search

codaqui / boletim-diario-seguranca

Receba notificações todos os dias as 10 da manhã, siga esse repositório.
7 stars 0 forks source link

Boletim Diário: 17/02/2024 #347

Closed github-actions[bot] closed 7 months ago

github-actions[bot] commented 7 months ago

:point_down:

github-actions[bot] commented 7 months ago

Boletim de Segurança

:arrow_right: Microsoft admite exploração ativa de falha crítica no Exchange Server. A Microsoft reconheceu que uma falha de segurança crítica recém-divulgada no Exchange Server tem sido ativamente explorada, um dia após a empresa lançar correções para a vulnerabilidade como parte de suas atualizações de terça-feira de patches. Identificada como CVE-2024-21410 (pontuação CVSS: 9.8), a falha é descrita como um caso de escalonamento de privilégios que afeta o Exchange Server. “Um atacante poderia visar um cliente NTLM, como o Outlook, com uma vulnerabilidade do tipo vazamento de credenciais NTLM”, disse a empresa em um comunicado publicado esta semana. “As credenciais vazadas podem então ser retransmitidas contra o servidor Exchange para obter privilégios como o cliente vítima e realizar operações no servidor Exchange em nome da vítima.” A exploração bem-sucedida da falha poderia permitir que um atacante retransmitisse o hash Net-NTLMv2 vazado de um usuário contra um servidor Exchange vulnerável e se autenticasse como o usuário, acrescentou a Microsoft. Em uma atualização de seu boletim, a gigante da tecnologia revisou sua Avaliação de Explorabilidade para “Exploração Detectada”, observando que agora ativou a Proteção Estendida para Autenticação (EPA) por padrão com a atualização Cumulative Update 14 (CU14) do Exchange Server 2019. Detalhes sobre a natureza da exploração e a identidade dos atores de ameaça que podem estar abusando da falha atualmente são desconhecidos.

:arrow_right: Hackers Chineses lançam malware bancário inovador com técnicas de Deepfake. Hackers chineses, sob o codinome GoldFactory, foram identificados como responsáveis pelo desenvolvimento de trojans bancários altamente sofisticados, incluindo um malware para iOS anteriormente não documentado chamado GoldPickaxe. Este malware é capaz de coletar documentos de identidade, dados de reconhecimento facial e interceptar SMS. O GoldPickaxe está disponível tanto para plataformas iOS quanto Android, e acredita-se que o GoldFactory seja um grupo de cibercrime chinês bem organizado com conexões próximas ao Gigabud. Ativo desde meados de 2023, o GoldFactory também é responsável por outro malware bancário baseado em Android chamado GoldDigger e sua variante aprimorada GoldDiggerPlus, além de GoldKefu, um trojan embutido dentro do GoldDiggerPlus. Campanhas de engenharia social distribuindo o malware têm como alvo a região da Ásia-Pacífico, especificamente Tailândia e Vietnã, disfarçando-se como bancos locais e organizações governamentais. O GoldPickaxe para iOS emprega um esquema de distribuição diferente, com iterações sucessivas aproveitando a plataforma TestFlight da Apple e URLs armadilhados que solicitam aos usuários que baixem um perfil de Gerenciamento de Dispositivos Móveis (MDM) para conceder controle total sobre os dispositivos iOS e instalar o aplicativo malicioso. A sofisticação do GoldPickaxe também é evidente no fato de que ele é projetado para contornar medidas de segurança impostas pela Tailândia, que exigem que os usuários confirmem transações maiores usando reconhecimento facial para prevenir fraudes. O malware solicita à vítima que grave um vídeo como método de confirmação no aplicativo falso, e o vídeo gravado é então usado como material bruto para a criação de vídeos deepfake facilitados por serviços de inteligência artificial de troca de rostos. Além disso, as variantes Android e iOS do malware estão equipadas para coletar documentos de identidade e fotos da vítima, interceptar mensagens SMS recebidas e encaminhar o tráfego através do dispositivo comprometido. Suspeita-se que os atores do GoldFactory usem seus próprios dispositivos para fazer login no aplicativo bancário e realizar transferências de fundos não autorizadas.

:arrow_right: Falhas críticas encontradas no antigo firmware do Ivanti Pulse Secure. A análise de engenharia reversa do firmware executado nos aparelhos Ivanti Pulse Secure revelou várias falhas, destacando novamente o desafio de garantir a segurança das cadeias de suprimentos de software. Os atores de ameaças estão se aproveitando de várias falhas de segurança descobertas nos gateways Ivanti Connect Secure, Policy Secure e ZTA para entregar uma ampla gama de malware, incluindo web shells, stealers e backdoors. As vulnerabilidades que foram exploradas ativamente nos últimos meses incluem CVE-2023-46805, CVE-2024-21887 e CVE-2024-21893. Recentemente, a Ivanti também divulgou outro bug no software (CVE-2024-22024) que poderia permitir que atores de ameaças acessassem recursos restritos sem autenticação. Isso não apenas revelou vários pacotes desatualizados, mas também várias bibliotecas vulneráveis que, coletivamente, são suscetíveis a 973 falhas, das quais 111 têm exploits conhecidos publicamente. Os pesquisadores também encontraram uma falha de segurança na Ferramenta de Verificação de Integridade (ICT) recomendada pela Ivanti para seus clientes usarem na busca por indicadores de comprometimento (IoCs).  

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/