Boletim Diário: 13/09/2023

[github-actions[bot]]

:point_down:

[github-actions[bot]]

Boletim de Segurança

:arrow_right: GitHub enfrenta vulnerabilidade crítica que expõe repositórios ao repojacking. Uma nova vulnerabilidade revelada no GitHub poderia ter exposto milhares de repositórios ao risco de ataques de “repojacking”. A falha poderia permitir que um invasor explorasse uma condição nas operações de criação de repositório e renomeação de nome de usuário do GitHub. A exploração bem-sucedida dessa vulnerabilidade impacta a comunidade de código aberto, possibilitando o sequestro de mais de 4.000 pacotes de código em linguagens como Go, PHP e Swift, bem como ações do GitHub. Após a divulgação responsável em 1º de março de 2023, a plataforma de hospedagem de código do GitHub, de propriedade da Microsoft, resolveu o problema em 1º de setembro de 2023. A descoberta dessa nova vulnerabilidade nas operações de criação de repositório e renomeação de nome de usuário do GitHub destaca os riscos persistentes associados ao mecanismo de aposentadoria de namespace de repositório popular.

:arrow_right: Firefox e Thunderbird recebem correções após descoberta de falha crítica. A Mozilla lançou na última terça-feira atualizações de segurança para resolver uma vulnerabilidade crítica de dia zero no Firefox e Thunderbird que estava sendo ativamente explorada, um dia após o Google lançar uma correção para o problema em seu navegador Chrome. A vulnerabilidade, identificada como CVE-2023-4863, é uma falha de estouro de buffer no formato de imagem WebP que pode resultar na execução arbitrária de código ao processar uma imagem especialmente criada. “Abrir uma imagem WebP maliciosa pode levar a um estouro de buffer no processo de conteúdo”, disse a Mozilla em um comunicado. “Estamos cientes de que este problema está sendo explorado em outros produtos.” De acordo com a descrição no Banco de Dados Nacional de Vulnerabilidades (NVD), a falha poderia permitir que um invasor remoto realizasse uma gravação de memória fora dos limites por meio de uma página HTML criada de forma maliciosa. Embora detalhes específicos sobre a exploração das falhas permaneçam desconhecidos, suspeita-se que todas estejam sendo usadas para atingir indivíduos com risco elevado, como ativistas, dissidentes e jornalistas.

:arrow_right: Ataques de phishing avançados visam sistemas Windows usando PowerShell. Uma nova campanha de ataque cibernético está em andamento, e ela se aproveita do script PowerShell associado a uma ferramenta legítima de red teaming. O objetivo é saquear hashes NTLMv2 de sistemas Windows comprometidos, com os principais alvos sendo sistemas localizados na Austrália, Polônia e Bélgica. Os atores de ameaças, nesta campanha, estão roubando e exfiltrando hashes NTLMv2. Eles fazem isso usando versões personalizadas do script PowerShell Start-CaptureServer da Nishang. Além disso, executam vários comandos do sistema e exfiltram os dados recuperados por meio das APIs Mockbin. Nishang é reconhecido como um framework e coleção de scripts e cargas úteis do PowerShell. Ele é amplamente utilizado para segurança ofensiva, testes de penetração e red teaming. Os ataques atuais empregam até cinco diferentes cadeias de infecção. No entanto, todos eles têm um ponto comum: utilizam e-mails de phishing contendo arquivos ZIP para infiltrar em alvos específicos, usando técnicas de geofencing. Os pesquisadores também enfatizaram a sofisticação dos atores de ameaças. Eles usam scripts PowerShell personalizados e arquivos LNK dentro dos arquivos ZIP, demonstrando alta expertise técnica.

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/