github-actions[bot]
commented
2 months ago Boletim de Segurança
:arrow_right: Atualização de segurança do Android corrige falha usada em ataques. A Google lançou suas atualizações mensais de segurança para o sistema operacional Android, com o objetivo de corrigir uma vulnerabilidade de segurança grave que já está sendo ativamente explorada. A falha, catalogada como CVE-2024-32896, possui uma pontuação CVSS de 7.8 e está relacionada a uma elevação de privilégio no componente Framework do Android. De acordo com a descrição da vulnerabilidade na National Vulnerability Database (NVD) do NIST, o problema envolve um erro lógico que pode permitir a elevação de privilégios localmente, sem exigir permissões adicionais de execução. Isso significa que um atacante pode obter privilégios elevados no dispositivo afetado sem a necessidade de autorização prévia. No Android Security Bulletin de setembro de 2024, a Google alertou que a CVE-2024-32896 pode estar sendo explorada de maneira limitada e direcionada. Inicialmente divulgada em junho de 2024, essa vulnerabilidade foi identificada como afetando apenas dispositivos da linha Pixel, de propriedade da Google. No entanto, a empresa confirmou que o problema afeta todo o ecossistema Android e que está trabalhando com fabricantes de dispositivos (OEMs) para aplicar as correções necessárias. A Google também informou que a exploração dessa vulnerabilidade requer acesso físico ao dispositivo, interrompendo o processo de restauração de fábrica. A empresa está priorizando as correções para parceiros OEM do Android e recomenda fortemente que os usuários atualizem seus dispositivos assim que as novas atualizações de segurança estiverem disponíveis.
:arrow_right: Cibercriminosos falsificam VPN da Palo Alto para espalhar Malware. Hackers estão utilizando uma versão falsificada do software de VPN GlobalProtect, da Palo Alto Networks, para disseminar uma nova variante do malware WikiLoader. A campanha de malware, detectada em junho de 2024, adota uma estratégia de otimização de mecanismos de busca (SEO) para atrair vítimas, marcando uma mudança em relação às táticas anteriores, que se concentravam principalmente no uso de e-mails de phishing. Segundo pesquisadores da Unit 42, da Palo Alto Networks, os cibercriminosos estão direcionando usuários que buscam por versões legítimas da VPN GlobalProtect para sites falsificados. Esse malware tem sido usado para distribuir outras ameaças, como os trojans bancários Danabot e Ursnif, em ataques via e-mail. No entanto, a mudança para SEO poisoning, em vez de phishing, indica uma evolução nas táticas de distribuição, dificultando a detecção pelas ferramentas de segurança. Os criminosos estão criando páginas clonadas que simulam ser o site oficial do GlobalProtect. Quando usuários clicam em anúncios do Google relacionados ao software, são redirecionados para páginas de download falsas, que iniciam o processo de infecção. O instalador, identificado como “GlobalProtect64.exe”, na verdade contém um aplicativo legítimo de negociação de ações da TD Ameritrade, renomeado para carregar uma DLL maliciosa chamada “i4jinst.dll”, usada para baixar e executar o WikiLoader a partir de um servidor remoto. A Palo Alto Networks alertou os usuários sobre a necessidade de cautela ao buscar downloads de softwares críticos, como VPNs, e recomendou sempre verificar a autenticidade dos sites e fontes antes de baixar qualquer aplicativo.
:arrow_right: Zyxel corrige falha crítica que permite execução de comandos em roteadores e pontos de acesso.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: