Boletim Diário: 17/11/2024

[github-actions[bot]]

:point_down:

[github-actions[bot]]

Boletim de Segurança

:arrow_right: Cibercriminosos sequestram 70 mil domínios em ataques de phishing. Pesquisadores de cibersegurança descobriram que mais de 70.000 domínios legítimos foram sequestrados em um esquema de ataque conhecido como “Sitting Ducks”, usado por atores maliciosos para campanhas de phishing e fraudes de investimento. Segundo a análise, quase 800.000 domínios vulneráveis nos últimos três meses, dos quais aproximadamente 9% foram sequestrados. Desde 2018, cibercriminosos têm explorado essa técnica para tomar o controle de domínios, incluindo marcas renomadas, ONGs e órgãos governamentais. Embora a técnica tenha sido documentada em 2016 pelo pesquisador Matthew Bryant, só recentemente sua verdadeira escala foi divulgada, ganhando visibilidade em agosto de 2024. O ataque Sitting Ducks aproveita falhas na configuração do sistema DNS dos domínios. A técnica é possível quando o domínio delega o serviço DNS a um provedor diferente do registrador, mas a delegação é “incompleta” (lame delegation). Nesse cenário, o atacante consegue “reivindicar” o domínio e configurar os registros DNS sem precisar da conta do verdadeiro proprietário no registrador do domínio. Os domínios sequestrados incluem uma ampla variedade de setores, como entretenimento, advocacia, e-commerce e até fornecedores médicos. A natureza legítima desses domínios faz com que passem despercebidos por ferramentas de segurança, o que permite que os invasores realizem fraudes sem levantar suspeitas. Um aspecto recorrente nos ataques Sitting Ducks é o “sequestro rotativo”, onde um mesmo domínio é sucessivamente tomado por diferentes atores ao longo do tempo. Muitos atacantes utilizam serviços gratuitos como o DNS Made Easy, mantendo o domínio sequestrado por 30 a 60 dias. Quando o período gratuito expira, o domínio é perdido e pode ser reivindicado por outro ator malicioso.

:arrow_right: Pixel do TikTok mal configurado expõe empresa de viagens a riscos de privacidade. Uma nova análise de caso revelou que uma conhecida plataforma de viagens online infringiu as normas de privacidade da GDPR quando um parceiro terceirizado configurou incorretamente um pixel do TikTok em um de seus sites regionais. A configuração inadequada do pixel permitiu o envio de dados pessoais de usuários para servidores chineses do TikTok sem o consentimento dos usuários, expondo a empresa a potenciais multas e sanções regulatórias. Este incidente ilustra como falhas simples de configuração podem acarretar graves consequências financeiras e de reputação. A Reflectiz utiliza uma tecnologia que simula a navegação de um usuário real, identificando e monitorando aplicativos e snippets de código que se conectam ao site, o que permite flagrar comportamentos suspeitos. Na análise do site da plataforma de viagens, a ferramenta identificou o pixel do TikTok mal configurado, que coletava e enviava dados sensíveis dos usuários para servidores sem autorização. Embora neste caso específico não tenha havido intenção maliciosa, o impacto de não conformidade com a GDPR não muda. Negócios online que compartilham dados de usuários sem permissão explícita violam regulações de privacidade e correm o risco de sofrer sanções. Mesmo quando o erro não resulta de um ataque cibernético, o descuido na proteção dos dados de clientes pode trazer sérias consequências, incluindo perda de confiança e danos à reputação. As multas por violação da GDPR podem chegar a €20 milhões ou 4% da receita anual global da empresa, prevalecendo o valor maior.

:arrow_right: Microsoft adiciona alertas a e-mails falsificados em servidores Exchange para combater phishing. A Microsoft revelou uma vulnerabilidade grave no Exchange Server que permite a invasores forjarem remetentes legítimos em e-mails recebidos, aumentando a eficácia de mensagens maliciosas. A falha de segurança, catalogada como CVE-2024-49040, afeta as versões do Exchange Server 2016 e 2019 e foi descoberta pelo pesquisador de segurança Vsevolod Kokorin, da Solidlab, que notificou a Microsoft sobre o problema no início deste ano. Segundo Kokorin, a questão está na forma como servidores SMTP interpretam endereços de destinatários, o que abre uma brecha para ataques de falsificação de e-mails. Ele também apontou que alguns provedores de e-mail permitem o uso de símbolos como < e > em nomes de grupos, algo que não está em conformidade com os padrões RFC, o que contribui para o problema. Em sua pesquisa, Kokorin não encontrou nenhum provedor que interpretasse corretamente o campo “From” conforme os padrões estabelecidos. A Microsoft informou que a falha pode ser explorada em ataques de falsificação de e-mails direcionados a servidores Exchange, e lançou atualizações como parte do Patch Tuesday de novembro para incluir mecanismos de detecção e banners de alerta em e-mails potencialmente maliciosos. O problema decorre da verificação do cabeçalho P2 FROM, que, na implementação atual, permite a passagem de cabeçalhos não compatíveis com o padrão RFC 5322, fazendo com que clientes de e-mail, como o Outlook, exibam remetentes forjados como se fossem legítimos. Com a nova atualização de segurança de novembro de 2024 para o Exchange Server, os servidores agora conseguem detectar e adicionar um alerta a e-mails suspeitos de forjarem o remetente. Embora a Microsoft não recomende, a empresa forneceu um comando em PowerShell que permite desativar essa nova função de segurança para aqueles que desejarem.

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/