Serviços do Microsoft Office 365 e Cloudflare interrompidos globalmente

Ao longo da última terça-feira, vários serviços web foram interrompidos em todo o mundo. A origem desses incidentes residia, por um lado, no Microsoft Office 365 e, por outro, em Cloudflare.

Nas primeiras horas desta terça-feira, vários usuários relataram problemas ao acessar os serviços do Microsoft Office 365, incluindo Exchange, Teams ou SharePoint; A Microsoft informou em sua conta oficial no Twitter sobre esses problemas, bem como que estes estariam no fato de que a infraestrutura de gerenciamento de tráfego não estaria funcionando.

Por outro lado, o Cloudflare também sofreu uma interrupção massiva ontem, afetando sites conhecidos como Amazon, Telegram, Twitch ou Gitlab, entre outros. A origem deste incidente foi causada por uma mudança na configuração da rede emoldurada dentro de um projeto interno para aumentar a resiliência de suas localidades mais movimentadas, resultando em 19 de seus data centers sendo afetados. Atualmente, ambos os incidentes estão resolvidos e todos os serviços estão operando normalmente.

URL: https://blog.cloudflare.com/cloudflare-outage-on-june-21-2022/

* * *

Vulnerabilidade crítica afeta dispositivos NAS da QNAP

A QNAP lançou um aviso de segurança sobre uma vulnerabilidade que afeta seus dispositivos NAS (Network Attached Storage). De acordo com o fabricante, alguns de seus modelos de servidor seriam vulneráveis a possíveis ataques através de uma vulnerabilidade php crítica que remonta a três anos, desde que sua configuração não seja por padrão.

A vulnerabilidade, que foi identificado como CVE-2019-11043 e com um CVSS3 de 9.8, permite a execução remota de código para as versões PHP 7.1.x inferior a 7.1.33, 7.2.x menos que 7.2.24, e 7,3.x menor que 7.3.11. A empresa indica que, para explorar essa vulnerabilidade, tanto o Nginx quanto o PHP-FPM devem ser instalados no servidor NAS.

Caso essas condições sejam atendidas, tal falha afetará as seguintes versões de seus sistemas operacionais: QTS 5.0.X e posteriormente, QTS 4.5.X e posteriores, e aquelas posteriores às seguintes versões QuTS hero h5.0.x, QuTS hero h4.5.X, QuTSCloud c5.0.x. A QNAP também informa aos seus clientes que, no momento, existem patches para os sistemas operacionais QTS 5.0.1.2034 construir 20220515 e posteriormente e QuTS hero h5.0.0.2069 construir 20220614 e posteriores.

URL: https://www.qnap.com/en/security-advisory/QSA-22-20

* * *

Quantum: nova ferramenta para criar arquivos LNK maliciosos

Pesquisadores da Cyble identificaram uma nova ferramenta baseada na criação. LNK malicioso que estaria sendo cada vez mais usado nas fases iniciais de um ataque. O uso de .LNK com código malicioso não é algo novo, pois tem sido usado para manipular ferramentas legítimas do sistema Windows em infecções de malware como Emotet, Bumblebee, Qbot e IcedID.

Com esta nova ferramenta, chamada Quantum, os atacantes podem facilmente executar técnicas como fugir do controle de contas de usuário ou do componente SmartScreen, carregando várias cargas através de um único . LNK, a construção de arquivos HTA e ISO ou a execução de malware de forma atrasada, entre outros.

Da mesma forma, os desenvolvedores desta ferramenta enfatizam que os arquivos gerados são evitados pelas soluções de segurança correspondentes. Finalmente, deve-se notar que algumas versões do Quantum também incluem explorações para a vulnerabilidade «dogwalk», e de Cyble eles estariam ligando seu uso ao conhecido APT Lazarus.

URL: https://blog.cyble.com/2022/06/22/quantum-software-lnk-file-based-builders-growing-in-popularity/

* * *

Cisco anuncia que não corrigirá uma vulnerabilidade em routers Small Business RV

A Cisco alertou os usuários que ainda usam roteadores VR para pequenas empresas que a empresa não planeja corrigir uma nova vulnerabilidade de execução de código remoto, que recebeu um CVSS de 9.8.

A vulnerabilidade, listada como CVE-2022-20825, é o resultado da validação insuficiente de pacotes HTTP em roteadores de pequenas empresas: 110W Wireless-N VPN Firewall, RV130 VPN, RV130W Wireless-N Multifunction VPN e RV215W Wireless-N VPN, desde que a interface web de gerenciamento remoto esteja ativada em conexões WAN.

De acordo com a empresa, apesar da gravidade da falha, nenhum patch ou correção da vulnerabilidade está sendo preparado, pois esses dispositivos estão atualmente sem suporte, e deixou claro que a única mitigação possível é desativar a interface de gerenciamento remoto. Por isso, a empresa recomendou que seus usuários migrassem sua operação para roteadores Cisco Small Business RV132W, RV160 e RV160W.

URL: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-rv-overflow-s2r82P9v

* * *

Vulnerabilidade crítica no TheHive e Cortex

A empresa de segurança StrangeBee lançou um aviso de segurança para relatar uma vulnerabilidade crítica de desvio de autenticação descoberta no TheHive e no Cortex.

O TheHive é uma plataforma de resposta a incidentes de segurança de código aberto, amplamente utilizada por empresas em todo o mundo, enquanto o Cortex é um mecanismo de análise independente, também desenvolvido pela StrangeBee.

A vulnerabilidade, que foi descoberta por Przemysław Mazurek, permite que qualquer conta na plataforma, incluindo contas de administrador, seja personificada, desde que o módulo de autenticação do Active Directory (AD) seja ativado e usado para autenticar usuários nessas plataformas. Isso ocorre porque o AD aceita conexões anônimas, resultando em se alguém enviar uma solicitação de autenticação para uma conta existente sem senhas usando a API TheHive/Cortex, a resposta da AD à solicitação permite que eles se autenticam como «anônimos».

Essa vulnerabilidade, que ainda não possui um identificador, afeta versões do TheHive 3 a 5 e cortex 3, por isso é recomendável atualizar o mais rápido possível para a versão mais recente.

URL: https://github.com/StrangeBeeCorp/Security/blob/main/Security%20advisories/SB-SEC-ADV-2022-001:%20Authentication%20bypass%20due%20to%20incomplete%20checks%20in%20the%20Active%20Directory%20authentication%20module.md

Hertzbleed. Novo ataque de canal lateral contra processadores AMD e Intel

Pesquisadores de segurança de várias universidades dos EUA descobriram um novo ataque de canal lateral que afeta processadores Intel e AMD, apelidado de Hertzbleed.

A coisa notável sobre este ataque é que ele poderia permitir que um invasor extraia chaves criptográficas de servidores remotos. Isso porque, sob certas circunstâncias, o sistema dinâmico de escalação de frequência e tensão (DVFS) de processadores modernos com arquitetura x86 depende dos dados que estão sendo processados, permitindo, em processadores modernos, que o mesmo programa possa ser executado em uma frequência diferente de CPU.

Tanto a Intel (CVE-2022-24436) quanto a AMD (CVE-2022-23823) já possuem seus identificadores correspondentes para essa vulnerabilidade e publicaram os correspondentes avisos de segurança. De acordo com pesquisadores que descobriram Hertzbleed, nenhuma das empresas planeja liberar patches para essas falhas. No entanto, a Intel e a AMD liberaram medidas de mitigação.

* * *

PACMAN. Novo ataque contra dispositivos Mac

Pesquisadores de segurança do MIT CSAIL descobriram um novo ataque que permitiria que a autenticação de ponteiro (PAC) fosse evitada nos processadores M1 da Apple.

O PAC é um mecanismo de segurança pelo qual certos ponteiros são assinados criptograficamente e que permite ao sistema operacional detectar e bloquear alterações inesperadas que, se não forem localizadas, podem levar a vazamentos de informações ou compromisso do sistema.

Especificamente, este ataque permitiria que os atores de ameaças acessassem o sistema de arquivos e executasse código arbitrário em computadores Mac vulneráveis. Para fazer isso, os atacantes devem primeiro localizar uma falha de gravação/leitura existente na falha de memória que afeta o software no dispositivo Mac da vítima, que seria bloqueado pelo PAC e poderia aumentar a gravidade da falha ao alcançar a evasão de autenticação do ponteiro.

