github-actions[bot]
commented
9 months ago Boletim de Segurança
:arrow_right: Novas táticas de ataque desafiam a segurança do Google Workspace. Uma nova série de métodos de ataque contra o Google Workspace e a Google Cloud Platform foi demonstrada, representando uma ameaça potencial para a execução de ataques de ransomware, exfiltração de dados e recuperação de senhas. Martin Zugec, diretor de soluções técnicas da Bitdefender, destacou que, partindo de uma máquina comprometida, os atacantes podem avançar de várias maneiras, incluindo mover-se para outras máquinas clonadas com o GCPW instalado, acessar a plataforma em nuvem com permissões personalizadas ou decifrar senhas armazenadas localmente para expandir seu ataque além do ecossistema do Google. Para realizar esses ataques, é necessário que o ator mal-intencionado já tenha acesso a uma máquina local por outros meios. O Google classificou a vulnerabilidade como “não elegível para correção”, alegando que está alinhada com as práticas do Chrome de armazenar dados locais, e está fora do modelo de ameaça da empresa. Os ataques dependem do uso, por uma organização, do Google Credential Provider for Windows (GCPW), que oferece capacidades de gerenciamento de dispositivos móveis (MDM) e single sign-on (SSO). Um invasor com acesso a uma máquina comprometida pode extrair os tokens de atualização OAuth de uma conta, seja do registro do Windows ou do diretório de perfil do Chrome do usuário, e contornar as proteções de autenticação multifator (MFA).
:arrow_right: FBI e CISA alertam sobre expansão do Ransomware Rhysida. A CISA e o FBI emitiram um alerta sobre os ataques do ransomware Rhysida, que tem como alvo organizações de diversos setores. Rhysida opera como um modelo de ransomware como serviço (RaaS), comprometendo organizações nos setores de educação, manufatura, tecnologia da informação e governo. Os pagamentos de resgate são divididos entre o grupo e seus afiliados. Os atores do Rhysida exploram serviços remotos voltados para o exterior, como redes privadas virtuais (VPNs), a vulnerabilidade Zerologon (CVE-2020-1472) e campanhas de phishing para obter acesso inicial e persistência dentro de uma rede. Detectado pela primeira vez em maio de 2023, o Rhysida utiliza a tática de dupla extorsão, exigindo pagamento para descriptografar dados da vítima e ameaçando publicar os dados exfiltrados, a menos que o resgate seja pago. Há sobreposições entre o Rhysida e outro grupo de ransomware conhecido como Vice Society, devido a padrões de ataque semelhantes e ao uso de NTDSUtil e PortStarter, este último exclusivo do Vice Society. Em outubro de 2023, o Rhysida reivindicou cinco vítimas, ficando atrás de outros grupos como LockBit, NoEscape, PLAY, ALPHV/BlackCat e 8BASE. Os ataques do Rhysida são descritos como oportunistas, aproveitando técnicas de living-off-the-land (LotL) para movimentação lateral e estabelecimento de acesso VPN, misturando-se às atividades legítimas dos sistemas e redes Windows para evitar detecção. A natureza em constante evolução do cenário de ransomware é evidenciada pelo fato de que 29 dos 60 grupos de ransomware atualmente ativos iniciaram operações este ano, impulsionados em parte pelos vazamentos de código-fonte de Babuk, Conti e LockBit ao longo dos anos.
:arrow_right: Vulnerabilidade no Zimbra email permite roubo de dados. Uma falha de zero day no software de e-mail Zimbra Collaboration foi explorada por quatro grupos diferentes em ataques reais para roubar dados de e-mail, credenciais de usuários e tokens de autenticação. O Google Threat Analysis Group (TAG) relatou que a maior parte dessa atividade ocorreu após a divulgação inicial da correção no GitHub. A falha, identificada como CVE-2023-37580, é uma vulnerabilidade de cross-site scripting (XSS) refletida que afeta versões anteriores à 8.8.15. A Zimbra abordou essa falha em patches lançados em 25 de julho de 2023. A exploração bem-sucedida dessa falha poderia permitir a execução de scripts maliciosos no navegador da web das vítimas, simplesmente enganando-as para clicar em uma URL especialmente criada, efetivamente iniciando a solicitação XSS para o Zimbra e refletindo o ataque de volta ao usuário. O TAG do Google, cujo pesquisador Clément Lecigne foi creditado pela descoberta e relato do bug, descobriu várias ondas de campanhas a partir de 29 de junho de 2023, pelo menos duas semanas antes da Zimbra emitir um aviso. Três das quatro campanhas foram observadas antes do lançamento do patch, com a quarta campanha detectada um mês após a publicação das correções. A descoberta de pelo menos quatro campanhas explorando a CVE-2023-37580, três delas após a falha se tornar pública, demonstra a importância de as organizações aplicarem correções em seus servidores de e-mail o mais rápido possível. Essas campanhas também destacam como os atacantes monitoram repositórios de código aberto para explorar oportunisticamente vulnerabilidades onde a correção está no repositório, mas ainda não foi lançada para os usuários.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: