Falha na entrega de e-mails nos servidores do Microsoft Exchange on-premise

A Microsoft lançou uma solução de emergência em 2 de janeiro para corrigir um bug que interrompeu a entrega de e-mails no local dos servidores microsoft exchange. Estamos enfrentando uma falha do «ano 2022» no mecanismo de análise de antimalware FIP-FS, uma ferramenta que foi habilitada em 2013 em servidores Exchange para proteger os usuários de e-mails maliciosos. O pesquisador de segurança Joseph Roosen indicou que a causa foi que a Microsoft utilizou uma variável int32 assinada para armazenar o valor da data, variável que tinha um máximo de 2.147.483.647. As datas de 2022 têm um valor mínimo de 2.201.010.001, de modo que excedem o valor máximo que pode ser armazenado, de modo que o mecanismo de digitalização falha e o correio não pode ser enviado. O patch de emergência requer intervenção do usuário (é um script que deve ser executado seguindo certas instruções) e, da Microsoft, avisar que o processo pode demorar um pouco. Da empresa, eles também estariam trabalhando em uma atualização que resolve automaticamente o problema.

Falha de segurança na Uber permite enviar e-mails de seus servidores

O pesquisador de segurança Seif Elsallamy descobriu uma vulnerabilidade no sistema de e-mail usado pela Uber que poderia permitir que um agente ameaçasse enviar e-mails se passando pela empresa. A vulnerabilidade detectada estaria localizada em um dos pontos finais de e-mail da Uber, que teria sido exposto publicamente e permitiria que um terceiro injetasse código HTML, sendo capaz de enviar e-mails fingindo ser Uber.  O pesquisador enviou para a mídia digital Bleeping Computer um e-mail que veio do endereço de e-mail [email protected],onde um formulário é observado onde o usuário é solicitado a confirmar os dados de seu cartão de crédito, informações que seriam enviadas posteriormente para o servidor controlado por Seif Elsallamy. Este e-mail não entrou na caixa de entrada de spam porque veio dos servidores da Uber. O pesquisador relatou a vulnerabilidade à Uber através do programa de recompensas do HackerOne, mas foi rejeitado como exigindo engenharia social para ser explorado. Este problema não é a primeira vez que é detectado, já que pesquisadores como Soufiane el Habti ou Shiva Maharaj já teriam relatado há algum tempo.  Da mesma forma, o pesquisador expõe que, devido ao vazamento de informações que a Uber teve em 2016,há 57 milhões de usuários em risco que poderiam receber e-mails que fingem vir da Uber. Por sua vez, a Bleeping Computer também teria contatado a Uber, sem receber uma resposta no momento.

Patch extraordinário para bugs em Windows Server

A Microsoft lançou um patch de atualização extraordinário que buscava resolver alguns bugs relatados pelos usuários do Windows Server. Especificamente, alguns usuários do Windows Server 2019 e 2012 R2 estariam encontrando problemas de lentidão excessiva ou que resultaram em terminais ficando pretos. Em alguns casos, além disso, podem ocorrer falhas ao acessar servidores através de desktop remoto. O patch para essas versões não está disponível no Windows Update e não será instalado automaticamente. Em vez disso, os usuários afetados precisarão seguir as instruções fornecidas pela Microsoft em sua publicação. Espera-se que as demais versões do Windows Server recebam patches semelhantes nos próximos dias.

Técnicas evasivas do malware Zloader

Os pesquisadores do CheckPoint analisaram as novas técnicas evasivas do malware bancário Zloader. Na nova campanha analisada, que eles atribuem ao grupo MalSmoke e que eles indicam que seria realizada a partir de novembro de 2021, a infecção começa com a instalação do Altera Software, uma ferramenta legítima de monitoramento remoto e administração para TI, e que é usada para obter acesso inicial furtivamente. Além de usar uma ferramenta legítima, os atores fazem uso de DLLs maliciosos com uma assinatura Microsoft válida para evitar detecções. Para isso, os atores aproveitam o bug CVE-2013-3900,uma vulnerabilidade conhecida desde 2013 pela Microsoft, cujo patch é desativado por padrão e que permite que um invasor modifique executáveis assinados adicionando código malicioso sem invalidar a assinatura digital.

Elephant Beetle: grupo com motivações financeiras

A equipe de resposta a incidentes da Sygnia publicou um artigo onde expõem a análise do Elephant Beetle, um grupo com motivações financeiras que estaria atacando várias empresas do setor na América Latina, e que eles estariam seguindo por dois anos. Também classificado como TG2003, esse grupo passa longos períodos de tempo analisando sua vítima, além de seu sistema de transferência, passando despercebido pelos sistemas de segurança imitando pacotes legítimos e usando um arsenal de mais de 80 ferramentas próprias. Como vetor de entrada preferido, o Elephant Beetle estaria aproveitando aplicativos Java legítimos implantados em sistemas Linux. Sygnia destaca a exploração de antigas vulnerabilidades não reparadas como: CVE-2017-1000486 (Primetek Primeface), CVE-2015-7450 (WebSphere), CVE-2010-5326 ou EDB-ID-24963 (SAP NetWeaver). Uma vez estudada a vítima, ela cria transações fraudulentas de pequenas quantias que imitariam os movimentos legítimos da empresa.  Embora a atribuição ainda não esteja clara, de Sygnia eles explicam que, após várias análises de incidentes estrelados por Besouro Elefante, onde localizaram padrões como a palavra «ELEPHANTE» ou múltiplo C2 que estavam localizados no México, poderia ter uma conexão com países de língua espanhola, mais especificamente com a América Latina, e o México pode ser a área de origem.  

Governo do catalão sofre ataque do DDoS

De acordo com o comunicado emitido pela Generalitat, o Centro de Telecomunicações e Tecnologias da Informação (CTTI) detectou na última sexta-feira um ataque cibernético que comprometeu mais de 2.000 aplicativos de computador da agência por aproximadamente 3 horas. Especificamente, o ataque sofrido foi a negação de serviço (DDoS), que consiste no colapso dos serviços, aumentando o volume de tráfego para servidores aumentarem seu tempo de processamento. Em relação à sua origem, a Generalitat indicou que as primeiras investigações indicam que poderia ser um ataque contraído através da dark web, embora no momento não haja confirmação sobre isso. Vários sites e serviços dependentes da Generalitat, como la Meva Salut, foram afetados e outros serviços como televisão catalã, TV3 ou Catalunya Ràdio também tiveram problemas técnicos. Finalmente, em um período de no máximo três horas, a situação foi controlada e a normalidade foi retomada como a própria agência já garantiu.

Emotet: novas campanhas que usam Trickbot e Cobalt Strike em suas infecções

Pesquisadores da CheckPoint publicaram uma análise do ressurgimento do Emotet. De acordo com os pesquisadores, as novas campanhas observaram o uso do Trickbot como vetor de entrada, um dos malwares mais usados, que nos últimos meses teria infectado até 140.000 vítimas em todo o mundo, com mais de 200 campanhas e milhares de endereços IP em dispositivos comprometidos. Trickbot, como Emotet, é comumente usado para eventualmente distribuir ransomware, como Ryuk ou Conti. Do CheckPoint, eles analisam essas novas campanhas onde foi observado que a Trickbot estaria distribuindo a Emotet, da qual eles apontam que teria melhorado suas capacidades com novas ferramentas como: o uso de criptografia de curva elíptica em vez de RSA, melhorias em seus métodos de achatamento do fluxo de controle ou adicionando à infecção inicial o uso de pacotes maliciosos de instalação de aplicativos Windows que imitam software legítimo. Por outro lado, deve-se notar também que os pesquisadores do Cryptolaemus detectaram nos últimos dias que a Emotet estaria instalando diretamente o Cobalt Strike nos dispositivos comprometidos, o que aceleraria o processo de infecção dando acesso imediato a movimentos laterais, roubo de dados ou distribuição de ransomware.

Vulnerabilidade rce no Windows 10 e 11

Pesquisadores de segurança da Positive Security descobriram uma vulnerabilidade remota de execução de código no Windows 10 e 11. Essa falha ocorre através do Internet Explorer 11/Edge Legacy, o navegador padrão na maioria dos dispositivos Windows, e é desencadeada através de uma injeção de argumentos no URI do manipulador padrão do Windows ms officecmd. Um invasor pode explorar essa vulnerabilidade através de um site malicioso que permite um redirecionamento para uma URL criada pelo ms-officecmd. Deve-se notar que para a exploração funcionar, as Equipes Microsoft devem ser instaladas no sistema. A Positive Security relatou a falha à Microsoft em março passado, que a descartou no início. No entanto, após o recurso dos investigadores, já era considerado uma decisão crítica. Em agosto, a Microsoft corrigiu parcialmente, permitindo-se ainda injetar argumentos.

Vulnerabilidade 0 day em Apache Log4j

Um PoC foi lançado para uma vulnerabilidade de 0 day recentemente atribuído CVE-2021-44228, de execução de código no Apache Log4j, uma biblioteca de código aberto desenvolvida em Java que permite aos desenvolvedores de software salvar e escrever mensagens de registro que são usadas em vários aplicativos de empresas em todo o mundo. Essa falha permitiria que códigos maliciosos fossem executados em servidores ou clientes de aplicativos, sendo um dos mais proeminentes aquele que executa versões Java do videogame Minecraft, manipulando as mensagens de registro e até mesmo as mensagens inseridas no chat do próprio jogo. De acordo com os pesquisadores da LunaSec, as versões Java superiores a 6u211, 7u201, 8u191 e 11.0.1 não são afetadas por este vetor de ataque. Além disso, da LunaSec indicam que os serviços em nuvem do Steam e do Apple iCloud também foram afetados. Por fim, observe que as versões apache log4j afetadas são 2.0 a 2.14.1, corrigindo essa falha de segurança na versão 2.15.0.

Análise do ator estatal russo Nobelium

Pesquisadores da mandiantes publicaram um artigo detalhando operações realizadas por Nobelium, um ator associado ao Serviço russo de Inteligência Estrangeira (SVR). A  Mandiant apontou que entre as táticas usadas por esse grupo para obter acesso inicial à infraestrutura da vítima destacam-se: o uso de credenciais comprometidas em campanhas anteriores de malware onde o ladrão CRYPTBOT foi usado, o compromisso dos provedores de serviços em nuvem (CSP) e o abuso de notificações push (MFA). Uma vez obtido o primeiro acesso, o ator tenta alcançar persistência e aumentar privilégios usando o protocolo RDP, usando WMI e PowerShell para distribuir o backdoor BEACON na rede da vítima. Este backdoor foi usado mais tarde para instalar uma nova ferramenta que eles chamaram de CEELOADER, um download que se comunicaria via HTTP com o C2 do Nobelium, e que distribui Cobalt Strike. Além disso, a Mandiant destacou o uso de serviços residenciais de proxies IP para autenticar nos sistemas da vítima e o uso do WordPress comprometido, onde hospedam as cargas que levarão ao segundo estágio da cadeia de infecção. Da mesma forma, da Agência Nacional francesa de Cibersegurança (ANSSI) eles emitiram uma declaração onde especificam que desde fevereiro passado várias campanhas contra organizações francesas do ator russo foram detectadas.

Multa de 20 milhões para Apple e Google pelo uso de dados de usuários

A Autoridade Italiana de Concorrência e Mercado (AGCM) multou tanto o Google quanto a Apple em 10 milhões de euros por seu método de coleta e processamento de dados de usuários para fins comerciais. A Autoridade considerou que ambas as empresas cometem duas infrações contra o consumidor. Por um lado, a instituição constatou que o Google e a Apple omitem informações importantes durante o período de criação da conta/ID, bem como quando os usuários utilizam seus serviços, já que nenhum indica expressamente como esses dados serão utilizados. Por outro lado, a instituição destaca a abordagem tomada pelas empresas em sua práxis em relação à coleta de dados, descrevendo-a como «agressiva». Durante a fase de criação de conta supracitada, o Google predefini a aceitação do uso dos dados para fins comerciais pelo usuário, evitando a necessidade de confirmação pelo usuário. Quanto à Apple, a autoridade decidiu que a forma de aquisição de consentimento para o processamento de dados para fins comerciais está focada de forma que condiciona o usuário em sua escolha, uma vez que ele será limitado no uso de seus serviços se ele não dispensar seu controle sobre os dados fornecidos. Ambas as empresas teriam expressado sua discordância com as acusações, bem como sua intenção de recorrer da sanção.

Vulnerabilidades antigas afetam modelos de impressoras HP

Pesquisadores da F-Secure descobriram várias vulnerabilidades que afetam pelo menos 150 impressoras multifuncionais fabricadas pela Hewlett Packard. As vulnerabilidades catalogadas como CVE-2021-39237 e CVE-2021-39238 são de pelo menos 2013, por isso supõe-se que eles foram capazes de afetar um grande número de usuários em um longo período de tempo. A primeira das vulnerabilidades, com um CVSS de 7.1, refere-se a duas portas físicas expostas que concedem acesso total ao dispositivo, cuja exploração pode significar um possível vazamento de informações. Por outro lado, o segundo das vulnerabilidades tem uma pontuação CVSS de 9.3, que se explorada daria aos atores mal-intencionados uma forma de execução remota de código. Os pesquisadores também relataram várias maneiras pelas quais essas vulnerabilidades poderiam ser exploradas, incluindo: impressão de USB, engenharia social para o usuário imprimir um documento malicioso, impressão de outro dispositivo que está sob o controle do invasor, ou impressão de site cruzado, entre outros. A empresa emitiu atualizações de firmware para essas duas vulnerabilidades mais críticas em 1º de novembro, além de fornecer um hiperlink aos produtos afetados por cada vulnerabilidade em cada CVE e fornecer um guia para boas práticas de segurança para impressoras.

Emotet propagado por pacotes maliciosos do Adobe Windows App Installer

O malware Emotet reativado foi detectado por ser distribuído através de pacotes maliciosos de uma função incorporada do Windows 10 e do Windows 11, chamado App Installer. Os atores mal-intencionados por trás desse malware pretendem infectar sistemas instalando o Windows App Installer mascarado sob o pretexto de software Adobe PDF. Esta nova campanha começa com e-mails de cadeias de resposta de e-mail roubadas que aparecem em resposta a uma conversa existente, onde uma URL é adicionada que redireciona para um PDF malicioso aparentemente relacionado ao segmento em andamento. O link personifica uma página do Google Drive onde um botão de visualização PDF é exibido, que na verdade é uma URL que tenta abrir um arquivo de instalação de aplicativo hospedado no Microsoft Azure. Este mesmo método foi detectado para também distribuir o malware BazarLoader, onde instalou pacotes maliciosos hospedados no Microsoft Azure. Ações como esta permitiram que a Emotet ressurgisse e realizasse campanhas de phishing em larga escala que posteriormente instalam o TrickBot e o Qbot, bem como levam a ataques de ransomware.

Falha em ManageEngine ServiceDesk Plus ativamente explorada

Pesquisadores da Unidade 42 da Palo Alto publicaram um artigo onde expõem que um APT estaria se aproveitando de uma vulnerabilidade crítica no serviço ManageEngine ServiceDesk Plus da Zoho catalogado como CVE-2021-44077 com um CVSS de 9,8. Em setembro passado, a CISA alertou que um ator mal-intencionado estaria se aproveitando da vulnerabilidade CVE-2021-40539 e CVSS 9.8 no ManageEngine ADSelfService Plus do Zoho, sendo em novembro quando a Palo Alto  alertou para uma segunda campanha mais sofisticada onde eles estavam usando a mesma falha que foi chamada de TitledTemple. A Palo Alto teria detectado que possivelmente o mesmo APT que nos meses anteriores estava aproveitando a vulnerabilidade CVE-2021-40539 teria ampliado suas operações, agora também explorando o bug CVE-2021-44077. Aproveitar esse erro poderia permitir que um usuário remoto não autenticado carregasse executáveis maliciosos, bem como webshells que poderiam permitir que eles roubassem credenciais de administrador, executassem movimentos laterais, entre outros.  A atribuição do momento continua imprecisa, a Palo Alto apontou para o grupo de origem chinesa APT27 (TG-3390) em ambos os casos, enquanto da equipe de Inteligência de Ameaças da Microsoft indicam que os ataques de setembro foram realizados pelo DEV-0322.