github-actions[bot]
commented
1 year ago Boletim de Segurança
:arrow_right: A Microsoft ativa a proteção LSA por padrão na compilação do Windows Canary. A Microsoft diz que a versão mais recente do Windows 11 lançada para Insiders no canal Canary habilitará a proteção da Autoridade de Segurança Local (LSA) por padrão. A proteção LSA é crucial para proteção contra roubo de informações confidenciais ou credenciais de login, bloqueando a injeção de código não confiável no processo LSA e bloqueando o despejo de memória do processo. Conforme descrito pela Microsoft no aplicativo de segurança do Windows 11, ele “ajuda a proteger as credenciais do usuário, impedindo que drivers e plug-ins não assinados sejam carregados na autoridade de segurança local”. Em termos mais simples, a proteção LSA atua como um gatekeeper, garantindo que apenas entidades autorizadas possam obter acesso a informações críticas necessárias para autenticação do usuário e segurança do sistema. No entanto, há ressalvas, pois essa nova opção de segurança do Windows 11 só será habilitada se passar por uma auditoria que verifique se há incompatibilidades no sistema (a Microsoft não explicou quais problemas de compatibilidade está verificando). Ontem, a Microsoft também lançou uma nova compilação de visualização do Windows 11 para o Dev Channel reinicializado, que vem com vários novos recursos, incluindo um novo botão de notificações para copiar códigos 2FA, chaves de acesso do File Explorer e um novo indicador de status VPN.
:arrow_right: Ransomware IceFire explora o IBM Aspera Faspex para atacar redes corporativas. Uma cepa de ransomware para Windows anteriormente conhecida como IceFire expandiu seu foco para atingir redes corporativas Linux pertencentes a várias organizações do setor de mídia e entretenimento em todo o mundo. As invasões envolvem a exploração de uma vulnerabilidade de desserialização recentemente divulgada no software de compartilhamento de arquivos IBM Aspera Faspex, de acordo com a empresa de segurança cibernética SentinelOne. A maioria dos ataques observados foram direcionados contra empresas localizadas na Turquia, Irã, Paquistão e Emirados Árabes, países que normalmente não são alvo de equipes organizadas de ransomware. O ransomware binário direcionado ao Linux é um arquivo ELF de 2,18 MB e 64 bits instalado em hosts CentOS que executam uma versão vulnerável do software de servidor de arquivos IBM Aspera Faspex. Também é capaz de evitar a criptografia de certos caminhos para que a máquina infectada continue operacional.
:arrow_right: Cibercriminosos usam OneNote como novo canal de distribuição de Malware. Qakbot, Qbot, Pinkslipbot, QuakBot, um malware sofisticado com vários nomes. Ele está ativo há mais de uma década e, em janeiro, os pesquisadores observaram campanhas do Qakbot usando documentos do OneNote para propagar a distribuição. Isso marca o Qbot como outro em uma série de vários malwares que usam esse método de distribuição. As campanhas alternam entre dois vetores de ataque: uma URL incorporada no e-mail para baixar o arquivo malicioso e um arquivo malicioso como anexo de e-mail. Os documentos do OneNote apresentam um botão de chamada para ação que, uma vez clicado, executa a carga útil. O Qakbot usa várias técnicas de evasão, incluindo antidepuração, análise antidinâmica, anti-AVs e comunicação C2 criptografada. Os pesquisadores observaram duas campanhas paralelas de spam, apelidadas de Qaknote, disseminando anexos maliciosos do OneNote com um aplicativo HTML incorporado. Os pesquisadores compartilharam TTPs para detectar e mitigar essa ameaça. Essas medidas incluem o bloqueio de e-mails contendo anexos com extensões incomuns, evitando sites maliciosos e bloqueando domínios de nível superior raramente usados.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: