporam nativamente. Na verdade, os crachás abertos podem coexistir perfeitamente com as qualificações tradicionais e a acreditação profissional, visto que as complementam (ou podem substituir), com a vantagem de permitir a portabilidade de competências e conhecimentos.

Cada Open Badge será capaz de comunicar uma qualificação, habilidade ou conquista, fornecendo um símbolo visual com dados verificáveis ​​e evidências que podem ser compartilhados digitalmente para facilitar o acesso a empregos e novos ciclos de aprendizagem. Para salvaguardar o valor de cada selo aberto, uma série de critérios deve ser cumprida: nome da organização emissora, requisitos para obtê-lo, critérios de avaliação, data de emissão, etc.

Ilustración 1. Ejemplo de Insignia Abierta.
Ilustración 1. Ejemplo de Insignia Abierta.

Os Open Badges podem ser emitidos, ganhos e gerenciados usando uma das muitas plataformas certificadas de Open Badges. As partes interessadas podem confiar que um selo aberto representa uma conquista legítima e autenticada, cuja natureza é descrita no próprio selo, que também está vinculado à organização emissora. Os crachás abertos são verificáveis, portanto, um empregador pode confirmar o emissor do crachá e sua validade, se aplicável.

Em resumo, os emblemas abertos oferecem as seguintes vantagens sobre o sistema de emblemas tradicional:

  • Menos fraude.
  • Mais fácil de listar e encontrar competências.
  • Registro permanente sem medo de perda ou dependência do emissor.
  • Uma imagem mais detalhada e dinâmica do que um currículo tradicional.

No entanto, um obstáculo que os emblemas abertos encontraram no início foi como armazená-los e compartilhá-los com segurança. E é aqui que entra em cena o segundo protagonista desta história.

Quando Open Badges e Blockchain se unem, eles são como leite e cacau em pó

Simplificando, um blockchain atua como um livro razão distribuído e está aberto a qualquer pessoa para ler e escrever com a propriedade de que, uma vez que um bloco tenha sido adicionado ao blockchain, é muito difícil (idealmente impossível) alterá-lo. Para obter mais informações sobre Blockchain, recomendo que você leia The CIO’s Guide to Blockchain.

Armazenar emblemas em um Blockchain tem inúmeras vantagens:

  • O aluno assume o controle de suas conquistas acadêmicas oficiais (graus e diplomas), ao invés de cair exclusivamente nas mãos das instituições de venda automática.
  • A educação não termina com o treinamento formal. Os crachás em um blockchain permitem ao aluno adicionar todos os tipos de credenciais fora dos muros acadêmicos, algumas que não têm nada a ver com o treinamento em si, como experiência de trabalho validada pelo empregador.
  • Emblemas abertos + Blockchain = Credenciais confiáveis. Todos os intermediários são eliminados, pois as credenciais são assinadas pela instituição emissora e qualquer pessoa pode verificar a sua validade.
  • Ao contrário de uma página web hospedada em um servidor institucional, Blockchain oferece permanência e imutabilidade: você tem a garantia de que os dados não irão desaparecer (desde que haja um nó na rede P2P) nem serão modificados, aconteça o que acontecer com a entidade que usa. emitido.
  • A fraude desaparece.

Muitos projetos estão surgindo para oferecer Open Badges no Blockchain, entre os quais se destacam os seguintes:

  • Blockcerts: Em 2016, o MIT Media Lab propôs um padrão aberto à prova de adulteração para escrever credenciais no Blockchain, chamado Blockcerts, que permite verificar e verificar as credenciais e sua interoperabilidade com outros sistemas. Como poderia ser menos, o MIT o incorporou em seus diplomas digitais.
  • EKO – A plataforma EKO Blockchain é um serviço público de blockchain desenvolvido no Ethereum. É totalmente compatível com contratos inteligentes Solidity baseados em EVM e oferece alguns recursos inovadores, como contratos confidenciais.
  • Accredible: se você preferir fazer tudo, o Accredible é oferecido como SaaS, incluindo recursos como criação e gerenciamento de credenciais, branding, integração com os principais LMS, análises completas e ferramentas nativas para incorporar credenciais facilmente em qualquer canal.
  • OpenBlockchain: é uma iniciativa do Knowledge Media Institute (KMI) da Open University do Reino Unido, com diversas experiências realizadas com credenciais digitais.
  • Bestr: é a plataforma italiana para credenciais digitais, implementada em Blockcerts.

Rumo a um sistema de credenciais aberto, transparente, descentralizado, permanente, imutável e verificável

O mercado de credenciais digitais está em plena atividade: novas tecnologias e padrões estão sendo explorados, novas propostas comerciais ou abertas aparecem, muitas instituições de ensino experimentam diferentes alternativas. A combinação de crachás abertos e Blockchain permite sistemas de credenciais digitais que podem prevenir fraudes, abrir novas perspectivas sobre como as credenciais são usadas e oferecer novos mecanismos para as comunidades compartilharem conhecimento.

Mas o verdadeiro desafio não é tecnológico, mas político. Um esforço conjunto será necessário para garantir que os padrões dos sistemas de credenciais digitais sejam abertos e atendam às necessidades de todos os envolvidos (alunos, instituições de ensino, empregadores e governos), sem priorizar os interesses de algumas organizações em detrimento de outras.

O futuro das credenciais digitais verificáveis ​​ainda está para ser escrito. Estas são apenas as primeiras linhas.

Usando DIARIO e FOCA para análise de malware

Carlos Ávila    10 mayo, 2021

Os servidores da Web são uma das principais formas de disseminação de malware na Internet. Eles são frequentemente atacados em busca de falhas de segurança que permitem que sejam infectados, para que, por sua vez, sirvam como agentes para a disseminação de malware, controle de botnet e mineração de criptomoeda, entre outras atividades maliciosas.

Para isso, um dos movimentos realizados pelos atacantes é fazer o upload dos arquivos infectados nos servidores para a implantação dos referidos códigos maliciosos entre os usuários. Neste artigo, nos concentramos em arquivos (automação de escritório e pdf) que podem estar infectados e hospedados em servidores web comprometidos.

É aqui que, através da ferramenta FOCA (opensource), podemos utilizar o plugin DIARIO para analisar se esses arquivos contêm malware em macros embutidas e assim evitar a propagação dos referidos arquivos na Internet ou para os seus próprios usuários.

DIARIO, como detectar malware e, ao mesmo tempo, proteger sua privacidade

Mas o que é DIÁRIO? DIARIO é uma plataforma que incorpora Inteligência Artificial especificamente treinada para detectar malware que geralmente escapa às soluções antivírus tradicionais e, para isso, realiza um processo de análise documental sem ter que acessar seu conteúdo, o que é essencial neste caso. de natureza privada ou sensível.

Através da ferramenta FOCA (código aberto), e após pesquisar os documentos no servidor web, você pode usar DIARIO para analisar periodicamente os arquivos carregados em seus servidores web para descobrir se eles contêm malware ou não (nas macros) para transportar qualquer ação de mitigação e controle sobre este risco.

A execução da análise pode ser feita individualmente para todos os arquivos ‘rastreados’ ou encontrados pelo FOCA e seus métodos de busca. No final, você também pode obter um resumo tabulado dos resultados.

A verdade é que esses arquivos nem deveriam estar nos servidores web, pois deveriam ser controlados antes de chegarem ao servidor. Mas as técnicas são atualizadas e aprimoradas pelos criminosos, então, caso queira experimentar, você tem mais uma ferramenta para analisar seus documentos sob outra perspectiva, a fim de se defender contra esses tipos de ameaças.

Boletim semanal de cibersegurança 1-7 maio

ElevenPaths    7 mayo, 2021

Apple corrige quatro vulnerabilidades de zero-day no WebKit

A Apple lançou ontem atualizações de segurança para corrigir quatro vulnerabilidades de zero-day que poderiam estar sendo ativamente exploradas, de acordo com a própria entidade. Esses quatro bugs residem no Webkit, o mecanismo de renderização usado pelo navegador Safari, mas também por diferentes componentes de seus sistemas para exibir conteúdo da Web sem usar um navegador. Embora a Apple não tenha compartilhado todos os detalhes dessas vulnerabilidades, eles afirmam que o processamento de conteúdo web malicioso especialmente projetado, permitiria que um invasor executasse código arbitrário remotamente. As falhas foram identificadas como CVE-2021-30663, CVE-2021-30665, CVE-2021-30666 e CVE-2021-30661, todas sob possível exploração ativa. Os produtos afetados são iOS, macOS, iPadOS, watchOS e tvOS.

Mais: https://support.apple.com/en-us/HT212336

Várias vulnerabilidades críticas nos servidores de e-mail Exim

Várias campanhas de e-mail fraudulentas globais foram detectadas que estão usando como isca a temporada de declaração de impostos. O objetivo dos atores de ameaças por trás dessas operações seria tanto a distribuição de malware, através de anexos nas mensagens, quanto a coleta de dados através de páginas de phishing. Um aviso emitido  pelo INCIBE aponta para uma campanha em andamento voltada para funcionários e/ou trabalhadores autônomos na Espanha, na qual a Agência Tributária está sendo personificada. Da mesma forma, a Receita Federal dos EUA está supostamente sofrendo de roubo de identidade em e-mails de phishing direcionados a estudantes e funcionários de ensino, bem como a  distribuição de malware  através de links para download ou anexos.

Mais: https://blog.qualys.com/vulnerabilities-research/2021/05/04/21nails-multiple-vulnerabilities-in-exim-mail-server

TsuNAME: Vulnerabilidade que permite ataques contra servidores DNS autoritários

Vários pesquisadores publicaram um conjunto de artigos expondo detalhes de uma vulnerabilidade de DNS, como o TsuNAME,que poderia ser usado como vetor de amplificação em ataques distribuídos de negação de serviço (DDoS) visando servidores DNS autoritários. Essa vulnerabilidade afeta servidores DNS de resolução recursiva, permitindo que os invasores enviem consultas ininterruptas para servidores autoritários que tenham registros dependentes cíclicos. O efeito de muitas consultas recursivas vulneráveis poderia deixar em colapso um servidor autoritário, afetando a infraestrutura crítica de DNS, como os TLDs (Top Level Domains), que podem afetar serviços específicos do país. Pesquisadores tornaram pública a ferramenta CycleHunter para detectar dependências cíclicas em zonas de DNS.

Mais: https://tsuname.io/advisory.pdf

Vulnerabilidade na Qualcomm afeta dispositivos Android

Pesquisadores da Check Point publicaram os resultados do estudo de uma nova vulnerabilidade de estouro de buffer listada como CVE-2020-11292, que poderia permitir que um agente ameaçasse o acesso ao SMS (call and text log) de um dispositivo móvel, desbloquear o SIM e ouvir conversas de usuários. O bug está em um chip contendo alguns dispositivos, conhecido como Mobile Station Modem (MSM) criado pela Qualcomm, que é responsável por conectar os dispositivos à rede e é gerenciado pelo sistema operacional QuRT. Mais especificamente, os pesquisadores determinam que a vulnerabilidade está no protocolo QMI (Qualcomm MSM Interface, interface MSM) da Qualcomm, que, após receber pacotes TLV mal formados, desencadeia corrupção de memória e permite que um agente de ameaças execute seu próprio código. A vulnerabilidade pode ser explorada escondendo pacotes TLV mal formados dentro de comunicações de rádio ou conteúdo de mídia enviados pelo dispositivo. Da Check Point eles entraram em contato com a Qualcomm para notificá-los do bug no ano passado, mas ainda não há nenhum patch, pois eles dizem que são os próprios provedores móveis que devem agir.

Mais: https://research.checkpoint.com/2021/security-probe-of-qualcomm-msm/

Malware móvel, parte da Geração Z

Gabriel Bergel    6 mayo, 2021

Geração Z ou “pós Millenials” é o grupo demográfico nascido entre 1994 e 2010, o malware móvel nasceu em 2004 com o Cabir, o primeiro vírus que afetou os telefones Symbian Série 60. Naquela época, a Nokia liderava o mercado de celulares, e este malicioso software espalhado de telefone para telefone usando o protocolo push Bluetooth OBEX.

Pessoalmente, acredito que malware móvel nasceu deliberadamente com um objetivo criminoso e focado em obter dinheiro ilegalmente, não como o malware em computadores que são considerados como tendo um início antigo e, em particular, desobediência eletrônica, revolução digital, fama, reconhecimento de pares.

História de malware móvel

Depois que esse primeiro malware, conhecido como Cabir, foi “lançado”, levou apenas um ano para que os desenvolvedores de vírus adaptassem suas técnicas maliciosas para uso móvel, o progresso foi muito precipitado:

  • 2005: o primeiro Trojan .
  • 2006: o primeiro roubo de dados .
  • 2008: o primeiro antivírus falso. O que marcaria o início do principal vetor de engajamento: aplicativos invasores
  • A partir de 2012: o celular passa a ser usado para espionagem cibernética e o Android passa a ser o principal alvo de malware .
  • Em 2013: 98,1% do malware já tinha como alvo o Android.
  • Nessa área, em 2020, um interessante botnet chamado Terracotta baseado em Android e hospedado (é claro) no Google Play se destacou, perpetrando ataques de tráfego e propagandas fraudulentas de forma peculiar tanto em suas táticas quanto em suas técnicas. Recebeu 2 bilhões de solicitações fraudulentas em junho, com 65.000 telefones infectados. Para mais informações sobre o que aconteceu em 2020, pode consultar o Relatório sobre o estado da segurança 2020 H2 .
  • Também em 2020 ficamos sabendo o que aconteceu com Jeff Bezos através do WhatsApp em seu celular, com uma mensagem simples e um arquivo malicioso do tipo RAT, seu celular foi comprometido.
Figura 1: Infográfico, história do malware móvel

Segurança móvel, o grande desafio

Hoje o celular é o dispositivo tecnológico mais usado, mais popular e “mais importante” em nossas vidas, ainda mais em tempos de pandemia. No entanto, ainda há pouca consciência quando se trata de instalação de aplicativos, compartilhamento de informações, conexão a redes Wi-Fi públicas, etc. Além disso, ainda podemos encontrar aplicativos ou serviços de espionagem móvel que são comercializados de forma totalmente aberta como FlexiSpy. Portanto, existe um grande desafio e responsabilidade que requer muita atenção das pessoas.

Nesse ponto, eles vão se perguntar qual é o principal vetor que pode comprometer a segurança do meu celular? A resposta é, os aplicativos que estão instalados, como você podem ver na figura 2.

Figura 2: Infográfico, principal vetor utilizado (Fonte: Pradeo)

Principais malwares móveis

  • Adware: malware que oferece automaticamente publicidade indesejada ou enganosa, presente em páginas da web, aplicativos, anúncios pop-up, a fim de gerar lucro para seus autores ou pior.
  • RAT (Remote Administration Tool): é uma ferramenta para administração remota, mas também é usada para fins não legítimos, por isso foi renomeada Trojan de acesso remoto .
  • Spyware: malware que coleta informações e as transmite a uma entidade externa sem o conhecimento ou consentimento do proprietário.
  • Trojans: software malicioso que se apresenta como um aplicativo aparentemente legítimo e inofensivo, mas que, quando executado, realiza sua ação maliciosa. Eles geralmente estão ocultos.

Recomendações de segurança móvel

  • Não faça jailbreak ou root no telefone celular.
  • Evite instalar aplicativos de terceiros (valide as fontes).
  • Bloqueie a instalação de programas de fontes desconhecidas.
  • Revise a lista de aplicativos para ver se programas suspeitos foram instalados sem nosso consentimento.
  • Instale um antivírus e / ou antimalware.
  • Não clique ou baixe arquivos de links mascarados, desconhecidos e enviados por estranhos.
  • Cuidado com phishingsmshingphishing de mídia social, etc.
  • Leia os termos e condições como se fosse um advogado antes de concordar com eles e interrompa o processo de download se algo cheirar a permissão para carregar adware.
  • Realize análises de segurança e mantenha as atualizações atualizadas.

Se você também gosta de investigar e analisar malware, recomendo nossa plataforma CARMA, um serviço gratuito oferecido por nossa área de Inovação e Laboratório. Fornece um conjunto gratuito de amostras coletadas de malwareadware e outras amostras de arquivos potencialmente perigosos para o sistema operacional Android. Essas amostras podem ser usadas exclusivamente para fins de pesquisa ou acadêmicos, portanto, seu uso para qualquer outra finalidade é proibido. Esses conjuntos têm como objetivo fornecer amostras de qualidade que podem ser usadas para análise em sistemas especialistas, como Machine Learning, Inteligência Artificial ou qualquer método que permita melhorar a detecção futura desses tipos de ameaças.

4 dicas para voltar ao seu trabalho com segurança

ElevenPaths    5 mayo, 2021

Faz um ano que muitos de nós deixamos nosso trabalho físico, no escritório, para assumir o trabalho remoto.

As salas de estar e os quartos se tornaram nossos novos escritórios e salas de reunião, e o ambiente de trabalho teve que ser combinado com o de casa e nossas rotinas nele. Mas parece que, aos poucos, vamos vendo a luz e a volta ao escritório está cada vez mais perto, embora não seja como antes, claro.

Sabemos que seguir todas as normas de saúde estabelecidas há meses é o primeiro passo para nos protegermos de nosso retorno ao novo normal no escritório, mas e quanto aos nossos sistemas e aparelhos?  Sabemos como protegê-los? Eles se lembrarão de como voltar ao trabalho anterior?

Por isso, da ElevenPaths, além de lembrar que devemos seguir todas as normas de saúde estabelecidas, queremos ajudá-lo a refrescar sua memória com estas 4 dicas básicas para manter sua segurança também online.

Conte com os profissionais

Você se lembra do seu primeiro dia de trabalho após as férias de verão? Aquele momento em que sua mente ainda está viajando, mas você já está no escritório e tem que se concentrar, mesmo que sua cabeça não queira? Bem, acontecerá um pouco da mesma forma com seus dispositivos quando, depois de um ano, eles tiverem que se reconectar às redes de seu escritório.

Para fazer isso, conte com os profissionais. Cada empresa conta com uma equipe técnica especializada que conectará seus dispositivos com muito carinho e, acima de tudo, sabendo como e onde fazer. Lembre-se de que existem muitas redes escondidas entre eles. Confiar em quem sabe é uma aposta garantida para ficar seguro e economizar tempo no primeiro dia de volta ao trabalho.

Certifique-se 100% antes de clicar em «aceitar » 

Muitas vezes podemos sentir vontade e as telas que nos levam para o próximo nível não são as amigas mais confiáveis. Lembre-se de que, mesmo que queira começar o mais rápido possível, você não deve aceitar condições sem saber o que significam. Espere, seja cauteloso, pergunte aos especialistas e aja com conhecimento de causa.

Quem tem senha tem um tesouro

Sim, sabemos que repetimos muito, mas é verdade. As senhas são as portas de acesso às suas informações mais privadas. Um tesouro informativo do qual muitos cibercriminosos procuram tirar proveito. Por isso, no escritório lembre-se sempre de evitar post-its onde anotá-los ou agendas de papel que possam ser vistas por qualquer pessoa. Aposte melhor nestas duas maneiras: use um gerenciador de senhas e valide a verificação em duas etapas (2FA). 

Fique em dia com as mudanças

Todas as informações e notificações que você tem recebido nos últimos meses sobre a volta ao escritório agora são uma verdadeira bíblia para você. Leia-os e mantenha-se atualizado sobre as mudanças, especialmente quando se trata de segurança cibernética. Estar informado é uma das melhores maneiras de nos anteciparmos a possíveis ataques aos nossos sistemas e viver um dia de trabalho totalmente seguro.

Desvendando o emaranhado quântico da segurança cibernética: computadores quânticos, criptografia quântica e pós-quântica

Gonzalo Álvarez Marañón    4 mayo, 2021

Você sabe qual é a diferença entre computação quântica, criptografia quântica e criptografia pós-quântica? Porque a verdade é que eles não têm (quase) nada a ver um com o outro. São termos que aparecem continuamente emaranhados em conversas sobre segurança cibernética. Neste artigo, direi o que todo CIO / CISO deve saber sobre esses três termos para participar de uma conversa sem dar bola fora. Vamos desvendar esse emaranhado quântico!

Computadores quânticos e o poder do paralelismo massivo

Vamos começar com a computação quântica. Como todos sabemos, os computadores clássicos usam fenômenos físicos clássicos para representar bits: uma corrente elétrica que passa ou não por um transistor, um dipolo magnético orientado para cima ou para baixo, um disco de plástico com orifícios ou sem orifícios ao alcance de um feixe de laser, e assim por diante. São estados bem definidos, que nos permitem representar uns e zeros sem ambiguidades: um é um e zero é zero.

Em contraste, os computadores quânticos usam partículas quânticas, como fótons ou elétrons, para representar bits quânticos ou qubits. E aqui surge o espanto: um qubit pode estar ao mesmo tempo no estado zero ou no estado um ou em todos os estados intermediários entre zero e um. Essa incrível propriedade da física quântica, conhecida como superposição de estados, permite que cálculos massivos sejam realizados em paralelo.

Por exemplo, suponha que você deseja calcular os resultados de uma função f ( x ) para todos os valores possíveis de x . Se a entrada x tiver dois bits de comprimento, em um computador clássico você terá que testar os quatro valores possíveis sequencialmente: primeiro 00, depois 01, depois 10 e finalmente 11. Em vez disso, um computador quântico fará todos os quatro cálculos simultaneamente. Mas há um truque: os dois qubits armazenam os quatro resultados possíveis ao mesmo tempo, mas a leitura retorna apenas um desses quatro valores e você não pode escolher qual deles, isso acontece aleatoriamente.

Portanto, os algoritmos quânticos devem explorar esse recurso de maneira muito inteligente para que a probabilidade de você ler aleatoriamente o resultado que está procurando seja o mais próximo possível de 100%. E isso não é fácil. É por isso que existem tão poucos algoritmos quânticos. Os dois mais conhecidos no campo da cibersegurança são o de Shor, capaz de destruir a criptografia de chave pública em uso hoje, e o de Grover, simplesmente enfraquece a criptografia de chave secreta e hashes com a solução simples de dobrar o tamanho da chave ou hash.

Além de quebrar a criptografia atual, os computadores quânticos terão muitos outros usos mais construtivos, como, por exemplo, o seguinte revisado pelo Gartner em seu relatório altamente recomendado The CIO’s Guide to Quantum Computing :

  • Aprendizado de máquina: melhoria de ML por meio de predição estruturada mais rápida.
  • Inteligência Artificial: cálculos mais rápidos para melhorar a percepção, compreensão e diagnóstico de falhas binárias de circuito / classificador.
  • Química: novos fertilizantes, catalisadores e química de baterias para impulsionar melhorias na utilização de recursos.
  • Bioquímica: novos medicamentos, medicamentos personalizados e talvez até restauradores de cabelo.
  • Finanças: simulações de Monte Carlo mais rápidas e complexas; por exemplo, negociação, otimização de trajetória, instabilidade de mercado, otimização de preços e estratégias de hedge.
  • Saúde: sequenciamento genético de DNA, otimização do tratamento de radioterapia / detecção de tumor cerebral, em segundos em vez de horas ou semanas.
  • Materiaismateriais super-resistentes; tintas anticorrosivas; lubrificantes; semicondutores.
  • Computação: funções de pesquisa multidimensional mais rápidas; por exemplo, otimização de consulta, matemática e simulações.

Criptografia quântica nada. E sim, distribuição de chave quântica

A criptografia quântica não existe. O que existe desde 1984 é a «distribuição quântica de chaves» (Quantum Key Distribution, QKD). Ou seja, a (erroneamente) criptografia quântica não tem nada a ver com computação quântica, mas é na verdade um brilhante exercício de comunicação quântica, aplicada à distribuição de chaves aleatórias.

Historicamente, o maior obstáculo na criptografia tem sido o problema de distribuição de chaves: se o canal não é seguro e você precisa criptografar as informações, por qual canal você está enviando a chave de criptografia? Em 1984, os pesquisadores C. Bennett e G. Brassard desenvolveram o primeiro método de compartilhamento de chaves por meio de um canal de comunicação quântica usando fótons individuais devidamente polarizados, denominado BB84. Este protocolo tem a propriedade interessante de que, se um invasor interceptar bits da chave, ele será necessariamente detectado, pois, no mundo quântico, não pode ser observado sem deixar rastros. Posteriormente, outros protocolos QKD foram introduzidos, como o E91, proposto pelo pesquisador A. Ekert em 1991, com base no “emaranhamento” ou “emaranhamento quântico” entre duas partículas (quantum entanglement) e muitos outros mais.

Não vá acreditar que QKD é o Santo Graal da criptografia também. Na verdade, algumas das maiores agências de inteligência do mundo indicaram que está longe de resolver nossos problemas de confidencialidade . O que a física teórica pode propor é uma coisa e o que os engenheiros podem construir é outra bem diferente. Embora a lacuna entre a teoria e a prática tenha diminuído aos trancos e barrancos desde aquela humilde PoC de 1984, a implementação do QKD ainda não é tão segura como, sem dúvida, se tornará com os avanços da tecnologia.

Criptografia pós-quântica ou como resistir a um futuro dominado por computadores quânticos

Finalmente, chegamos à criptografia pós-quântica, que pouco ou nada tem a ver com as duas anteriores. A «criptografia pós-quântica» (Post-Quantum Cryptography, PQC) ou «criptografia resistente à computação quântica» (Quantum-Safe Cryptographyreúne aqueles algoritmos criptográficos capazes de resistir aos algoritmos de Shor e Grover , mencionados acima. São algoritmos matemáticos clássicos, alguns com mais de 40 anos de vida. Os três melhores alternativas estudadas até agora são criptografia baseada em hashescriptografia baseada em códigos e criptografia baseada em retículos.

De acordo com o recente Post-Quantum Cryptography (PQC): A Revenue Assessment , o mercado de software e chips de criptografia pós-quântica disparará para US $ 9,5 bilhões em 2029. Embora os recursos de PQC sejam incorporados a vários dispositivos e ambientes, de acordo com o relatório, a receita do PQC será concentrada em navegadores da web, Internet das Coisas (IoT), 5G, aplicação da lei (polícia, militar, inteligência), serviços financeiros, serviços de saúde e a própria indústria de segurança cibernética.

O NIST iniciou um processo para solicitar, avaliar e padronizar um ou mais algoritmos PQC para assinatura digital, criptografia de chave pública e estabelecimento de chave de sessão. Após três anos de análise dos candidatos propostos, o NIST anunciou em julho os vencedores do segundo turno para a seleção do novo padrão de criptografia pós-quântica. Na terceira e última rodada, o NIST especificará um ou mais algoritmos resistentes ao quantum para 1) assinatura digital, 2) criptografia de chave pública e 3) geração de chave criptográfica. Os algoritmos que avançam para a terceira rodada são Classic McEliece, CRYSTALS-KYBER, NTRU e SABRE, nas categorias de criptografia de chave pública e gerenciamento de chave; e CRYSTALS-DILITHIUM, FALCON e Rainbow, na categoria de assinatura digital.

Não se enrole com a quântica

Hoje, apenas 1% das organizações estão investindo em computação e computadores quânticos. É uma área em pleno movimento, consumindo orçamentos bilionários, disponível apenas para as equipes de P&D mais sofisticadas. A Europa está navegando pela segunda revolução quântica por meio de seu programa European Quantum Flagship, embora ninguém duvide que a China tenha assumido a liderança. Espera-se que em uma ou duas décadas tenhamos computadores quânticos de milhares de qubits livres de erros. Quando esse dia chegar, se chegar, haverá uma mudança profunda na tecnologia como a conhecemos agora.

Por outro lado, a área de comunicações quânticas está muito mais madura, com uma infinidade de propostas totalmente operacionais, disponíveis em uma ampla gama de preços e benefícios. Em 3 anos, espera-se o desenvolvimento e certificação de dispositivos e sistemas para geração de números aleatórios quânticos (QRNG) e distribuição de chaves (QKD), abordando alta velocidade, alto TRL, baixos custos de implantação, novos protocolos e aplicativos para operação de rede, também como o desenvolvimento de sistemas e protocolos para repetidores quânticos, memórias quânticas e comunicação de longa distância. Tudo isso levaria em 10 anos a uma «Internet Quântica«.

Já a criptografia pós-quântica (PQC) nada mais é do que criptografia vitalícia, baseada em algoritmos matemáticos clássicos, mas com a peculiaridade de resistir à computação quântica. Se agora sua organização lida com informações criptografadas cuja confidencialidade precisa ser garantida por mais de 10 anos, é melhor você analisar a oferta de produtos PQC no mercado para iniciar a transição.

O futuro será quântico ou não será ou será algo intermediário ou será e não será ao mesmo tempo ou …

Não se enrole com a quântica!

Boletim semanal de cibersegurança 24-30 abril

ElevenPaths    30 abril, 2021

BadAlloc – Vulnerabilidades críticas em dispositivos industriais de IoT e OT

Pesquisadores de segurança da Microsoft descobriram 25 vulnerabilidades críticas de execução de código remoto (RCE), que foram nomeadas conjuntamente como BadAlloc, afetando uma ampla gama de dispositivos, desde IoT do setor médico e de consumo até sistemas de tecnologia operacional de controle industrial (OT). Um invasor pode explorar falhas para contornar controles de segurança e executar códigos maliciosos em dispositivos ou causar uma falha no sistema. As vulnerabilidades estariam presentes em sistemas operacionais em tempo real (RTOS), amplamente utilizados em setores industriais, kits de desenvolvimento de software embarcado (SDKs) e até implementações de biblioteca padrão C (libc). As descobertas foram compartilhadas com os fornecedores para atualizarem seus sistemas. A lista completa de vulnerabilidades pode ser encontrada no site do Departamento de Segurança Interna dos EUA.

Mais informações: https://msrc-blog.microsoft.com/2021/04/29/badalloc-memory-allocation-vulnerabilities-could-affect-wide-range-of-iot-and-ot-devices-in-industrial-medical-and-enterprise-networks/

Vulnerabilidade crítica identificada em Homebrew para MacOS e Linux

Um pesquisador de segurança japonês chamado RyotaK relatou em 18 de abril uma vulnerabilidade no repositório oficial do Homebrew Cask que poderia ser explorada pelos invasores para executar código arbitrário em máquinas de usuário que tinham o Homebrew instalado. Homebrew é um sistema gratuito e de gerenciamento de pacotes de software de código aberto que permite a instalação de software no sistema operacional macOS da Apple, bem como no Linux. O Homebrew Cask amplia a funcionalidade para incluir fluxos de trabalho de linha de comando para aplicativos, fontes, plugins e outros softwares de código aberto baseados em MACOS. O bug relatado, para o qual um PoC foi publicado e que foi corrigido logo no dia seguinte após seu relatório, estava na forma como as alterações de código foram tratadas em seu repositório do Github, o que poderia resultar em uma solicitação maliciosa que foi automaticamente revisada e aprovada. O Homebrew também teria removido a ação «automerge» do GitHub, bem como o GitHub «review-cask-pr» de todos os repositórios vulneráveis.

Mais detalhes: https://brew.sh/2021/04/21/security-incident-disclosure/

Bug do MacOS permite distribuição de malware  Shlayer

A Apple lançou um patch para o sistema operacional macOS Big Sur, onde corrige uma vulnerabilidade para a qual não foram transferidos mais detalhes de sua parte, mas que alguns pesquisadores descrevem como a pior vulnerabilidade para os sistemas operacionais da Apple em anos. Apesar de sua gravidade, há um primeiro passo necessário para sua exploração que poderia ter limitado o impacto de uma certa forma, e para explorá-lo, o usuário deve ser persuadido a baixar ou executar um aplicativo que não está na Apple Store ou que não seria permitido pela Apple. Uma vez que esse primeiro acesso é alcançado, os invasores conseguem implantar malware mal classificado pelo sistema operacional da Apple, graças a um erro lógico no código macOS. Esse malware pode contornar todas as verificações realizadas pelos mecanismos de segurança da Apple, projetados para impedir a execução de aplicativos perigosos não aprovados. Os pesquisadores do Jamf nomearam esse malware de Shlayer,e confirmaram que ele estaria sendo distribuído pelo menos desde janeiro deste ano. O bug foi relatado à Apple pelo pesquisador de segurança Cedric Owens em meados de março. Porta-vozes da Apple confirmaram que a empresa abordou o problema no macOS 11.3 e atualizou o XProtect, sua detecção de malware, para bloquear um malware usando essa técnica. De acordo com meios especializados, a vulnerabilidade estaria sendo explorada para a distribuição de malware contra computadores Mac pelo menos desde janeiro.

Más informações: https://www.forbes.com/sites/thomasbrewster/2021/04/26/update-your-mac-now-the-worst-hack-in-years-hits-apple-computers/?sh=540dd6b85da0

Vulnerabilidade crítica no Citrix ShareFile

A equipe da Citrix lançou uma atualização de segurança para corrigir uma vulnerabilidade crítica de controle de recursos em seu software Citrix ShareFile. A falha (CVE-2021-22891) está localizada no controlador da zona de armazenamento Citrix ShareFile e pode permitir que um invasor remoto não autenticasse esse driver. No entanto, o agente de ameaça deve ter pré-acesso à rede do controlador para explorar essa falha. As versões afetadas por essa vulnerabilidade são 5.7 antes de 5.7.3, 5.8 antes de 5.8.3, 5.9 antes de 5.9.3, 5.10 antes de 5.10.1 e 5.11 antes de 5.11.18. Citrix recomenda atualizar o software para uma versão que corrija este bug o mais rápido possível.

Toda a informação: https://support.citrix.com/article/CTX310780

Vulnerabilidade de autenticação em BIG-IP APM AD

Os pesquisadores da Silverfort revelaram uma nova vulnerabilidade de evasão (CVE-2021-23008 CVSSv3 8.1) no recurso de segurança do Kerberos Key Distribution Center (KDC) que afetaria o Gerenciador de Políticas de Acesso BIG-IP (APM). Essa vulnerabilidade permite que um invasor contorne a autenticação do Kerberos para o APM (BIG-IP Access Policy Manager, gerente de políticas de acesso a IP), contorne as políticas de segurança e, em alguns casos, impeça a autenticação no Console de Gerenciamento BIG-IP. A F5 Networks lançou patches para corrigir a vulnerabilidade com correções introduzidas nas versões 12.1.6, 13.1.4, 14.1.4 e 15.1.3. Um patch semelhante é esperado para a versão 16.x em breve.

Mais detalhes: https://support.f5.com/csp/article/K51213246

Telefónica Tech recebe especializações de SASE, Cloud e Cortex da Palo Alto Networks

Pablo Alarcón Padellano    29 abril, 2021

No último ano, vimos muitas organizações serem desafiadas pelas táticas cada vez mais complexas e mutantes dos ciber-adversários, tendo que lidar com a expansão do trabalho remoto de suas equipes, a rápida transformação digital na nuvem e um crescente cenário de ameaças. Equipar sua equipe com habilidades e recursos de segurança continua a ser um dos maiores desafios do setor de segurança cibernética, também intimamente relacionado ao nível de formação e conhecimento especializado exigido pelas novas áreas de segurança cibernética, que surgiram recentemente com a sofisticação das ameaças cibernéticas existentes. 

Em nosso objetivo contínuo de ajudar nossos clientes a atender suas necessidades de segurança, temos o prazer de anunciar que recentemente obtivemos o reconhecimento da Palo Alto Networks em suas três novas especializações de seu programa de canal, sendo o primeiro parceiro na Espanha a obter o reconhecimento nas especializações de Prisma SASE (Prisma Access e Prisma SD-WAN), Prisma Cloud e Cortex XDR / XSOAR.

Grande trabalho de equipe! 

NextWave 3.0

A Palo Alto Networks lançou recentemente o NextWave 3.0, uma nova versão de seu programa de parceiros de canal. Essas novas especializações são concedidas especificamente a parceiros de canal que demonstraram a experiência necessária para testar, comercializar, implantar e oferecer suporte às soluções da Palo Alto Networks para SASE, nuvem e proteção de endpoint

Os clientes precisam de especialistas em segurança capazes de projetar, implementar, configurar, manter e solucionar problemas na grande maioria das implantações de segurança e, também, estão procurando parceiros confiáveis para orientá-los e ajudá-los a enfrentar os complexos desafios atuais de segurança cibernética. Ano após ano, a ElevenPaths, equipe de segurança cibernética da Telefónica Tech, demonstra seu compromisso em fortalecer e aumentar a resiliência cibernética de nossos clientes, contribuindo para o cumprimento dos objetivos de sua estratégia e postura de segurança por meio de sua equipe de operações de SOC. Líder do setor, desta vez com conhecimentos técnicos e especializações reconhecidas em

  • SASE: ajudamos as organizações a proteger simultaneamente seus funcionários remotos e otimizar a experiência do usuário com a plataforma Prisma Security Access Service Edge (SASE).
  • Prisma Cloud: se você está sobrecarregado com a falta de visibilidade, contexto e controle, apesar dos robustos kits de ferramentas e recursos oferecidos pelos provedores de serviços em nuvem, oferecemos a mais ampla cobertura de segurança e conformidade do setor para aplicativos, dados e todas as tecnologias nativas de nuvem, com  nosso serviço Cloud MSS junto com Prisma Cloud.
  • Cortex XDR e XSOAR: capacitamos a equipe de operações de segurança de nossos clientes com nossos serviços de segurança avançados NextDefense dedicados a detectar e responder a ameaças e riscos digitais, para garantir uma defesa completa gerenciada na nuvem, endpoint, rede e TI corporativa, neste caso fornecendo operações de segurança proativas como parceiro de MDR líder da indústria da Palo Alto Networks

Quer saber mais? Pergunte pra gente! Somos um provedor de serviços de segurança gerenciados inteligentes (iMSSP), focado em oferecer recursos de prevenção, detecção e resposta apropriada, e um parceiro especializado em soluções SASE, Cloud e Cortex da Palo Alto Networks. Vamos melhorar sua arquitetura de segurança, ajudá-lo a proteger suas transações na nuvem e ajudá-lo a acompanhar o cenário de ameaças cibernéticas em constante evolução e os desafios de segurança cibernética. Juntos somos mais fortes.