Log4shell: empresas que não aplicaram patches continuam vulneráveis
A ameaça baseada na Apache Log4j continua sendo ativamente explorada – e fazendo vítimas significativas, por falta de rotinha de correção de vulnerabilidades
Meses após a vulnerabilidade zero-day na amplamente utilizada biblioteca de Java Apache Log4j ser divulgada – e ter causado pânico geral, ficando conhecida como ameaça Log4shell – um número significativo de softwares e servidores ainda estão vulneráveis a ataques cibernéticos oriundos dessa ameaça porque os patches de segurança não foram aplicados.
Detalhada pela primeira vez em dezembro, a vulnerabilidade CVE-2021-44228 permite que invasores executem código remotamente e obtenham acesso a sistemas que usam o Log4j.
Não apenas a vulnerabilidade é relativamente simples de ser explorada, mas a natureza quase que onipresente do Log4j significa que ele pode ser encontrado em uma vasta gama de aplicativos, serviços e ferramentas empresariais, usadas por organizações e indivíduos em todo o mundo.
É por isso que a Agência de Segurança Cibernética e Infraestrutura dos EUA, CISA, descreveu a vulnerabilidade como “uma das mais graves que já vistas em toda a história, se não a mais grave”.
Mas, apesar dos avisos e das urgências impostas pela vulnerabilidade, ainda há uma grande quantidade de instâncias Log4j operando e expostas a ataques cibernéticos.
Milhares de aplicativos e servidores estão vulneráveis ao Log4shell
De acordo com pesquisadores da empresa de segurança cibernética Rezilion, existem mais de 90.000 aplicativos vulneráveis e mais de 68.000 servidores que ainda estão expostos publicamente, operando sem as correções necessárias.
As instâncias expostas foram descobertas executando pesquisas no mecanismo de pesquisa de dispositivos IoT, Shodan – e os pesquisadores alertam que o que foi descoberto provavelmente é “apenas a ponta do iceberg” em termos da superfície de ataque vulnerável real.
Riscos do Log4shell para as organizações não diminuíram
As vulnerabilidades do Log4j deixam as organizações expostas aos mais diferentes tipos de ataques cibernéticos e a criminosos cibernéticos que podem facilmente verificar as vulnerabilidades a serem exploradas.
Tanto é que, pouco tempo depois que o Log4j foi divulgado, foram feitas milhares de tentativas de implantar ransomware e malware de mineração em servidores vulneráveis.
Grupos de hackers financiados pelo Estado também foram flagrados tentando tirar proveito das vulnerabilidades do Log4j. Estes incluem os grupos de espionagem chineses Hafnium e APT41, bem como grupos de hackers iranianos – APT35 e Tunnel Vision.
Embora esses grupos de hackers se beneficiem de recursos abundantes e investimento estatal para bancar suas operações, a capacidade de explorar vulnerabilidades comuns é particularmente útil, pois os ataques são menos propensos a deixar rastros que possam estar vinculados a um grupo de hackers específico.
Como se proteger dos ataques baseados no Log4j
Uma das razões pelas quais as vulnerabilidades do Log4j ainda persistem é porque a falha pode estar profundamente arraigada nos aplicativos, a ponto de não ficar claro que a biblioteca de log Java seja parte desse sistema.
Mas há passos que podem – e devem – ser dados para garantir que a rede esteja protegida contra ataques que tentam explorar o Log4j. O mais importante é, sem dúvidas, identificar e corrigir instâncias inseguras do Log4j.
A rede também deve ser examinada regularmente para ajudar a identificar possíveis vulnerabilidades.
“Você precisa ter processos que monitorem continuamente seu ambiente em busca de vulnerabilidades críticas com ênfase em código de terceiros”, disseram os pesquisadores.
Se um ativo Log4j vulnerável for identificado, é recomendável que as equipes de segurança da informação ajam com base no comprometimento do sistema, para procurar sinais de atividade maliciosa em potencial e se preparar para agir.
As soluções de segurança da Compugraf ajudam a manter seus dispositivos e sistemas protegidos. Conheça!
- Published in Noticias
Hackers usam mensagens de voz do WhatsApp para roubar informações em campanha de phishing
O objetivo dos cibercriminosos é conseguir informações do Office 365 e do Google Workspace, em uma nova campanha que usa um domínio legítimo russo para enviar golpes de WhatsApp
Criminosos estão falsificando notificações de mensagens de voz do WhatsApp em uma campanha de phishing direcionada a usuários comuns e que utiliza um domínio legítimo da Rússia para espalhar malware de roubo de dados pessoais, descobriram pesquisadores de segurança.
A campanha maliciosa tem como objetivo contas do Office 365 e do Google Workspace e utiliza mensagens enviadas de um domínio associado ao Centro de Segurança Rodoviária, uma instituição que se acredita estar localizada na região de Moscou, na Rússia.
O site em si é legítimo, pois está conectado às operações estaduais de segurança rodoviária de Moscou e pertence ao Ministério de Assuntos Internos da Federação Russa, de acordo com o relatório publicado em abril. Porém, acredita-se que a ameaça seja global, e utiliza o domínio apenas para contornar medidas de segurança tradicionais.
Até agora, os criminosos atingiram cerca de 27.660 caixas de entrada com a campanha, que falsifica o popular aplicativo de mensagens para “informar às vítimas que elas têm uma nova mensagem de voz privada” no WhatsApp. A mensagem inclui um link que permite que a vítima reproduza a mensagem de voz, disseram os pesquisadores.
As organizações-alvo incluem empresas do setor de saúde, educação e varejo, alerta o relatório.
O ataque “emprega uma gama de técnicas para passar pelos filtros tradicionais de segurança de e-mail e passar nos testes de verificação dos usuários mais inocentes”, explica o relatório.
As táticas incluem estratégias de engenharia social, gerando confiança e urgência nos e-mails enviados às vítimas; personificação de marca, falsificando o WhatsApp; a exploração de um domínio legítimo para enviar os e-mails; e a replicação de fluxos de trabalho existentes, ou seja, receber uma notificação por e-mail de uma mensagem de voz.
Como funciona a campanha de phishing via WhatsApp
As vítimas potenciais da campanha recebem um e-mail com o título “nova mensagem de voz recebida”; o e-mail inclui um cabeçalho que reitera a mensagem, criando um senso de urgência.
O corpo do e-mail falsifica uma mensagem segura do WhatsApp e informa à vítima que ela recebeu uma nova mensagem privada, inserindo um botão de “reproduzir” para que o usuário possa ouvir a mensagem.
O domínio do remetente do e-mail é “mailman.cbddmo.ru”, que os pesquisadores vincularam à página do centro de segurança rodoviária da região de Moscou – um site legítimo, o que permite que os e-mails passem pelas verificações de autenticação da Microsoft e do Google.
No entanto, é possível que os criminosos tenham explorado uma versão obsoleta ou antiga do domínio raiz dessa organização para enviar os e-mails maliciosos.
Se o destinatário clicar no botão “reproduzir” do e-mail, ele será redirecionado para uma página que tenta instalar um trojan JS/Kryptik – um código JavaScript incorporado em páginas HTML que redireciona o navegador para um URL malicioso e implementa um exploit específico, de acordo com o relatório.
Quando o alvo chega à página maliciosa, um prompt solicita a confirmação de que a vítima não é um robô. Então, se a vítima clicar em “permitir” no pop-up na URL, um serviço de anúncios do navegador pode instalar a carga maliciosa como um aplicativo do Windows, permitindo que ele ignore o Controle de Conta de Usuário.
“Uma vez que o malware foi instalado, ele pode roubar informações confidenciais, como credenciais armazenadas no navegador”, informam os pesquisadores.
Usuários desavisados podem abrir as portas para redes corporativas
Embora a campanha pareça estar focada em consumidores, e não nas empresas, a campanha pode ser uma ameaça às redes corporativas se as vítimas caírem no golpe e o malware for instalado.
Isso porque o roubo das credenciais pode incluir dados corporativos, sobretudo em tempos de trabalho remoto e de dispositivos compartilhados para atividades pessoais e profissionais. Como o foco é em usuários do Office 365 e do Google Workspace, é provável que esse seja o passo seguinte da campanha,
Mirar nos consumidores é um caminho de sucesso para os cibercriminosos, pois as pessoas parecem baixar a guarda com a comunicação eletrônica, sobretudo quando se trata de um aplicativo tão comumente usado como o WhatsApp. Além disso, com táticas cada vez mais sofisticadas, tem se tornado especialmente complexa a detecção de ameaças pelos usuários comuns.
É por isso que, além das soluções de segurança, empresas que querem se manter seguras precisam investir na educação e treinamento de colaboradores, a fim de que eles possam identificar ameaças de phishing e outros ataques comuns que, embora, a princípio, não mirem redes corporativas, podem abrir as portas para uma invasão em larga escala.
Quer proteger sua empresa dos diversos ataques e golpes cibernéticos em circulação atualmente? Conheça as soluções de segurança da Compugraf e saiba como podemos ajudar os seus colaboradores a se manterem seguros!
- Published in Noticias
Centenas de pacotes maliciosos foram encontrados em “fábrica” de npm
Mais de 700 pacotes maliciosos foram publicados em apenas cinco dias em campanha escalável e complexa, visando desenvolvedores
Em março deste ano, pesquisadores da empresa de softwares JFrog divulgaram uma campanha que indicava que um criminoso, ainda não-identificado, havia publicado pelo menos 200 pacotes maliciosos no Node Package Manager (npm) – a plataforma de gerenciamento de softwares subsidiária do GitHub.
A equipe disse que esses repositórios foram detectados pela primeira vez em 21 de março e cresceram rapidamente em volume, com cada pacote npm deliberadamente nomeado de modo a imitar um software legítimo.
Após continuidade da investigação, a contagem de pacotes maliciosos publicado ultrapassou os 700.
O que é e para que serve o npm
De forma bastante sucinta, npm é o gerenciador de pacotes para a plataforma Node.js, um software open-source e multiplataforma para desenvolvimento e execução de códigos JavaScript.
O npm serve para organizar módulos para que o Node possa encontrá-los de forma facilitada, bem como gerenciar conflitos de dependência de forma inteligente nos códigos. O npm é altamente customizável, a fim de apoiar uma ampla variedade de possibilidades de uso. Mais comumente, é usado para publicar, descobrir, instalar e desenvolver programas em Java.
Por isso, quando utilizado para fins maliciosos, pode se tornar uma arma bastante perigosa.
A campanha de npm é complexa e escalável
No dia 28 de marçod, pesquisadores da Checkmarx, empresa de segurança de software, disseram que a equipe de Supply Chain Security (SCS) da empresa também está rastreando essas atividades e registrou mais de 600 pacotes maliciosos publicados em cinco dias, elevando o total de pacotes para mais de 700.
Para tentar manter a discrição dos ataques, o criminoso tem usado contas de usuário únicas para subir os pacotes.
“Isso é incomum para a maioria dos ataques automatizados; geralmente, os invasores criam um único usuário e expandem seus ataques a partir dele”, dizem os pesquisadores. “A partir desse comportamento, podemos concluir que o invasor construiu um processo de automação de ponta a ponta, incluindo o registro de usuários e a aprovação das autenticações OTP”.
De acordo com a Checkmarx, a “fábrica” do invasor está desenvolvendo pacotes npm maliciosos que contam com uma confusão proposital na dependência de tipo para enganar os desenvolvedores e roubar seus dados com sucesso.
Como a fábrica de npm funciona
Conforme observado anteriormente pela JFrog, o método de ataque depende de typosquatting – isto é, sequestro de URLs – e de nomenclaturas que simulam pacotes confiáveis, geralmente removendo partes do nome de um pacote para parecer mais legítimo.
O servidor de comando e controle (C2) usado para gerenciar a infraestrutura geral da onda de ataque, “rt11[.]ml”, também é o endereço do destinatário para as informações roubadas. O C2 parece estar executando o Interactsh, uma ferramenta de código aberto escrita na linguagem de programação Go para extração de dados.
A Checkmarx configurou seu próprio domínio e servidor a fim de entender melhor o método do invasor. Escreveram, então, um script que abre contas npm mediante solicitação, usando o software de teste SeleniumLibrary. O script pode gerar nomes de usuário e endereços de e-mail aleatoriamente no domínio de teste e inicia automaticamente o processo de inscrição.
É aí que entra o Interactsh. Para ignorar a verificação de senha de uso único (OTP) usada pelo npm, o Interactsh extrai automaticamente o OTP e o envia de volta ao formulário de inscrição, permitindo que a solicitação de criação de conta seja bem-sucedida, se esquivando das medidas de segurança.
“Vale ressaltar que, uma vez criada a conta de usuário, é possível configurá-la de forma a não exigir OTP para publicar um pacote”, disseram os pesquisadores. “Isso pode ser feito usando um token de autenticação e configurando-o para funcionar sem 2FA. Presumimos que é assim que os invasores que publicaram pacotes maliciosos foram capazes de automatizar seu processo sem configurar o mecanismo descrito.”
A Checkmarx, assim como a JFrog, relataram os pacotes maliciosos à equipe de segurança do npm. Além disso, a empresa que fornece o servidor C2 também foi notificada.
“Ao distribuir os pacotes por meio de vários nomes de usuário, o invasor torna mais difícil para os defensores derrubá-los de forma assertiva e eficaz”, observaram os pesquisadores. “Com isso, é claro, aumentam as chances de infecção.”
Quer manter sua empresa protegida de diferentes tipos de ataques cibernéticos? Confira as soluções de segurança da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
Malware Borat RAT: uma ameaça tripla que combina RAT, spyware e ransomware
O malware combina acesso remoto, spyware e ransomware em um pacote inspirado no clássico personagem “Borat”
Um novo Trojan de Acesso Remoto (RAT) pode até ter um nome divertido para alguns, mas sua combinação única de ameaças mostra que o malware não tem nada de engraçado.
Apelidado de Borat RAT, o Cyble Research Labs divulgou, em uma análise recente do malware, que a nova ameaça não se restringe aos recursos padrão de acesso remoto; em vez disso, o Borat RAT também inclui funções de spyware e ransomware – evoluções de malware que tornam a ameaça especialmente nociva.
De acordo com os pesquisadores de segurança cibernética, o Trojan, que leva o nome do personagem adotado pelo comediante Sacha Baron Cohen e protagonista da série de clássicos da comédia norte-americana, “Borat!”, cujo primeiro filme “O Segundo Melhor Repórter do Glorioso País Cazaquistão Viaja à América” foi sucesso mundial de bilheteria, é colocado à venda para cibercriminosos em fóruns clandestinos.
A ameaça possui um painel de controle centralizado e sua estrutura conta com módulos de construção de código e de recursos e um certificado de servidor.
Por dentro do malware Borat RAT
Os recursos do malware são vastos e incluem um keylogger, um componente de criptografia e descriptografia de ransomware – bem como a opção para os usuários gerarem suas próprias notas de resgate – e um recurso opcional de negação de serviço distribuído (DDoS) para “interromper o tráfego habitual de um servidor de destino”, de acordo com o relatório da Cyble.
O uso de “RAT” no nome – além de inspirar o trocadilho com “Borat” – também dá um indicativo dos recursos remotos e de vigilância desse malware altamente elaborado.
O Borat RAT pode gravar remotamente o áudio de uma máquina, comprometendo seu microfone, capturar imagens da webcam e também disponibiliza uma série de alternativas de controle remoto: sequestro de mouse ou teclado, captura de tela, adulteração de configurações do sistema e roubo e exclusão de arquivos.
O Borat RAT também utiliza o esvaziamento de processos para comprometer processos legítimos no dispositivo da vítima e também pode permitir que proxies reversos permaneçam sob o radar enquanto são realizadas atividades maliciosas.
Como o malware funciona
Se o ataque for bem-sucedido, o malware coletará dados, incluindo informações do sistema operacional, antes de enviá-los para um servidor de comando e controle (C2) controlado pelo invasor.
Além disso, o Borat RAT extrairá informações do navegador, como cookies, históricos de navegação, marcadores e favoritos e credenciais dos usuários. Tokens do Discord também podem ser roubados. A ameaça afeta navegadores como o Chrome e o Microsoft Edge baseado em Chromium.
O relatório que detalha a ameaça informa que o malware também pode executar outras funções com o objetivo de “perturbar” suas vítimas, incluindo reproduzir áudios, trocar as funções dos botões do mouse, mostrar ou ocultar uma área de trabalho e barra de tarefas, congelar o mouse, adulterar as luzes da webcam, desligar um monitor e muito mais. Essas perturbações muito provavelmente também foram inspiradas no personagem que lhe empresta o nome.
Trata-se de uma das ameaças mais complexas e disruptivas já vista nos últimos tempos, destacam os pesquisadores. Embora ainda se tenha poucos detalhes de ataques que exploram o malware, é certo que eles ocorrerão em breve.
Mantenha sua empresa e seus dispositivos seguros. Consulte as soluções da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
Spring4Shell: Microsoft pede que seus usuários corrijam com urgência este perigoso bug
Microsoft pede que clientes de seus serviços corrijam o bug Spring4Shell Java, derivado do altamente malicioso Log4Shell
O bug Spring4Shell é uma falha descoberta recentemente no Spring Framework para Java, um framework open source amplamente utilizado ao redor do mundo.
Em um alerta de segurança emitido em abril, a Microsoft pede, com urgência, que clientes de seu serviço baseado em nuvem, o Azure, corrijam o bug – uma vulnerabilidade de execução remota de código (RCE) de classificação crítica, que foi marcada como CVE-2022-22965 e apelidada de SpringShell ou Spring4Shell – uma reviravolta no altamente danoso bug Log4Shell que afeta outro utilitário de criação de logs de aplicativos baseados em Java.
Embora, inicialmente, tenha havido um debate e algumas discordâncias sobre a gravidade do bug, investigações feitas por pesquisadores de segurança nos dias seguintes à descoberta da falha revelaram que o Spring4Shell era de fato um bug sério que merecia atenção.
Agência de segurança dos Estados Unidos emite alerta contra o Spring4Shell
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), no dia 1º de abril, instou todas as organizações, incluindo agências federais, a corrigir o bug imediatamente. Em 4 de abril, a CISA adicionou o bug ao seu catálogo de vulnerabilidades exploradas conhecidas, o que exige que as agências federais o corrijam dentro do prazo estipulado pela agência.
O que torna a ameaça tão grave é o fato de o Spring Framework ser “o framework de código aberto leve mais amplamente usado para Java”, observa a Microsoft. O bug reside no Java Development Kit (JDK) da versão 9.0 e superior se o sistema também estiver usando Spring Framework versões 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 e anteriores.
“No Java Development Kit (JDK) versão 9.0 ou posterior, um invasor remoto pode obter acesso via AccessLogValve, por meio do recurso de vinculação de parâmetros da estrutura e usar valores de campo maliciosos para acionar o mecanismo de pipeline e gravar em um arquivo em um caminho arbitrário, se determinadas condições são atendidas”, relata a equipe de inteligência de ameaças do Microsoft Defender.
Outras condições necessárias para a exploração incluem que o Apache Tomcat (servidor web Java) sirva como o contêiner principal e que o aplicativo seja empacotado como um arquivo web Java tradicional (WAR) e implantado em uma instância Tomcat independente.
“Qualquer sistema usando JDK 9.0 ou posterior e usando o Spring Framework ou estruturas derivadas deve ser considerado vulnerável”, observa a Microsoft.
A Microsoft observa que a única exploração de trabalho, uma prova de conceito, só pode ser usada remotamente em um servidor Tomcat por meio de seu módulo de log usando determinados comandos. Um invasor pode alterar os logs de acesso padrão para qualquer arquivo que desejar, emitindo solicitações para ele pela web. O invasor pode, também, alterar o conteúdo de um servidor ou aplicativo da Web.
O impacto do Spring4Shell em softwares e hardwares
Assim como o Log4Shell, o impacto do Spring4Shell é sentido por meio de sua inclusão em outros produtos. A empresa de softwares VMware, por exemplo, alertou que a vulnerabilidade afetou seus serviços para dispositivos virtuais.
“O exploit atual aproveita o mesmo mecanismo do CVE-2010-1622 (Log4Shell), ignorando a correção de bug anterior. O Java 9 adicionou uma nova tecnologia chamada Java Modules”, avalia a Microsoft.
As equipes de segurança interessadas em pesquisar o assunto podem consultar esta postagem do usuário no GitHub. A equipe por trás do Spring também explicou o patch e a vulnerabilidade aqui.
Para se proteger, é fundamental contar com as últimas soluções de cibersegurança, além de uma política contínua de detecção e revisão de vulnerabilidades.
Nós podemos te ajudar! Conheça os produtos de segurança da informação da Compugraf ou entre em contato com nossos especialistas!
- Published in Noticias
Cibercriminosos miram em fontes de energia de infraestruturas críticas
Dispositivos criados para garantir o funcionamento ininterrupto de estruturas críticas de TI e sistemas de informação, em geral, são os novos alvos estratégicos de cibercriminosos
Novos ciberataques têm como alvo dispositivos de fonte de energia ininterrupta (uninterrupted power supply ou UPS), mais conhecidos na forma de no-breaks, por exemplo, que fornecem uma espécie de backup de bateria durante picos de uso e interrupções de energia.
Os dispositivos UPS são geralmente usados em ambientes de infraestrutura crítica, protegendo instalações, equipamentos de TI e importantes sistemas de organizações essenciais. Logo, os riscos de um ataque dessa magnitude podem ser catastróficos, dependendo da organização-alvo.
Essas informações foram divulgadas pela equipe de pesquisa da Agência de Segurança Cibernética e Infraestrutura (CISA) e o Departamento de Energia dos EUA, que alertaram que agentes maliciosos estão mirando em versões conectadas à Internet de UPSs sobretudo por meio de nomes de usuários e senhas-padrão- embora vulnerabilidades, como bugs de dispositivo – também façam parte das muitas portas de entrada para invasores.
O risco de UPSs vulneráveis
“Nos últimos anos, os fornecedores de UPS adicionaram um recurso de Internet das Coisas [IoT] aos dispositivos, de modo que, agora, eles são rotineiramente conectados a redes cibernéticas para monitoramento de energia, manutenção de rotina e/ou conveniência”, informa o relatório de alerta da CISA, divulgado em março.
“As cargas de UPSs podem variar das mais baixas (por exemplo, alguns servidores) a grandes (por exemplo, um prédio) ou massivas (por exemplo, um data center)”, diz a CISA.
Se os invasores conseguirem controlar remotamente os dispositivos, eles poderão ser usados para uma série de fins potencialmente catastróficos.
Por exemplo, cibercriminosos podem usá-los como ponto de partida para violar a rede interna de uma empresa e roubar dados. Ou, em um cenário mais controverso, eles podem ser usados para cortar a energia de aparelhos, equipamentos ou serviços de infraestrutura crítica, o que pode causar danos físicos em um ambiente industrial ou interromper os serviços de negócios, levando a perdas financeiras significativas.
Além disso, os ciberataques também podem executar código remoto para alterar a operação dos próprios UPSs ou danificá-los fisicamente (ou danificar os dispositivos conectados a eles).
“É fácil esquecer que todos os dispositivos conectados à Internet correm maior risco de ataque”, observou Tim Erlin, vice-presidente da Tripwire, à imprensa. “Só porque um fornecedor oferece a possibilidade de conectar um dispositivo à Internet, não significa que ele esteja configurado para ser seguro. Cabe a cada organização garantir que os sistemas que utilizam sejam configurados com segurança.”
Corrigir a vulnerabilidade de UPSs não é difícil, porém…
Os responsáveis pela manutenção dos UPSs, que, de acordo com o que a CISA observou, pode incluir equipe de TI, equipe de operações, operadores de manutenção industrial ou terceirizados de serviços de monitoramento, têm uma solução fácil para o problema: enumerar todos os UPSs com IoT conectados e, simplesmente, deixá-los offline.
Se a manutenção de uma conexão IoT ativa for um requisito, os administradores devem alterar as credenciais padrão para uma combinação forte de nome de usuário e senha – e, de preferência, implementar também a autenticação multifator (MFA), acrescentou a CISA.
Outros recursos de mitigação, de acordo com o relatório, são: garantir que os UPSs estejam por trás de uma rede privada virtual (VPN) e adotar recursos de bloqueio de login após determinado período, para que os dispositivos não estejam continuamente online e vulneráveis.
Quer manter os dispositivos da sua empresa seguros? Conheça as soluções da Compugraf e saiba como podemos ajudar!
- Published in Noticias
Como a guerra entre Rússia e Ucrânia afeta a cibersegurança mundial
No dia 24 de fevereiro de 2022, a Rússia invadiu a Ucrânia, atacando instalações militares e ocupando, no dia seguinte, a capital do país, Kiev, sob a justificativa de uma missão de desmilitarização e “desnazificação” do país.
Em meio ao ataque, que já se estende por quase um mês, tropas militares russas já comprometeram núcleos industriais, militares e até mesmo nucleares, como foi o caso da usina de Zaporizhzhia, além da devastação de áreas civis que forçou uma migração em massa de cidadãos ucranianos para países vizinhos do Leste Europeu.
As consequências socioeconômicas dessa guerra já respingam sobre diversos setores do mercado global, bagunçam investimentos e alertam para as consequências cruéis de um conflito entre países com tamanho nível de desenvolvimento nuclear. E o setor de tecnologia e cibersegurança não fica atrás, uma vez que tanto a Rússia quanto a Ucrânia são alguns dos principais fornecedores de matéria-prima para hardwares, além de – sobretudo a Rússia – abrigarem alguns dos principais grupos de hackers da atualidade.
Se os desdobramentos da pandemia da COVID-19 ao longo de 2020 e 2021 pareciam querer dar um respiro em 2022, agora, porém, o cenário é bem diferente.
Mercado de chips e hardwares em queda
A Ucrânia é um dos polos de produção de gás neon, matéria-prima para a produção de chips. Já a Rússia é responsável por 35% da exportação de paládio, metal raro utilizado na fabricação de componentes de memórias e sensores eletrônicos.
Além disso, o neônio, semicondutor, é subproduto da siderurgia da Rússia, purificado na Ucrânia; ambos os países respondem por 90% da exportação do gás para os Estados Unidos.
De acordo com dados Abinee, a Associação Brasileira da Indústria Elétrica e Eletrônica, só na pandemia o mercado de produtos eletrônicos viu uma interrupção de 15% na fabricação de componentes eletrônicos. 73% dos fabricantes têm dificuldade em encontrar semicondutores.
Com os ataques da Rússia à Ucrânia, o fornecimento de matéria-prima é comprometido, o que eleva o custo de aquisição de gases e metais essenciais para a produção de chips e outros componentes. Somada à crise anterior, provocada pela pandemia, as consequências são ainda piores.
Para o consumidor final, a questão se reflete em um aumento significativo no preço de celulares, notebooks, televisores, dentre outros eletrônicos.
Rússia cria seus próprios certificados de segurança
Já adentrando a cibersegurança, o conflito Rússia-Ucrânia traz modificações interessantes em soluções de segurança cibernética internacionais.
Recentemente, a Rússia está fornecendo a sua própria autoridade de certificação (CA) de Transport Layer Security (TLS), paraa fim de substituir os certificados que precisam ser renovados por países estrangeiros.
Isso porque muitas das sanções impostas após a invasão da Ucrânia está prejudicando o acesso dos cidadãos russos a diferentes websites.
Mais comumente conhecido como SSL, ou TLS/SSL –, o TLS é um protocolo de segurança que criptografa os dados compartilhados entre um navegador, os sites que o usuário visita e o servidor do site. Os certificados mantêm a transmissão de dados privada e evitam sua modificação, perda ou roubo.
Porém, atualmente, os sites russos foram bloqueados e se viram incapazes de renovar seus certificados porque as sanções continuam sendo assinadas por autoridades em muitos países que não estão aceitando pagamentos da Rússia.
Em larga escala, a impossibilidade de renovar medidas de segurança por sanções e boicotes a um governo – qualquer que seja – pode abrir brechas altamente estratégicas para agentes mal-intencionados terem acessos a dados desprotegidos.
Ataques de phishing explorando a situação Rússia-Ucrânia
Como de praxe, ameaças cibernéticas também têm explorado o conflito para fazer vítimas. Em março, e-mails de phishing foram enviados para usuários da Microsoft, teoricamente alertando sobre “hackers liderados por Moscou que buscam roubar contas de usuários”; a campanha, porém, tem como objetivo levantar credenciais e outros detalhes pessoais desses usuários, que poderão ser usados em outros ataques mais graves.
Os e-mails fornecem um botão para “denunciar o usuário” e uma opção de cancelamento de assinatura, de acordo com uma análise da Malwarebytes.
Contudo, clicar no botão cria uma nova mensagem com a linha de assunto “Denunciar o usuário”. O endereço de e-mail do destinatário faz referência à proteção de conta da Microsoft. As pessoas que enviam uma resposta a essa mensagem quase certamente receberão uma solicitação de detalhes de login e possivelmente informações de pagamento por meio de uma página de phishing falsa.
Se ela fornecer seus dados, eles caem nas mãos de cibercriminosos.
A tendência é…?
Esses são apenas alguns exemplos de como a guerra entre Rússia e Ucrânia vem afetando o setor de tecnologia e cibersegurança. Mesmo com os países negociando um cessar-fogo, a expectativa é que as consequências do conflito continuem afetando, direta ou indiretamente, o fornecimento de recursos primários para a produção de eletrônicos e, com cada vez mais nações se aliando à Ucrânia, novas sanções podem mudar a forma como pensamos cibersegurança mundialmente.
Alguns especialistas dizem que a tendência é piorar; outros, que a coligação em prol de impedir a escalada do conflito tende a trazer alianças importantes, pelo menos no que diz respeito à segurança global.
Continue por dentro dos principais assuntos de cibersegurança. Inscreva-se na newsletter da Compugraf e receba conteúdo exclusivo direto no seu e-mail!
- Published in Noticias
Falha de segurança no Linux expõe organizações a alto risco
Dois pesquisadores da multinacional de tecnologia Huawei – Yiqi Sun e Kevin Wang – descobriram recentemente uma vulnerabilidade no recurso de “grupos de controle” do kernel do Linux. Basicamente, o kernel é o núcleo de um sistema operacional, de modo que essa vulnerabilidade permitiria que invasores escalem seus privilégios em uma rede ou dispositivo e executem comandos arbitrários a partir de uma máquina (host).
O bug (CVE-2022-0492) existe no recurso “cgroup_release_agent_write” do kernel.
“Essa falha, quando explorada, permite o uso do recurso cgroups v1 release_agent para escalar privilégios e ignorar o isolamento do namespace – uma medida de hierarquização e categorização – inesperadamente”, informa um comunicado do National Vulnerability Database, que ainda não determinou uma pontuação de gravidade CVSS para o bug.
Isso permitiria a fuga de contêineres em ambientes do kernel, descobriram os pesquisadores – isto é, um invasor teria a capacidade de acessar contêineres de outros usuários em ambientes de nuvem pública, aumentando seus privilégios.
Os grupos de controle do Linux – chamados “cgroups” – permitem que os administradores do sistema aloquem recursos de computação – memória, largura de banda, etc. – entre quaisquer processos que possam ser executados em um sistema. Nas palavras da Red Hat – um dos principais grupos contribuintes para o desenvolvimento do kernel Linux – os cgroups permitem “um controle refinado sobre alocação, priorização, negação, gerenciamento e monitoramento de recursos do sistema”.
Nas mãos certas, os cgroups são, portanto, uma ferramenta poderosa para controle e segurança de um sistema.
Como a CVE do kernel pode afetar os cgroups
Existem dois tipos de arquitetura de cgroups – chamados v1 e v2, com diferentes arquiteturas de informação; a CVE-2022-0492 afeta apenas v1, informam os pesquisadores da Huawei.
Pesquisadores da Palo Alto Networks, que escreveram sua própria análise e sugestão de correção para o problema, complementam que “o Linux simplesmente não verificou se o processo de configuração do arquivo release_agent tem privilégios administrativos”.
O arquivo release_agent “permite que os administradores configurem um programa de ‘agente de lançamento’, que seria executado após o término de um processo no cgroup”, acrescentaram. Assim, invasores capazes manipular o arquivo release_agent podem explorá-lo para obter privilégios totais de administrador.
No dia 4 de fevereiro, um pesquisador de segurança relatou que o bug havia sido corrigido de modo a passar a exigir “recursos para definir o release_agent”.
Além disso, de acordo com uma comunidade de desenvolvedores do Github, “o cgroup release_agent é chamado com ‘call_usermodehelper’. A função call_usermodehelper inicia o release_agent com um conjunto completo de recursos. Portanto, é necessário exigir recursos ao definir o release_agent, a fim de evitar a vulnerabilidade.”
Uma falha no cgroups pode merecer atenção especial porque, observaram as análises, “na maioria das organizações, esse nível de detalhamento não é coberto pelo plano de segurança empresarial”.
Ativar o gerenciamento granular de privilégios nos ambientes de desenvolvimento pode ajudar a mitigar essas vulnerabilidades, mesmo antes de se tornarem amplamente conhecidas. Em última análise, porém, o patch é a ação mais importante.
O mais recente de uma série de bugs do kernel
Como o kernel fica no núcleo do sistema operacional de um computador, as vulnerabilidades de segurança que podem surgir dele tendem a ser bastante sérias.
No final do ano passado, por exemplo, um bug de comprometimento de heap crítico introduziu a possibilidade de execução remota de código e controle total de máquinas Linux. Esse bug foi classificado como crítico pelo NIST NVD, com uma pontuação CVSS de 9,8 para 10.
E várias outras vulnerabilidades foram descobertas no kernel nos últimos meses. Fevereiro trouxe o CVE-2022-0185, que, assim como a CVE-2022-0492, expôs a possibilidade de escalonamento de privilégios não-autorizados.
Mais recentemente – em março – um pesquisador publicou os detalhes do CVE-2022-0847 (também conhecido como “Dirty Pipe”), que permite que processos sem privilégios injetem código em processos raiz, substituindo dados em arquivos de leitura (readme) arbitrários e abrindo caminho para o escalonamento de privilégios e a execução arbitrária de código.
Como o Linux é o sistema favorito dos desenvolvedores e de estruturas complexas de operações digitais, qualquer vulnerabilidade relacionada ao sistema chama a atenção para a possibilidade de ataques altamente prejudiciais às organizações que têm na plataforma a base de sua estrutura.
Vulnerabilidades que atingem o núcleo desse sistema, porém, são especialmente urgentes. Planos de segurança que contemplam, também, as operações mais capilares dentro de uma estrutura tecnológica são essenciais para a prevenção desses riscos.
Quer manter seus dispositivos seguros? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
Antigas vulnerabilidades de segurança estão criando novas oportunidades para hackers
Mais da metade das vulnerabilidades de segurança têm mais de cinco anos e deixá-las sem correção é perigoso para as empresas
Vulnerabilidades antigas de segurança em redes corporativas estão deixando as organizações expostas a riscos cibernéticos, como ameaças de ransomware e outros ataques cibernéticos, à medida que os hackers procuram explorar ativamente sistemas não-corrigidos e softwares legacy – isto é, aqueles softwares utilizados há muito tempo pelas empresas e que podem estar sujeitos a essas vulnerabilidades.
Uma análise de pesquisadores de segurança cibernética da F-Secure sugere que 61% das vulnerabilidades de segurança que existem em redes corporativas são de 2016 ou até mais antigas, apesar de os patches estarem disponíveis há pelo menos cinco anos ou mais. Algumas das vulnerabilidades que continuam a ser exploradas para violar redes têm mais de uma década.
Vulnerabilidades não-corrigidas são “porta da frente” para criminosos cibernéticos
Uma das vulnerabilidades não corrigidas mais comuns que preocupam as empresas é a CVE-2017-11882, um antigo problema de corrupção de memória no Microsoft Office, incluindo o Office 365, que foi descoberto e corrigido em 2017, mas que existia desde 2000. De acordo com a F-Secure, é uma das vulnerabilidades mais exploradas em sistemas Windows.
A vulnerabilidade requer pouca interação do usuário, tornando-a útil para criminosos cibernéticos que mobilizam campanhas de phishing. Os pesquisadores observam que, desde que foi detalhada em 2017, a vulnerabilidade tem sido usada regularmente por grupos de hackers, incluindo o Cobalt Group – uma das gangues mais perigosas da atualidade, responsável por ataques de malware em larga escala.
Outras vulnerabilidades comuns detalhadas no documento de pesquisa dos analistas de segurança incluem a CVE-2012-1723, uma vulnerabilidade no componente Java Runtime Environment (JRE) no Oracle Java SE 7, que foi detalhada em 2012.
Os patches de segurança estão disponíveis para proteção contra essas vulnerabilidades e poderiam ter sido implementados há anos, mas muitas organizações não aplicaram as atualizações e não têm uma rotina de correção de vulnerabilidades, deixando suas redes vulneráveis a diferentes formas de invasão por parte dos criminosos cibernéticos.
É quase como se escolhessem dormir com a porta da frente destrancada em uma região altamente perigosa.
As principais ameaças que exploram vulnerabilidades de segurança
Ainda de acordo com o relatório, as organizações veem o ransomware como a principal ameaça à segurança cibernética, mas as outros ataques também podem ser explorados por criminosos cibernéticos que procuram implantar malware, por exemplo, ou obter acesso a redes roubando nomes de usuário e senhas.
Mas não são apenas os criminosos cibernéticos que representam um risco para as organizações: os grupos de hackers financiados pelo Estado – isto é, espiões ou criminosos com objetivos políticos – costumam usar exatamente as mesmas vulnerabilidades, uma vez que elas podem ser usadas para fornecer acesso relativamente fácil às redes.
E, convenhamos, identificar e gerenciar vulnerabilidades pode ser uma tarefa difícil, especialmente para grandes organizações com vastas propriedades de TI. Por outro lado, a maneira mais eficaz de impedir que criminosos cibernéticos explorem vulnerabilidades é se assegurando de que o departamento de TI e as equipes de segurança da informação saibam o que acontece na rede e tenham planos para proteger esses canais de entrada através da aplicação de patches de segurança, defesas reforçadas ou, no melhor dos cenários, ambos.
“As organizações que entendem suas propriedades de TI, quais oportunidades elas têm para detectar ataques e quais riscos e ameaças estão enfrentando em seu setor, podem se preparar para mitigar a maioria dos danos causados pelos tipos de ataques de ransomware que vemos hoje”, disse a Diretora Global de Resposta a Incidentes da F-Secure, Joani Green.
“Detectar ataques é obviamente o primeiro passo, mas as organizações que preparam um plano completo de resposta podem acabar com esses incidentes em questão de horas, em vez de dias ou semanas”, disse ela.
Quer saber como proteger sua empresa? Entre em contato com os especialistas da Compugraf e saiba como podemos ajudar!
- Published in Noticias
Ciberataques exploram DocuSign para roubar logins do Microsoft Outlook
Além disso, um ataque direcionado de phishing tenta derrubar uma grande empresa de pagamentos dos EUA
Uma sofisticada campanha de phishing direcionada a uma grande empresa de soluções integradas de pagamento fez uso da plataforma de assinatura eletrônica DocuSign e de um domínio de e-mail comprometido de um fornecedor para contornar as medidas de segurança tradicionais de e-mail. A empresa, de acordo com os pesquisadores da Armorblox, possui capital aberto e está localizada na América do Norte.
A campanha espalhou e-mails aparentemente inócuos em nome do fornecedor comprometido, com o objetivo de roubar credenciais de login da Microsoft, que poderiam ser usados para ataques de engenharia social ou para escalonamento de ameaça, revelaram os pesquisadores.
Criminosos se disfarçam de plataforma de assinatura eletrônica DocuSign
Cerca de 550 membros da empresa vítima receberam o mesmo e-mail em suas caixas de entrada, informam os pesquisadores. O nome do remetente era “Hannah Mcdonald”, e a linha de assunto e o corpo do e-mail eram bem simples e diretos, como pode ser visto na imagem abaixo, e se passam por uma “revisão de contrato”:
Aqueles que clicaram no link do e-mail receberam uma prévia de um documento eletrônico que simulava um documento enviado por meio do DocuSign, um software bastante utilizado de assinatura eletrônica.
A visualização parecia uma página de destino legítima do DocuSign, com um aviso para que o usuário “revisasse e assinasse” o documento; a página também indicava que outras partes já haviam adicionado suas assinaturas.
A visualização foi hospedada no Axure, observaram os pesquisadores – um portal válido de prototipagem baseado em nuvem.
Curiosamente, assim como na plataforma legítima, a página forjada continha um aviso de segurança cibernética, aconselhando o alvo a não compartilhar o acesso com outras pessoas, em letras miúdas.
Aqueles que clicaram para visualizar o documento foram apresentados a uma página de login único da Microsoft. Quaisquer credenciais de login inseridas nesta página acabariam nas mãos dos invasores.
Segurança básica de e-mail não protege usuários
Os e-mails de phishing escaparam com sucesso das medidas tradicionais de segurança de e-mail, em parte porque vieram de um domínio legítima pertencente à Term Brokers Insurance.
O relatório observou que “uma verificação rápida do endereço de domínio não teria alertado o usuário final sobre uma possível atividade fraudulenta devido à validade do domínio. No setor de pagamentos, esse domínio teria passado na maioria das políticas de segurança personalizadas, aumentando ainda mais a chance de os usuários finais serem vítimas desse sofisticado ataque de phishing.”
O nível de confiança de spam (SCL) da Microsoft – uma medida da legitimidade aparente de qualquer e-mail – atribuiu a esses e-mails maliciosos uma pontuação de ‘-1’. -1 é o menor valor possível, permitindo que uma mensagem pule o sistema de filtragem automático, pois, em teoria, “se trata de um remetente seguro, foi enviado para um destinatário seguro ou é de um servidor de origem de e-mail na Lista de Permissões de IP.”
Aproveitar serviços de nuvem confiáveis também é uma tática cada vez mais comum para evitar filtros automáticos de segurança de e-mail. Afinal, um link benigno enviado de um aplicativo aparentemente conhecido e confiável não contém conteúdo malicioso inerente e consegue passar despercebido pelas tecnologias de segurança de e-mail.
Somente nos primeiros três meses de 2021, os pesquisadores encontraram 7 milhões de e-mails maliciosos enviados do Microsoft 365 e impressionantes 45 milhões enviados dos serviços e infraestrutura em nuvem do Google, informou a Proofpoint, destacando que os cibercriminosos usaram empresas como Office 365, Azure, OneDrive, SharePoint, G-Suite e Firebase para enviar e-mails de phishing e ataques de host.
O relatório da Armorblox é concluído com a recomendação de que alvos em potencial permaneçam vigilantes quanto à filtragem básica de segurança – não abrindo e-mails que não estão esperando, observando ataques direcionados e usando ferramentas como gerenciadores de senhas e autenticação multifator para evitar serem vítimas de golpes.
Quer manter a sua empresa segura contra ataques de phishing? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!
- Published in Noticias