search

codaqui / boletim-diario-seguranca

Receba notificações todos os dias as 10 da manhã, siga esse repositório.
7 stars 0 forks source link

Boletim Diário: 26/10/2023 #266

Closed github-actions[bot] closed 10 months ago

github-actions[bot] commented 10 months ago

:point_down:

github-actions[bot] commented 10 months ago

Boletim de Segurança

:arrow_right: Ataques de Malvertising Exploram Popularidade do PIX no Brasil. A popularidade do sistema de pagamento instantâneo PIX no Brasil tornou-se um alvo lucrativo para atores maliciosos que utilizam um novo malware chamado GoPIX. A Kaspersky, que vem monitorando a campanha desde dezembro de 2022, informou que os ataques são realizados por meio de anúncios maliciosos exibidos quando as vítimas em potencial pesquisam por “WhatsApp web” nos mecanismos de busca. Os usuários que clicam no anúncio são redirecionados por meio de um serviço de ocultação que filtra sandboxes, bots e outros elementos não considerados vítimas genuínas. O malware pode ser baixado de duas URLs diferentes, dependendo se a porta 27275 está aberta no computador do usuário. O principal objetivo do instalador é recuperar e lançar o malware GoPIX usando uma técnica chamada “process hollowing”, injetando o payload no processo do sistema Windows svchost.exe. GoPIX atua como um malware que rouba informações da área de transferência, substituindo solicitações de pagamento PIX por uma string controlada pelo invasor, que é recuperada de um servidor de comando e controle (C2). A campanha de malvertising no Brasil não é a única a visar usuários que buscam aplicativos de mensagens como WhatsApp e Telegram. Ataques semelhantes foram observados na região de Hong Kong.

:arrow_right: Falhas críticas no OAuth comprometem segurança de plataformas populares. Foram divulgadas falhas de segurança críticas na implementação do Open Authorization (OAuth) em serviços online populares como Grammarly, Vidio e Bukalapak. Essas falhas foram corrigidas pelas respectivas empresas entre fevereiro e abril de 2023. OAuth é um padrão comumente usado para acesso entre aplicações, permitindo que sites ou aplicativos acessem informações em outros sites, como o Facebook, sem fornecer as senhas. As falhas poderiam permitir que atores maliciosos obtivessem tokens de acesso e, potencialmente, assumissem o controle das contas dos usuários. No caso da plataforma Vidio, o problema identificado estava na ausência de verificação de token. Isso significava que um atacante poderia usar um token de acesso gerado para outro App ID. Um cenário de ataque potencial envolveria a criação de um site falso que oferece uma opção de login através do Facebook para coletar os tokens de acesso e usá-los contra Vidio.com. A empresa de segurança de API também descobriu um problema semelhante com a verificação de token no Bukalapak.com via login no Facebook, que poderia resultar em acesso não autorizado à conta. Em Grammarly, quando os usuários tentam fazer login em suas contas usando a opção “Entrar com o Facebook”, uma solicitação HTTP POST é enviada para autenticá-los usando um código secreto. O problema em Grammarly é que a solicitação POST pode ser alterada para substituir o código secreto por um token de acesso obtido de um site malicioso, permitindo o acesso à conta.

:arrow_right: VMware lança Patch urgente para falha crítica no vCenter Server. A VMware lançou atualizações de segurança para corrigir uma falha crítica no vCenter Server que poderia resultar em execução remota de código nos sistemas afetados. A vulnerabilidade, identificada como CVE-2023-34048 e com uma pontuação CVSS de 9.8, é descrita como uma vulnerabilidade de gravação fora dos limites na implementação do protocolo DCE/RPC. Segundo um comunicado da VMware, um ator malicioso com acesso à rede ao vCenter Server poderia desencadear uma gravação fora dos limites, levando potencialmente à execução remota de código. A VMware afirmou que não há soluções alternativas para mitigar a vulnerabilidade e que atualizações de segurança estão disponíveis para as seguintes versões do software: VMware vCenter Server 8.0, VMware vCenter Server 7.0 e VMware Cloud Foundation 5.x e 4.x. Devido à criticidade da falha e à falta de medidas de mitigação temporárias, a VMware também disponibilizou um patch para o vCenter Server 6.7U3, 6.5U3 e VCF 3.x. A VMware declarou que não tem conhecimento de explorações dessas falhas, mas recomendou que os clientes apliquem os patches o mais rápido possível para mitigar qualquer ameaça potencial.

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/