github-actions[bot]
commented
1 year ago Boletim de Segurança
:arrow_right: Cibercriminosos atacam milhares de servidores em nuvem com Ransomware. Um grupo identificado como Nevada, está atacando pequenas e médias organizações com ataques de ransomware nos EUA e na Europa. Segundo o relatório, o grupo visa comprometer mais de 5.000 vítimas nos EUA e na Europa. A maioria das entidades visadas está usando produtos VMware hospedados nos serviços de hospedagem de baixo custo oferecidos pelo provedor de nuvem europeu OVHcloud. Esses produtos VMware, implantados em servidores bare-metal, não receberam patches por vários anos. As entidades visadas incluem fabricantes na Alemanha, universidades nos Estados Unidos e na Hungria e grupos de transporte e construção na Itália. Os invasores estão pedindo dois Bitcoins (cerca de US$ 50.000), uma quantia de resgate relativamente pequena em comparação com grupos proeminentes de ransomware. Outra característica peculiar desses ataques é que as notas de resgate ficam visíveis publicamente, incluindo seus endereços de carteira Bitcoin, possibilitando o rastreamento das transações. Os ataques começaram há cerca de três semanas e, com base nos anúncios de novos recrutamentos na Internet, acredita-se que a maioria dos membros do Grupo Nevada seja da Rússia e da China.
:arrow_right: Bug do Chromium permitia o bypass do cookie SameSite. Um bug corrigido recentemente no projeto Chromium pode permitir que atores mal-intencionados ignorem um recurso de segurança que protege cookies confidenciais em navegadores Android. A configuração SameSite permite que os desenvolvedores restrinjam o acesso aos cookies. Por exemplo, definindo SameSite=strict, isso pode impedir que um cookie apareça em respostas HTTP se o usuário navegar para o site por meio de um link ou uma solicitação de redirecionamento de outro site. O pesquisador de segurança Axel Chong, descobriu que poderia ignorar a proteção do SameSite se usasse o esquema de intenção para navegar até o site de destino. Intents são manipuladores de protocolo externos que permitem que aplicativos Android abram outros aplicativos, como pular do navegador para o aplicativo Maps ou de um SMS para o navegador. Uma investigação mais aprofundada mostrou que os cookies SameSite também são transmitidos por meio de solicitações de redirecionamento simples sem o protocolo de intenção. Embora isso tenha sido corrigido em uma versão anterior do Chrome, ele foi desativado posteriormente porque causava alterações importantes.
:arrow_right: Microsoft emite alerta para servidores Exchange. A gigante de software disse esta semana que os administradores de sistemas agora devem incluir os arquivos ASP.NET temporários, pastas Inetsrv e os processos PowerShell na lista de arquivos e pastas a serem executados por meio de sistemas antivírus. A varredura desses objetos ajudará a afastar ameaças como webshells IIS e módulos backdoor, disse o fornecedor. “Os tempos mudaram, assim como o cenário de segurança cibernética”, escreveu a equipe do Exchange da Microsoft em um post esta semana. O Exchange também possui dados envolvendo permissões no Active Directory e acesso a ambientes de nuvem conectados à empresa. No final do mês passado, a Microsoft instou os usuários do servidor Exchange a garantir que seus sistemas estejam atualizados com as atualizações cumulativas e de segurança mais recentes e protegidos contra ataques cibernéticos. A empresa alertou que os malfeitores estão sempre procurando no Shodan e em outras fontes servidores Enterprise sem patches para explorar. A remoção dos objetos mais recentes da lista de exclusão aumentará ainda mais a segurança do servidor Exchange, de acordo com a equipe do Exchange. Ainda há muitos itens na lista de exclusão do servidor Exchange. Um dos principais motivos pelos quais um objeto é colocado nele é que sua verificação pelo sistema antivírus pode causar problemas de desempenho, erros ou travamentos.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: