github-actions[bot]
commented
1 year ago Boletim de Segurança
:arrow_right: Drivers do kernel do Windows são usados em ataques do grupo BlackCat. O ransomware BlackCat foi detectado em fevereiro, usando drivers de kernel do Windows assinados para evitar a detecção por ferramentas de segurança. O malware POORTRY é um driver do kernel do Windows assinado por meio de chaves roubadas de contas genuínas no Windows Hardware Developer Program. Embora o software de segurança seja geralmente protegido contra encerramento, os privilégios desfrutados pelos drivers do kernel do Windows são do mais alto nível e eles podem ser usados para finalizar qualquer processo. Quando os invasores tentaram usar o POORTRY, descobriram que a taxa de detecção desse malware pelo software de segurança era muito alta devido à publicidade que ganhou depois que as chaves de assinatura de código foram revogadas. Portanto, eles modificaram o driver do kernel POORTRY. Esse driver atualizado usado pela operação BlackCat permitiu que eles elevassem os privilégios em máquinas comprometidas e burlando os agentes de segurança. É que os administradores adicionem os drivers maliciosos usados pelos grupos de ransomware à lista de bloqueio de drivers do Windows.
:arrow_right: Fabricante de equipamentos MikroTik emite patch para o ROuterOS. O fabricante de equipamentos de rede MikroTik enviou um patch para uma grande falha de segurança em seu produto RouterOS e confirmou que a vulnerabilidade foi explorada há cinco meses no concurso de hackers Pwn2Own Toronto. A falha específica existe dentro do Router Advertising Daemon. O problema resulta da falta de validação adequada dos dados fornecidos pelo usuário, o que pode resultar em uma gravação após o final de um buffer alocado. Um invasor pode aproveitar essa vulnerabilidade para executar código malicioso. Os organizadores do Pwn2Own decidiram tornar público um aviso antes da disponibilidade dos patches, depois de esperar cinco meses para que o MikroTik reconhecesse e corrigisse a falha de segurança já explorada. As falhas de segurança nos roteadores MikroTik estão na lista de patches obrigatórios da CISA e foram usados no passado para criar botnets maliciosos.
:arrow_right: Malware Legion visa servidores AWS para roubo de credenciais. Uma versão atualizada do malware Legion vem com recursos expandidos para comprometer os servidores SSH e as credenciais da Amazon Web Services (AWS) associadas ao DynamoDB e CloudWatch. Esta atualização recente demonstra uma ampliação do escopo, com novos recursos, como a capacidade de comprometer servidores SSH e recuperar credenciais adicionais específicas da AWS de aplicativos da web Laravel. O malware foi documentado pela primeira vez no mês passado, detalhando sua capacidade de violar servidores SMTP vulneráveis para coletar credenciais. Uma adição notável ao Legion é sua capacidade de explorar servidores SSH usando o módulo Paramiko. Ele também inclui recursos para recuperar credenciais adicionais específicas da AWS relacionadas a aplicativos Web do Laravel, DynamoDB, CloudWatch e AWS Owl. Portanto, é recomendável que os desenvolvedores e administradores de aplicações Web revisem regularmente o acesso aos recursos dentro dos próprios aplicativos e busquem alternativas para armazenar segredos em arquivos de ambiente.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: