Uma força-tarefa liderada pela Microsoft pretende lançar o roteiro de prevenção e combate a ataques ransomware.
Campainhas e fechaduras inteligentes podem, na verdade, abrir as portas para agentes mal-intencionados.
E grupos financiados pelo Estado roubam informações sobre as vacinas contra o COVID-19.
O que você vai ler hoje:
- Microsoft e McAffee montam força-tarefa anti-ransomware
- Grupos financiados pelo Estado hackeiam empresas e ministério da saúde atrás de informações sobre a vacina contra o COVID-19
- Microsoft ainda não corrigiu vulnerabilidade explorada em um zero-day de alta gravidade do Windows
- Campainhas e fechaduras inteligentes não são tão seguras quanto parecem quando o assunto é hackers
Microsoft e McAffee montam força-tarefa anti-ransomware
Um grupo formado por 19 empresas de segurança, de tecnologia e organizações sem fins lucrativos, e liderado por nomes como Microsoft e McAfee, anunciou, na segunda-feira (21), planos de formar uma nova coalizão para lidar com a crescente ameaça do ransomware.
Chamado de Ransomware Task Force (RTF), o novo grupo se concentrará na avaliação das soluções técnicas existentes que fornecem proteção durante um ataque de ransomware.
Para isso, a RTF vai encomendar artigos exclusivos de especialistas sobre o assunto, envolverá as principais partes interessadas em todos os setores afetados pelos ataques, identificará lacunas nas soluções atuais e, em seguida, trabalhará em um roteiro comum para tratar os problemas de todos os membros.
O resultado final deve ser uma estrutura padronizada para lidar com ataques de ransomware em verticais, baseada em um consenso da indústria, em vez de conselhos individuais recebidos de contratantes isolados.
O site da força-tarefa, incluindo todos os detalhes a respeito de seus membros e funções de liderança, será lançado no próximo mês, em janeiro de 2021, seguido por um sprint de dois a três meses para tirar a força-tarefa do papel.
Grupos financiados pelo Estado hackeiam empresas e ministério da saúde atrás de informações sobre a vacina contra o COVID-19
A ameaça persistente avançada (APT) conhecida como “Lazarus Group”, junto a outros sofisticados agentes de ameaça estatais, estão, ativamente, tentando roubar pesquisas feitas com o fim de acelerar os esforços de desenvolvimento de vacinas contra o COVID-19 em seus respectivos países.
Esse é o alerta dos pesquisadores da Kaspersky, que descobriram que o Lazarus Group – ligado à Coreia do Norte – atacou recentemente uma empresa farmacêutica, bem como um ministério da saúde (não-divulgado). O objetivo era o roubo de propriedade intelectual, disseram os pesquisadores.
“Em 27 de outubro de 2020, dois servidores Windows foram comprometidos no ministério”, diz uma postagem de blog publicada na quarta-feira (23). “De acordo com nossa telemetria, a empresa [farmacêutica] foi violada em 25 de setembro de 2020 … [ela] está desenvolvendo uma vacina contra o COVID-19 e está autorizada a produzir e distribuir vacinas contra o COVID-19”.
De acordo com a Kaspersky, em primeira instância, os ciberataques instalaram nos servidores do ministério um sofisticado malware chamado “wAgent”, que não tem arquivo (funciona apenas na memória) e busca cargas úteis adicionais de um servidor remoto. Para a empresa farmacêutica, o Lazarus Group implantou o malware Bookcode em um provável ataque à cadeia de suprimentos por meio de uma empresa de software sul-coreana.
“Ambos os ataques alavancaram diferentes clusters de malware que não têm muita relação entre si”, disseram os pesquisadores. “No entanto, podemos confirmar que ambos estão ligados ao grupo Lazarus, e também encontramos intersecções após a exploração.”
Os pesquisadores explicaram que ambos os pacotes de malware foram atribuídos anteriormente ao APT, sendo o Bookcode exclusivo do Lazarus Group. Além disso, as intersecções na fase de pós-exploração são notáveis.
Isso inclui "o uso de ADFind no ataque contra o ministério da saúde para coletar mais informações sobre o ambiente da vítima", explicaram os pesquisadores. “A mesma ferramenta foi implantada durante o caso da farmacêutica para extrair a lista de funcionários e computadores do Active Directory. Embora ADfind seja uma ferramenta comum para o processo de pós-exploração, é um ponto de dados adicional que indica que os invasores usam ferramentas e metodologias compartilhadas.”
Daqui para frente, os ataques aos desenvolvedores de vacinas e medicamentos contra o COVID-19, bem como as tentativas de roubar dados confidenciais deles, continuarão, previu a Kaspersky. À medida que a corrida de desenvolvimento entre as empresas farmacêuticas continua, esses ataques cibernéticos terão ramificações para a geopolítica, com a "atribuição de ataques com consequências graves ou voltados para os últimos desenvolvimentos médicos certamente sendo utilizados como um argumento em disputas diplomáticas".
Microsoft ainda não corrigiu vulnerabilidade explorada em um zero-day de alta gravidade do Windows
Um ataque zero-day de alta gravidade contra o Windows, que poderia levar à apropriação total do desktop, continua sendo uma ameaça perigosa, já que a solução lançada pela Microsoft falhou em corrigir adequadamente a vulnerabilidade.
O bug de escalonamento de privilégio local no Windows 8.1 e Windows 10 (CVE-2020-0986) existe na API do Spooler de Impressão. Isso pode permitir que um invasor local eleve privilégios e execute código no contexto do usuário atual, de acordo com o comunicado da Microsoft emitido em junho. Um invasor precisa primeiro fazer logon no sistema, mas pode executar um aplicativo especialmente criado para assumir o controle do sistema afetado.
A taxa de bug é de 8,3 em 10 na escala de gravidade de vulnerabilidade CVSS.
De uma perspectiva mais técnica, "a falha específica existe no processo de host do driver de impressora do modo de usuário splwow64.exe", de acordo com um comunicado da Zero Day Initiative (ZDI) da Trend Micro, que relatou o bug à Microsoft em dezembro do ano passado. “O problema resulta da falta de validação adequada de um valor fornecido pelo usuário antes de deixar de referenciá-lo como um indicador.”
O problema permaneceu sem correção por seis meses. Nesse ínterim, a Kaspersky observou que ele estava sendo explorado em maio para atacar uma empresa sul-coreana, como parte de uma cadeia de exploit que também usava um bug de execução remota de código zero no Internet Explorer. Essa campanha, apelidada de Operação Powerfall, foi considerada iniciada pela ameaça persistente avançada (APT) conhecida como Darkhotel.
A atualização de junho da Microsoft incluiu um patch que “aborda a vulnerabilidade corrigindo como o kernel do Windows lida com objetos na memória”. No entanto, Maddie Stone, pesquisadora do Google Project Zero, agora revelou que a correção estava com defeito, depois que a Microsoft falhou em remendá-la no prazo de 90 dias após ser alertada sobre o problema.
A Microsoft lançou um novo CVE, CVE-2020-17008, e os pesquisadores esperam um patch em janeiro. Enquanto isso, o Project Zero emitiu um código de prova de conceito público para o problema.
Campainhas e fechaduras inteligentes não são tão seguras quanto parecem quando o assunto é hackers
Campainhas inteligentes, projetadas para permitir que os proprietários fiquem de olho em seus visitantes, muitas vezes podem causar mais danos à segurança do que benefícios, uma vez que as campainhas digitais voltadas para o consumidor estão repletas de vulnerabilidades de segurança cibernética em potencial, que vão desde credenciais codificadas, problemas de autenticação e envio de dispositivos com bugs críticos antigos e ainda não-corrigidos.
Essa nova avaliação vem do NCC Group, que publicou um relatório este mês descrevendo os "pesadelos domésticos da IoT". Em parceria com a publicação Which?, o grupo avaliou modelos de campainhas inteligentes feitos por três fornecedores – Victure, Qihoo e Accfly – juntamente com testes de caixa-branca de três fabricantes adicionais.
O escopo dos problemas descobertos inclui recursos não-documentados que, se conhecidos, podem ser explorados por hackers. Outros problemas encontrados foram relacionados aos aplicativos móveis usados para acessar as campainhas, juntamente com vulnerabilidades no próprio hardware.
Os modelos específicos examinados foram Victure’s VD300, Accfly’s Smart Video Doorbell V5 e Qihoo’s 360 D819 Smart Video Doorbell. Outro dispositivo de campainha, identificado apenas como “Smart WiFi Doorbell” e que usava hardware do fabricante YinXx, também foi examinado. Além disso, um modelo não especificado “HD Wi-Fi Video Doorbell V5” foi testado.
Por último, foi testada uma campainha inteligente identificada apenas como XF-IP007H. Várias marcas usam “XF-IP007H” em seus nomes de produtos, incluindo Extaum, Docooler e Tickas. Essas campainhas, como todas as testadas pelo NCC Group, são vendidas a preços competitivos e estão disponíveis no site de comércio eletrônico da Amazon, Walmart e outros varejistas online populares.
Os pesquisadores disseram que a maioria dos dispositivos analisados eram clones da campainha Victure, que tinha uma série de problemas de segurança pré-existentes associados a ela.
O principal problema foi um serviço HTTP não-documentado, encontrado em execução na porta 80. Os pesquisadores observaram que a porta exigia as credenciais, no entanto, essas credenciais poderiam ser facilmente extraídas de "um clone sem marca deste dispositivo para venda online."
Sendo assim, forçar as fechaduras digitais por meio do aplicativo móvel usado para controlar as campainhas foi muito fácil, graças às comunicações não-criptografadas.
“Em vários dispositivos, o HTTPS não era aplicado ou nem existia como meio de comunicação em uma variedade de aplicativos móveis, como o app da Victure, que solicitou um certificado raiz por meio de uma solicitação HTTP”, escreveram os pesquisadores .
A falta de criptografia pode permitir que informações confidenciais, como nome de usuário e senhas, sejam "vistas" nas comunicações de dados entre o dispositivo móvel e os serviços de back-end da fechadura digital.
Outro vetor de ataque discutido foi o abuso de códigos QR, um tipo de código de barras baseado em imagem para obter informações adicionais rapidamente. Muitas das campainhas digitais, na tentativa de simplificar o acesso, permitiram que os clientes usassem a câmera do telefone para tirar uma foto de um código QR, que configura o aplicativo do usuário com as credenciais corretas.
Com a campainha do Victure, um serviço HTTP não documentado foi encontrado em execução na porta 80. Os pesquisadores observaram que a porta exigia as credenciais, no entanto, essas credenciais poderiam ser facilmente extraídas de "um clone sem marca deste dispositivo para venda online."
Abrir fechaduras digitais por meio do aplicativo móvel usado para controlar as campainhas digitais foi muito fácil, graças às comunicações não criptografadas.
“Em vários dispositivos, HTTPS não era aplicado ou nem existia como método de comunicação em uma variedade de aplicativos móveis, como o aplicativo móvel Victure, que solicitou um certificado raiz por meio de uma solicitação HTTP”, escreveram os pesquisadores .
A falta de criptografia pode permitir que informações confidenciais, como nome de usuário e senhas, sejam "vistas" nas comunicações de dados entre o dispositivo móvel e os serviços de back-end da fechadura digital.
Outro vetor de ataque discutido foi o abuso de códigos QR, um tipo de código de barras baseado em imagem para obter informações adicionais rapidamente. Muitas das campainhas digitais, na tentativa de simplificar o acesso, permitiram que os clientes usassem a câmera do telefone para tirar uma foto de um código QR, que configura o aplicativo do usuário com as credenciais corretas.
“O invasor pode então decodificar rapidamente o código QR e extrair o BSSID de texto simples e a senha para a rede Wi-Fi”, alertaram os pesquisadores.
Mantenha seus dispositivos protegidos. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!
