search

codaqui / boletim-diario-seguranca

Receba notificações todos os dias as 10 da manhã, siga esse repositório.
8 stars 0 forks source link

Boletim Diário: 06/12/2023 #307

Closed github-actions[bot] closed 11 months ago

github-actions[bot] commented 11 months ago

:point_down:

github-actions[bot] commented 11 months ago

Boletim de Segurança

:arrow_right: Microsoft alerta sobre atividades do APT28 explorando falha no Outlook. A Microsoft detectou atividades de um grupo apoiado pelo Kremlin, conhecido como APT28, que está explorando uma falha crítica de segurança no serviço de e-mail Outlook para obter acesso não autorizado às contas dos usuários em servidores Exchange. A vulnerabilidade, identificada como CVE-2023-23397 (pontuação CVSS: 9.8), foi corrigida pela Microsoft em março de 2023. O grupo modifica as permissões das pastas de e-mail das vítimas, permitindo que qualquer pessoa autenticada na organização leia o conteúdo das pastas de e-mail que receberam essa permissão. Isso permite que o APT28 mantenha acesso não autorizado ao conteúdo das caixas de correio, mesmo após perder o acesso direto. O APT28 também foi responsável por uma campanha de spear-phishing que explorou múltiplas vulnerabilidades no software de e-mail web Roundcube de código aberto, enquanto simultaneamente explorava a vulnerabilidade do Microsoft Outlook. O grupo patrocinado pelo estado é avaliado como ligado à Unidade 26165 do Diretório Principal do Estado-Maior das Forças Armadas da Federação Russa (GRU), o braço de inteligência estrangeira do Ministério da Defesa. Nos últimos meses, o APT28 também foi conectado a ataques a várias organizações na França e Ucrânia, bem como ao abuso da falha do WinRAR (CVE-2023-38831) para roubar dados de login do navegador usando um script PowerShell chamado IRONJAW. Os pesquisadores observaram campanhas de phishing em grande escala no final de março e setembro de 2023 que exploraram as CVE-2023-23397 e CVE-2023-38831, respectivamente, visando alvos na Europa e América do Norte.

:arrow_right: Mais de 15.000 repositórios Go no GitHub estão vulneráveis. Uma nova pesquisa revelou que mais de 15.000 repositórios de módulos Go no GitHub estão vulneráveis a um ataque conhecido como repojacking. Segundo o pesquisador Jacob Baines, mais de 9.000 repositórios estão em risco devido a mudanças de nome de usuário no GitHub, enquanto mais de 6.000 estão vulneráveis devido à exclusão de contas. Coletivamente, esses repositórios representam pelo menos 800.000 versões de módulos Go, destacando a extensão do problema. Repojacking, uma combinação de “repositório” e “sequestro”, é uma técnica de ataque que permite a um ator mal-intencionado tirar proveito de mudanças e exclusões de nome de usuário para criar um repositório com o mesmo nome e o nome de usuário pré-existente, facilitando ataques à cadeia de suprimentos de software de código aberto. Módulos escritos na linguagem de programação Go são particularmente suscetíveis ao repojacking. Diferentemente de outras soluções de gerenciamento de pacotes, como npm ou PyPI, eles são descentralizados, pois são publicados em plataformas de controle de versão como GitHub ou Bitbucket. Para evitar que desenvolvedores baixem pacotes potencialmente inseguros, o GitHub implementou uma contramedida chamada “popular repository namespace retirement”, que bloqueia tentativas de criar repositórios com nomes de namespaces aposentados que foram clonados mais de 100 vezes antes da renomeação ou exclusão das contas dos proprietários.

:arrow_right: Atualizações de dezembro do Android corrigem falha crítica de RCE. As atualizações de segurança de dezembro de 2023 do Android abordam 85 vulnerabilidades, incluindo uma falha crítica de execução remota de código (RCE) que não requer cliques. Identificada como CVE-2023-40088, a vulnerabilidade foi encontrada no componente do sistema Android e não necessita de privilégios adicionais para ser explorada. Embora a Google ainda não tenha revelado se a falha foi alvo de ataques, os atores de ameaças poderiam explorá-la para obter execução arbitrária de código sem interação do usuário. “A vulnerabilidade mais grave é no componente do sistema, que poderia levar à execução remota de código com proximidade/adjacência, sem necessidade de privilégios adicionais. A exploração não requer interação do usuário”, explica o comunicado. Como de costume, a Google lançou duas séries de atualizações de segurança em dezembro, identificadas como os níveis de segurança 2023-12-01 e 2023-12-05. O último inclui todas as correções do primeiro conjunto e patches adicionais para componentes de terceiros de código fechado e Kernel. Os fabricantes de dispositivos podem priorizar a implantação do primeiro nível de patch para simplificar o procedimento de atualização, embora isso não sugira necessariamente um risco elevado de exploração potencial. É importante notar que, exceto para os dispositivos Google Pixel, que recebem atualizações de segurança mensais imediatamente após o lançamento, outros fabricantes precisarão de algum tempo antes de implementar os patches. Esse atraso é necessário para testes adicionais dos patches de segurança, a fim de garantir que não haja incompatibilidades com várias configurações de hardware.

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/