Boletim Diário: 15/02/2024

[github-actions[bot]]

:point_down:

[github-actions[bot]]

Boletim de Segurança

:arrow_right: Microsoft e OpenAI alertam sobre uso de IA em ataques cibernéticos. A Microsoft, em colaboração com a OpenAI, alertou sobre a experimentação de atores patrocinados por estados-nação, associados à Rússia, Coreia do Norte, Irã e China, com inteligência artificial (IA) e modelos de linguagem de grande escala (LLMs) para complementar suas operações de ataque cibernético em andamento. O relatório publicado pelas duas organizações revelou que esforços feitos por cinco atores afiliados a estados que utilizaram seus serviços de IA para realizar atividades cibernéticas maliciosas foram interrompidos ao encerrar seus ativos e contas. Os LLMs, com seu suporte natural a linguagens, são atraentes para atores de ameaças focados em engenharia social e outras técnicas que dependem de comunicações falsas e enganosas, adaptadas aos empregos dos alvos, redes profissionais e outras relações. Embora ataques significativos ou novos empregando LLMs ainda não tenham sido detectados, a exploração adversária de tecnologias de IA já ultrapassou várias fases da cadeia de ataque, como reconhecimento, assistência de codificação e desenvolvimento de malware. Os atores geralmente procuraram usar os serviços da OpenAI para consultar informações de código aberto, traduzir, encontrar erros de codificação e executar tarefas básicas de codificação. Por exemplo, o grupo russo conhecido como APT28 usou suas ofertas para pesquisar protocolos de comunicação via satélite e tecnologia de imagem de radar, além de obter suporte com tarefas de script. A Microsoft também está formulando um conjunto de princípios para mitigar os riscos apresentados pelo uso malicioso de ferramentas e APIs de IA por ameaças persistentes avançadas (APTs) patrocinadas pelo estado, manipuladores persistentes avançados (APMs) e sindicatos de cibercriminosos, concebendo eficazes guardas e mecanismos de segurança em torno de seus modelos.

:arrow_right: Atualizações de segurança da Microsoft abordam falhas críticas e Zero Days. A Microsoft lançou correções para 73 falhas de segurança em sua linha de software como parte das atualizações de fevereiro de 2024, incluindo duas vulnerabilidades zero day que estão sob exploração ativa. Dentre as vulnerabilidades, 5 são classificadas como Críticas, 65 como Importantes e três como Moderadas. Isso se soma a 24 falhas que foram corrigidas no navegador Edge baseado em Chromium desde o lançamento das atualizações de terça-feira de patches de 24 de janeiro. A exploração bem-sucedida das falhas de zero day poderia permitir que um atacante contornasse as proteções do SmartScreen e executasse código arbitrário. No entanto, para que o ataque funcione, o ator da ameaça deve enviar um arquivo malicioso ao usuário e convencê-lo a abri-lo. As vulnerabilidades foram adicionadas ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) pela Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA), instando as agências federais a aplicarem as atualizações mais recentes até 5 de março de 2024. Além disso, a Microsoft corrigiu cinco falhas críticas, incluindo vulnerabilidades que afetam o Windows Hyper-V, Microsoft Dynamics Business Central/NAV, Microsoft Exchange Server e Microsoft Outlook, com potencial para execução remota de código e elevação de privilégios.

:arrow_right: Irã intensifica ataques contra entidades americanas e israelenses. Ataques cibernéticos patrocinados pelo estado iraniano estão mirando entidades nos EUA e em Israel, conforme pesquisa publicada pelo Google. O relatório sobre a ciberguerra relacionada à guerra em andamento entre Israel e Hamas, que começou em outubro, destaca que o Irã tem como alvo Israel e os Estados Unidos agressivamente nos anos que antecederam o ataque do Hamas em 7 de outubro e continuou a fazê-lo nos meses seguintes. Além de campanhas de influência pública, o Irã tem direcionado indivíduos e organizações israelenses com malware destrutivo e atividades de coleta de inteligência, que também visaram entidades nos EUA. O Google descreveu atividades maliciosas de vários atores patrocinados pelo estado iraniano, como APT42, “Dustycave” e “Dune”. Entre as atividades direcionadas aos EUA, o relatório mencionou o ataque cibernético de novembro contra a Autoridade Municipal de Água de Aliquippa, na Pensilvânia. O ataque comprometeu uma máquina que regulava a pressão da água na instalação e continha componentes desenvolvidos ou criados por uma empresa de propriedade israelense. A CISA explicou que o ator estava comprometendo controladores lógicos programáveis (PLCs) da série Unitronics Vision, fabricados em Israel, em utilidades de água e esgoto.  

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/