github-actions[bot]
commented
8 months ago Boletim de Segurança
:arrow_right: Ransomware LockBit explora falha crítica no Citrix NetScaler. Vários atores de ameaças, incluindo afiliados do ransomware LockBit, estão explorando ativamente uma falha de segurança crítica recentemente divulgada em dispositivos Citrix NetScaler Application Delivery Control (ADC) e Gateway para obter acesso inicial a ambientes-alvo. A agência de segurança cibernética dos EUA (CISA), o FBI, emitiram um aviso conjunto sobre a exploração dessa vulnerabilidade. Conhecida como “Citrix Bleed” e explorada por afiliados do LockBit 3.0, essa falha permite que os atores de ameaças ignorem requisitos de senha e autenticação multifator (MFA), levando à captura bem-sucedida de sessões de usuários legítimos em dispositivos Citrix NetScaler ADC e Gateway. Através da captura de sessões legítimas, os atores maliciosos adquirem permissões elevadas para colher credenciais, mover-se lateralmente e acessar dados e recursos. Rastreada como CVE-2023-4966 (pontuação CVSS: 9.4), a vulnerabilidade foi corrigida pela Citrix no mês passado, mas não antes de ser armada como um zero day pelo menos desde agosto de 2023. Ela foi apelidada de Citrix Bleed. O mais recente ator de ameaça a se juntar à exploração é o LockBit, que foi observado aproveitando a falha para executar scripts PowerShell, além de instalar ferramentas de gerenciamento e monitoramento remoto, como AnyDesk e Splashtop, para atividades subsequentes.
:arrow_right: Campanha ClearFake mira em sistemas macOS. A campanha de malware conhecida como ClearFake, que anteriormente visava usuários do Windows, agora expandiu seu alcance para sistemas macOS, entregando o ladrão de informações Atomic através de uma falsa cadeia de atualização de navegador web. O Atomic Stealer, também conhecido como AMOS, é um malware comercial vendido por assinatura a $1.000 por mês. Detectado pela primeira vez em abril de 2023, ele tem a capacidade de extrair dados de navegadores web e carteiras de criptomoedas. Em setembro de 2023, a Malwarebytes detalhou uma campanha do Atomic Stealer que se aproveitava de anúncios maliciosos no Google, enganando usuários do macOS que buscavam pela plataforma de gráficos financeiros TradingView, levando-os a baixar o malware. ClearFake é uma operação emergente de distribuição de malware que utiliza sites WordPress comprometidos para veicular notificações fraudulentas de atualização de navegador, com o objetivo de implantar ladrões de informações e outros malwares. A partir de novembro de 2023, a campanha ClearFake foi expandida para visar sistemas macOS com uma cadeia de infecção quase idêntica, utilizando sites hackeados para entregar o Atomic Stealer em forma de arquivo DMG. Os operadores do malware também estão promovendo um novo recurso que alegam poder ser usado para coletar cookies da Conta Google de computadores comprometidos que não expiram ou são revogados, mesmo se o proprietário mudar a senha.
:arrow_right: Vulnerabilidades em sensores biométricos comprometem segurança do Windows. Pesquisadores descobriram múltiplas vulnerabilidades em sensores de impressão digital que podem ser exploradas para burlar a autenticação do Windows Hello em laptops da Dell, Lenovo e Microsoft. Os pesquisadores encontraram as vulnerabilidades nos sensores de impressão digital da Goodix, Synaptics e ELAN, incorporados nesses dispositivos. Para explorar essas falhas, é necessário que os usuários dos laptops visados já tenham configurado a autenticação por impressão digital. Todos os sensores de impressão digital em questão são do tipo “match on chip” (MoC), que integram as funções de correspondência e gerenciamento biométrico diretamente no circuito integrado do sensor. Embora o MoC impeça a reprodução de dados de impressão digital armazenados para correspondência, ele não previne que um sensor malicioso falsifique a comunicação de um sensor legítimo com o host, alegando falsamente que um usuário autorizado foi autenticado com sucesso. O Protocolo de Conexão de Dispositivo Seguro (SDCP) da Microsoft visa resolver alguns desses problemas, mas os pesquisadores descobriram um método inovador que pode ser usado para contornar essas proteções e realizar ataques de adversário no meio (AitM). O sensor ELAN é vulnerável a uma combinação de falsificação de sensor devido à falta de suporte ao SDCP e transmissão em texto claro de identificadores de segurança (SIDs). Já o sensor Synaptics, apesar de ter o SDCP desativado por padrão, depende de uma pilha TLS personalizada e falha para proteger as comunicações USB entre o driver do host e o sensor.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: