Novas vulnerabilidades da Microsoft estão sendo exploradas por cibercriminosos. Violação de dados ameaça vazar desde registros psicoterapêuticos, na Finlândia, a informações financeiras, na Cingapura.
O que você vai ler hoje:
- Falha de segurança do Windows está sendo ativamente explorada por cibercriminosos
- Cidadãos finlandeses são vítimas de ransomware, que ameaça vazar informações “altamente sensíveis e confidenciais”
- E-mails universitários funcionam como “atalho” para invasão de redes corporativas nos EUA
- 1,1 milhão de contas comprometidas por falha de segurança em e-commerce
Falha de segurança do Windows está sendo ativamente explorada por cibercriminosos
A Microsoft confirmou, na última semana de outubro, que uma vulnerabilidade zero day não-corrigida no sistema operacional do Windows está sendo ativamente explorada por agentes cibercriminosos. A vulnerabilidade afeta todas as versões do Windows 7 ao Windows 10.
A empresa foi informada sobre a vulnerabilidade pela Project Zero do Google, uma unidade dedicada, formada pelos principais “caçadores de vulnerabilidades” do mundo, que rastreia bugs de segurança associados a zero day exploits.
Como o Project Zero identificou que o problema de segurança estava sendo explorado ativamente por invasores, a equipe deu à Microsoft um prazo de apenas sete dias para corrigi-lo antes da divulgação. A Microsoft não conseguiu lançar um patch de segurança dentro do prazo extremamente restritivo, e o Google publicou detalhes da vulnerabilidade, que agora pode ser rastreada como CVE-2020-17087.
O bug, em si, fica dentro do driver de criptografia do kernel do Windows, conhecido como cng.sys, e pode permitir que um invasor escale seus privilégios ao acessar uma máquina que utilize o sistema operacional da Microsoft.
Mas, embora a empresa tenha confirmado que o ataque relatado é real, ela também sugere que seu escopo é limitado e altamente direcionado. Ou seja, não se trata, por enquanto, de um exploit generalizado.
A Microsoft afirma não ter nenhuma evidência de exploits generalizados ameaçando seu sistema.
Além disso, argumenta que o ataque exige que outras vulnerabilidades sejam encadeadas para que uma exploração bem-sucedida aconteça. Uma das principais já foi corrigida: era uma vulnerabilidade baseada em navegador, CVE-2020-15999, que incluía o Chrome e Microsoft Edge. O Microsoft Edge foi atualizado em 22 de outubro, enquanto o Google Chrome foi atualizado em 20 de outubro. Contanto que seu navegador esteja atualizado, você está protegido.
Fora isso, de acordo com um porta-voz da Microsoft, em comunicado à Forbes, não há outras cadeias de ataque conhecidas explorando essa vulnerabilidade do Windows atualmente.
Cidadãos finlandeses são vítimas de ransomware, que ameaça vazar informações “altamente sensíveis e confidenciais”
Cerca de 1% da população finlandesa recebeu a seguinte ameaça nas últimas duas semanas:
“Seus registros psicoterapêuticos serão divulgados, a menos que você me pague €500 em criptomoeda em 48 horas”.
Isso porque vários indivíduos – aparentemente, sem quaisquer relações entre si – obtiveram acesso aos centros de psicoterapia da Vastaamo, rede hospitalar que trata cerca de 40.000 pacientes principalmente em Oulu e Tampere, na Finlândia.
Os hackers exploraram uma violação de segurança que se estendeu por entre fins de 2018 e início de 2019 e que parece não ter sido amplamente relatada às autoridades ou ao público em geral.
Esses registros psicoterapêuticos, profundamente íntimos, se tornaram munição para cibercriminosos chantagearem e, se bem-sucedidos, extraírem fundos da administração dos hospitais e de seus pacientes.
É o maior pedido de resgate dirigido a uma instalação médica, até o momento.
O pagamento de € 500 deve ser feito a uma carteira de criptomoeda exclusiva e os pacientes devem enviar um e-mail de confirmação para um endereço específico, a fim de não terem suas informações vazadas. Os hackers usaram um "provedor de depósito em criptomoeda" que envia notificações aos invasores assim que os fundos são recebidos, para manter o controle dos milhares de pagamentos desejados.
Nesse ínterim, as empresas de cibersegurança uniram forças com os provedores de análise de blockchain para rastrear e identificar os suspeitos. Uma investigação interna da rede hospitalar, que ainda está em andamento, constatou deficiências na segurança da informação; isso levou o Conselho de Administração a demitir o CEO da Vastaamo, Ville Tapio.
Outras medidas estão sendo tomadas para evitar que o ataque continue repercutindo, com danos ainda maiores.
E-mails universitários funcionam como “atalho” para invasão de redes corporativas nos EUA
Endereços de e-mail vinculados a domínios universitários são úteis por vários motivos, mas um tema recorrente nos últimos tempos tem sido a forma como eles funcionam como um “atalho” para ataques de phishing por meio de gateways de e-mail corporativos.
Isso porque os servidores de e-mails corporativos realizam verificações de autoridade dos e-mails recebidos, rejeitando qualquer domínio suspeito ou desconhecido.
Para os hackers, isso significa, então, sequestrar domínios com boa reputação. Uma pesquisa da empresa de segurança de e-mail INKY lança luz sobre essa tática e os domínios sendo explorados pelo cibercrime.
Ao longo de 2020, a empresa filtrou 714 emails de phishing oriundos de domínios da Universidade de Oxford, 287 da Universidade de Stanford e 2.068 da Universidade de Purdue em Indiana, só nos Estados Unidos.
Considerando o grande número de e-mails originados desses domínios, no total, parece pouco. No entanto, estamos falando de apenas um provedor que protege um número relativamente pequeno de clientes corporativos, o que implica que esses e-mails são só a ponta de um iceberg muito maior.
Em um exemplo destacado pela pesquisa, a isca de phishing era uma mensagem do Microsoft 365 convidando o destinatário a acessar seus arquivos via soluções cloud, devido à quarentena. Essa tentativa de phishing foi detectada – o tema era muito óbvio – mas, se tivesse passado pela segurança, poderia parecer perfeitamente plausível a um indivíduo desavisado.
Uma rápida análise dos cabeçalhos de e-mail confirmou que a ação era resultado de uma invasão de conta e, ao que tudo indica, os invasores ainda são auxiliados pela capacidade de usar os servidores da universidade como retransmissores, enviando e-mails de localizações pouco suspeitas.
“Para evitar esse tipo de abuso, os servidores SMTP devem ser configurados para não aceitar e encaminhar e-mails de endereços IP não-locais para caixas de correio por usuários não-autenticados e não-autorizados", alertam os pesquisadores.
Além disso, estendem o alerta aos usuários, para que fiquem atentos a quaisquer indícios de e-mails suspeitos, mesmo se originados por domínios confiáveis.
1,1 milhão de contas comprometidas por falha de segurança em e-commerce
A plataforma de e-commerce RedMart, com sede em Cingapura, sofreu uma violação de dados que comprometeu os dados pessoais de 1,1 milhão de contas.
Um indivíduo, ainda não-identificado, alegou estar de posse do banco de dados envolvido na violação, que contém várias informações pessoais, como endereços de correspondência, senhas criptografadas e números parciais de cartão de crédito.
Na sexta-feira (30/10), os clientes do RedMart foram desconectados de suas contas e solicitados a redefinir suas senhas antes de logar novamente. Eles também foram informados de um "incidente de segurança de dados do RedMart" descoberto no dia anterior (29), como parte do "monitoramento proativo regular "realizado pela equipe de segurança cibernética da empresa.
Em sua nota aos clientes, a controladora da RedMart, Lazada, disse que a violação levou ao acesso não-autorizado de um "banco de dados exclusivo do RedMart" hospedado em um provedor de serviços terceirizado. Os dados desse sistema foram atualizados pela última vez em março de 2019 e continham informações pessoais que coincidem com os dados violados.
Em um FAQ publicado em seu site sobre o incidente de segurança, a Lazada disse que as informações do cartão de crédito dos clientes eram "totalmente seguras", pois a empresa não armazena nem o número completo do cartão, nem o CVV em seus sistemas.
"No entanto, recomendamos que você fique atento e monitore qualquer atividade incomum ou transações suspeitas em seus cartões de crédito", alertou, no comunicado oficial.
Além disso, a Lazada disse que havia relatado "voluntariamente" o incidente de segurança à Comissão de Proteção de Dados Pessoais (PDPC) de Cingapura e que estava em contato com outras autoridades relevantes, incluindo a Força Policial de Cingapura.
De acordo com a Lei de Proteção de Dados Pessoais (PDPA) de Cingapura, espera-se que as organizações notifiquem as autoridades sobre uma suspeita de violação de segurança de dados se ela afetar mais de 500 pessoas ou quando "dano ou impacto significativo" para os indivíduos provavelmente ocorrerá devido à violação.
Eles também devem fazer isso no máximo 72 horas após a conclusão da avaliação da violação e não levar mais de 30 dias para concluir uma investigação sobre uma suspeita de violação de segurança de dados.
Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf!