Além disso, seria necessário saber o valor do PAC de um ponteiro específico do objetivo. Essa nova técnica de ataque foi relatada à Apple em 2021, juntamente com uma prova de conceito, embora a empresa indique que ela não representa um risco imediato para os usuários do Mac, uma vez que a exploração de outra falha é necessária, não sendo possível contornar os sistemas de segurança por si só.

URL: https://pacmanattack.com/

* * *

Citrix corrige duas vulnerabilidades no ADM

A Citrix divulgou um boletim de segurança crítico onde corrige duas vulnerabilidades no Citrix Application Delivery Management (ADM).

A primeira falha, catalogada como CVE-2022-27511, é devido ao controle de acesso inadequado, pode permitir que um invasor reinicie a senha do administrador após a reinicialização do dispositivo, permitindo o acesso via SSH com as credenciais padrão do administrador.

Além disso, a Citrix corrigiu outra falha de segurança (CVE-2022-27512) que, se explorada com sucesso, poderia resultar em uma paralisação temporária do servidor de licença ADM, fazendo com que o Citrix ADM não pudesse emitir novas licenças ou renová-las.

Ambos os bugs afetam as versões Citrix ADM 13.1 antes de 13.1-21.53 e Citrix ADM 13.0 antes de 13.0-85.19. A partir da assinatura, eles pedem aos usuários que atualizem o servidor Citrix ADM e o agente ADM Citrix o mais rápido possível.

* * *

Servidores do Microsoft Exchange comprometidos para implantar ransomware BlackCat

A equipe de inteligência de ameaças do Microsoft 365 Defender relatou dois incidentes de segurança onde o ransomware BlackCat teria sido implantado. Por um lado, foi detectada a exploração de um servidor Exchange não reparado como vetor de entrada.

Após esse acesso inicial, os invasores se deslocaram pela rede afetada, roubando credenciais e extraido grandes quantidades de informações a serem usadas dentro da dupla extorsão. Duas semanas após o acesso inicial, o ransomware foi implantado.

Vale ressaltar que a Microsoft não informou sobre qual vulnerabilidade teria sido explorada. Por outro lado, outro incidente teve como vetor de entrada o uso de credenciais comprometidas em um servidor de desktop remoto com acesso à Internet, e os invasores poderiam mais tarde ter acesso a senhas e outras informações e, finalmente, implementar a carga de armazenamento BlackCat para criptografia de dados.

* * *

Funcionalidade no Office365 facilita a criptografia de arquivos na nuvem

Pesquisadores de segurança do Proofpoint descobriram funcionalidades no Office 365 que poderiam permitir que os operadores de ransomware criptografassem arquivos armazenados no SharePoint Online e no OneDrive, tornando-os irrecuperáveis se backups ou a chave de descriptografia do invasor não estiverem disponíveis.

Os pesquisadores se concentraram no estudo dessas duas aplicações em nuvem porque são as mais utilizadas em ambientes de negócios. O único requisito necessário que eles estabelecem tanto para o SharePoint Online quanto para o OneDrive é ter acesso inicial, o que pode ser alcançado comprometendo a conta do usuário (através de ataques de phishing, força bruta, etc.), enganando-os a autorizar aplicativos OAuth de terceiros que permitem acesso a esse tipo de plataforma, ou por sessões de sequestro,  sequestrando a sessão web de um usuário conectado ou sequestrando um token de API para SharePoint e/ou OneDrive.

Uma vez acessado, o ataque é baseado no uso da funcionalidade «AutoSave», que permite criar backups na nuvem de versões antigas toda vez que os usuários editam seus arquivos. O que o invasor faz é reduzir o limite de versão dos arquivos que podem ser armazenados em um número muito pequeno e criptografar o arquivo mais vezes do que o limite que foi inserido. Desta forma, eles garantem que as versões dos arquivos que haviam sido salvos antes do ataque foram perdidas e que apenas as versões criptografadas estão disponíveis na conta na nuvem.

Do Proofpoint, eles teriam alertado a Microsoft, que indicou que a funcionalidade funciona como deveria e que versões antigas dos arquivos podem ser recuperadas por 14 dias com a ajuda do Microsoft Support.

LockBit ameaça Mandiant depois de vinculá-los à EvilCorp

Durante a tarde de 6 de maio, o grupo de ransomware Lockbit 2.0 anunciou em sua página de publicações na dark web o suposto compromisso da empresa de cibersegurança Mandiant e sua intenção de publicar algumas horas depois um total de 356.841 arquivos supostamente roubados da empresa. A publicação incluía um arquivo chamado «mandiantyellowpress.com.7z», que estaria relacionado ao domínio registrado no mesmo dia, mandiantyellowpress[.] com, que estava redirecionando na época para ninjaflex[.]com.

As ameaças da LockBit seguiram a publicação de mandiant de um artigo indicando que o grupo russo Evil Corp começou a usar ransomware LockBit em seus alvos para escapar das sanções dos EUA. Desde que a ameaça era conhecida, Mandiant tem afirmado em todos os momentos que não tinha provas de que algum tipo de intrusão havia ocorrido, mas indicou que eles estavam monitorando a situação. Uma vez que os dados são publicados, como relatado pela mídia Bleeping Computer que foi capaz de analisá-los, é confirmado que não teria havido nenhum tipo de compromisso.

O que eles publicaram da LockBit é uma mensagem na qual eles negam as acusações feitas pelo que eles chamam de «imprensa amarela» (referindo-se a Mandiant) sobre uma possível relação entre LockBit e Evil Corp. O grupo indica que os scripts e ferramentas para realizar ataques estão disponíveis publicamente e podem ser usados por qualquer usuário, portanto, uma semelhança entre as ferramentas usadas por dois grupos não significa que elas possam ser vinculadas a uma identidade única.

Da mesma forma, em sua mensagem eles incluem uma linha final dissociando-se de qualquer tipo de ideologia política ou serviço especial de qualquer país.

URL: https://www.bleepingcomputer.com/news/security/mandiant-no-evidence-we-were-hacked-by-lockbit-ransomware/

* * *

Symbiote: novo malware furtivo contra sistemas Linux

Pesquisadores da BlackBerry e Intezer publicaram ontem informações sobre um malware Linux que eles apelidaram de Symbiote. O malware, originalmente detectado em ataques ao setor financeiro na América Latina em novembro de 2021, destaca-se por suas capacidades altamente avançadas quando se trata de ocultar e ocultar processos.

Isso é conseguido, em parte, por não ter um executável em si mesmo, mas é uma biblioteca de objetos compartilhados que é carregada em todos os processos de execução através da política de LD_PRELOAD, após a qual fornece ao invasor funções rootkit, recursos de roubo de senha e acesso remoto.

Ao carregar em inúmeros processos, o malware pode manipular as respostas de diferentes ferramentas e funções do sistema, permitindo que usuários e pesquisadores vejam apenas uma versão tendenciosa dos resultados que estão procurando.

Para isso, ele usa, entre outros, a função Berkeley Packet Filter, observada em backdoors desenvolvidos pelo Equation Group (NSA) e que permite ocultar tráfego malicioso e determinar quais pacotes são visíveis quando um administrador tenta capturar o tráfego.

URL: https://www.intezer.com/blog/research/new-linux-threat-symbiote/

* * *

Ataques contra empresas de telecomunicações e prestadores de serviços de rede

As agências americanas NSA, CISA e FBI publicaram um aviso conjunto de segurança alertando sobre a detecção de ataques perpetrados por atores maliciosos contra empresas de telecomunicações e provedores de serviços de rede globalmente.

Conforme detalhado, esta campanha está sendo realizada explorando vulnerabilidades existentes, principalmente em dispositivos de rede, apontando um total de 16 falhas de segurança distribuídas em diferentes marcas.

O aviso também destaca que, ao garantir uma base inicial em uma organização de telecomunicações ou prestador de serviços de rede, esses atores mal-intencionados podem identificar usuários e sistemas críticos encarregados de manter a segurança da infraestrutura crítica de um país.

Em relação à atribuição dessas campanhas, o alerta não identificou um ator específico que tenha realizado essas invasões, denotando que o mesmo objetivo é instigar todas as organizações a corrigir a lista de vulnerabilidades e aplicar as medidas de mitigação previstas para evitar possíveis incidentes de segurança.

