Boletim Diário: 16/12/2022

[github-actions[bot]]

:point_down:

[github-actions[bot]]

Boletim de Segurança

:arrow_right: Cibercriminosos usam drivers maliciosos para comprometer o Windows. Atores de ameaças estão utilizando drivers de hardware maliciosos certificados para ignorar as verificações de segurança no windows. Esses drivers estão sendo usados em atividades pós exploração em sistemas nos quais o invasor já obteve privilégios administrativos. A Microsoft foi notificada de que várias contas de desenvolvedores para o Microsoft Partner Center estavam enviando drivers de hardware maliciosos para obter uma assinatura da Microsoft. Como vários grupos de hackers estão usando drivers assinados pela Microsoft, os especialistas avaliam que os grupos estão aproveitando um serviço criminoso comum para assinatura de código ou um fornecedor de serviço está projetando e desenvolvendo kits de ferramentas e drivers que outros grupos pagam para acessar. A Microsoft revogou várias contas de desenvolvedor de hardware associadas a drivers usados em ataques cibernéticos. A empresa lançou novas assinaturas do Microsoft Defender (1.377.987.0) para detectar drivers assinados legítimos em ataques pós exploração.

:arrow_right: Operadores do Ransomware LockBit visam organizações de saúde. O HC3 emitiu um comunicado para alertar as organizações de saúde sobre ataques envolvendo o ransomware LockBit 3.0. Uma das características proeminentes do ransomware inclui o modelo de extorsão tripla. No resumo da ameaça, foi destacado que o LockBit 3.0 apareceu pela primeira vez em junho e contém muitas das mesmas funções da variante anterior do LockBit 2.0. O malware parece estar utilizando recursos de outro ransomware conhecido, o BlackMatter, como a capacidade de enviar notas de resgate para uma impressora na rede, excluir cópias de sombra de volume e obter os detalhes do sistema operacional da vítima, juntamente com vários recursos de depuração. Recentemente, a gangue por trás do LockBit alegou ter postado 75 GB de dados roubados do departamento de finanças da Califórnia. Os dados exfiltrados incluem documentos confidenciais, financeiros e de TI.

:arrow_right: Mozilla corrige vulnerabilidades do Firefox que poderiam levar ao controle do sistema. Várias vulnerabilidades de alto impacto que afetam Thunderbird, Firefox ESR e Firefox foram corrigidas por atualizações da Mozilla. Os bugs podem ter gerado execução arbitrária de código se forem explorados com sucesso. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) aconselha usuários e administradores a corrigir as vulnerabilidades identificadas e atualizar seus sistemas. Todos os três produtos da Mozilla são afetados por uma das vulnerabilidades de alto impacto, identificada como CVE-2022-46878. De acordo com os desenvolvedores do Mozilla, o Firefox 107 e o Firefox ESR 102.5 têm problemas de segurança de memória. Essas falhas incluíam aquelas que pareciam ter corrupção de memória, algumas delas poderiam ter sido utilizadas para executar código arbitrário. Outra fraqueza séria, CVE-2022-46872 , que afeta os produtos das três empresas, pode permitir que um hacker visualize qualquer arquivo após assumir o controle de um processo de conteúdo. A Mozilla apontou que a falha específica afeta exclusivamente seus produtos somente para Linux. Os invasores podem usar outras falhas críticas identificadas no comunicado para causar falhas no produto.

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/