URL: https://www.cisa.gov/uscert/ncas/alerts/aa22-158a

* * *

Campanha de espionagem de longa duração pelo ator Aoqin Dragon

A equipe de pesquisadores do SentinelLabs publicou uma investigação na qual relatam a descoberta de um APT ligado a um estado, chamado Aoqin Dragon, e que estaria realizando campanhas de espionagem sem ser detectado por 10 anos.

Especificamente, este novo ator teria desenvolvido sua atividade contra organizações governamentais, educacionais e empresas do setor de telecomunicações, todas geograficamente localizadas no Sudeste Asiático.

Segundo analistas, a Aoqin Dragon teria desenvolvido três importantes mecanismos de infecção entre seus TTPs; Entre 2012 e 2015, eles usaram campanhas malspam com documentos de escritório anexados que exploravam as vulnerabilidades CVE-2012-0158 e CVE-2010-3333; entre 2016 e 2017, seu vetor de entrada consistia em ofuscar executáveis maliciosos mascarados em falsos ícones antivírus; e desde 2018, eles usam um arquivo de atalho de disco removível que, quando executado, permite a injeção de código malicioso.

Da mesma forma, Aoqin Dragon se destaca por usar dois backdoors, Heyoka e Mongall, para extrair informações e permitir a comunicação com as redes de suas vítimas.

URL: https://www.sentinelone.com/labs/aoqin-dragon-newly-discovered-chinese-linked-apt-has-been-quietly-spying-on-organizations-for-10-years/

* * *

Atualizações, PoCs e exploração ativa de vulnerabilidade de 0-day na Atlassian

Depois que a Atlassian publicou na semana passada um alerta de segurança sobre a vulnerabilidade cve-2022-26134 em seus produtos confluence Server e Data Center, a empresa publicou uma atualização na tarde de sexta-feira para corrigir a falha diante da proliferação de tentativas de explorá-la.

A Atlassian pediu aos clientes que atualizem para as versões 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 e 7.18.1 de seus produtos o mais rápido possível, e também lançou medidas temporárias de mitigação para aqueles que não conseguem atualizar seu software imediatamente.

Na mesma sexta-feira, várias façanhas fáceis de implementar foram tornadas públicas e mostraram como explorar a vulnerabilidade para criar novas contas de administrador, forçar solicitações de DNS, coletar informações e criar conchas reversas, detectando desde então inúmeras tentativas de exploração, conforme coletado pelos pesquisadores do Grey Noise.

URL: https://www.bleepingcomputer.com/news/security/exploit-released-for-atlassian-confluence-rce-bug-patch-now/

Vulnerabilidade não corrigida da PayPal

O pesquisador de segurança H4x0r-DZ revelou uma vulnerabilidade não corrigida no serviço de transferência de dinheiro da PayPal que poderia permitir que os invasores enganassem as vítimas para roubar seu dinheiro, completando transações direcionadas realizando ataques de clickjacking.

Essa técnica permite que um invasor engane um usuário a clicar em elementos aparentemente inofensivos de uma página da Web para fins fraudulentos: baixar malware, redirecioná-los para sites maliciosos ou revelar informações confidenciais.

O pesquisador descobriu que um PayPal[.] com/agreements/approve, projetado para acordos de faturamento, e que só deve permitir tokens do tipo billingAgreementToken, realmente permitiu que você recebesse outro tipo de token. Isso permitiria que um invasor incluísse um iframe específico, o que faz com que uma vítima que tenha entrado no site transfira seus fundos para uma conta PayPal controlada pelo invasor simplesmente clicando em um botão.

O pesquisador decidiu publicar a prova de conceito, após notificar a empresa do acórdão em outubro de 2021 e não ter recebido qualquer tipo de compensação ou solução para ele a partir de PayPal.

URL: https://medium.com/@h4x0r_dz/vulnerability-in-paypal-worth-200000-bounty-attacker-can-steal-your-balance-by-one-click-2b358c1607cc

* * *

Spyware Predator distribuído explorando 0-days

Pesquisadores do grupo de análise de ameaças do Google (TAG) revelaram os detalhes do uso de novos 0-days no Chrome e android para a distribuição de spyware conhecido como Predator, uma ferramenta comercial de ciberespionagem desenvolvida pela Cytrox.

Especificamente, os pesquisadores falam de três campanhas diferentes. A primeira campanha foi detectada em agosto de 2021 e teria explorado uma vulnerabilidade no Chrome para redirecionar para o SBrowser (CVE-2021-38000 CVSSv3 6.1).

A segunda campanha começou em setembro de 2021 e explorou várias vulnerabilidades no Chrome para escapar do sandbox do navegador (CVE-2021-37973 CVSSv3 9.8 e CVE-2021-37976 CVSSv3 6.5). Finalmente, a terceira campanha data de outubro de 2021 e envolve o uso de 0-days no Chrome e Android (CVE-2021-38003 CVSSv3 8.8 e CVE-2021-1048 CVSSv3 7.8).

Apesar de explorar 0-days diferentes, a base das campanhas era a mesma. Os invasores distribuíram links de «link único» (válidos apenas uma vez e expirando após 24 horas) se passando por serviços de encurtamento de URL para usuários androides, por e-mail, dos quais distribuíram as explorações. O objetivo das campanhas era a distribuição de malware android chamado ALIEN, responsável por baixar mais tarde o spyware Predator.

Quanto à atribuição das campanhas, os pesquisadores apontam que os atores por trás das campanhas seriam apoiados pelos governos e, especificamente, apontam pelo menos para os do Egito, Armênia, Grécia, Madagascar, Costa do Marfim, Sérvia, Espanha e Indonésia. Suas descobertas estão em consonância com pesquisas realizadas pelo CitizenLab em dezembro de 2021.

URL: https://blog.google/threat-analysis-group/protecting-android-users-from-0-day-attacks/

* * *

Distribuição do Cobalt Strike usando PoCs falsas

Pesquisadores de segurança da Cyble descobriram que agentes de ameaças supostamente usaram provas falsas de conceito de duas vulnerabilidades recentes no Windows para infectar suas vítimas com o Cobalt Strike.

Especificamente, os invasores postaram PoCs maliciosos no GitHub para as vulnerabilidades de execução de código remoto CVE-2022-24500 e CVE-2022-26809, ambos corrigidos pela Microsoft em abril passado. Os dois repositórios pertenciam ao mesmo usuário do GitHub, chamado «rkxxz», cuja conta e repositórios já foram excluídos.

O objetivo desse tipo de prática, cada vez mais comum, são geralmente indivíduos relacionados à segurança da informação. De acordo com a análise realizada pela Cyble, o malware usado nesta campanha é um aplicativo .NET que exibe uma mensagem falsa na tela sobre a tentativa de explorar a vulnerabilidade, executando posteriormente comandos no PowerShell para baixar o beacon Cobalt Strike.

URL:  https://blog.cyble.com/2022/05/20/malware-campaign-targets-infosec-community-threat-actor-uses-fake-proof-of-concept-to-deliver-cobalt-strike-beacon/

* * *

Vulnerabilidade de 0-day em Tails

A Tails emitiu um aviso de segurança onde avisa que teria localizado uma vulnerabilidade em sua versão Tails 5.0 que afetaria os usuários que usam a distribuição Linux para acessar o navegador Tor. Portanto, eles recomendam que o Tor não seja usado até 31 de maio, quando a atualização para a versão 5.1 será lançada.

Essa falha está relacionada ao aviso de segurança emitido pela Mozilla, onde corrigiu duas vulnerabilidades críticas que afetaram seu gerenciador de e-mails Thunderbird e o navegador Firefox. Esses bugs foram classificados com identificadores CVE-2022-1529 e CVE-2022-1802, e estavam relacionados a um erro no motor JavaScript, que também é usado pelo Tor.

Tails afirma que, se explorado, poderia permitir que um invasor obtenha informações confidenciais, como senhas, mensagens privadas, entre outras, embora a criptografia de conexões usadas pelo Tor para manter o anonimato do usuário, não teria sido afetada.

A partir de Tails eles recomendam reiniciar o sistema, e afirmam que a Mozilla teria detectado atividade relacionada à exploração dessas falhas.

URl: https://tails.boum.org/security/prototype_pollution/index.en.html