Comentários Gerais

Me chamo Victor Hugo e sou um verdadeiro apaixonado por informática e especialmente por tudo o que diz respeito à segurança da informação. O objetivo deste blog e dos vídeos postados no You Tube é conscientizar a todos da importância de se ter um computador devidamente protegido utilizando as ferramentas mais adequadas para isto. Todos os dias estou buscando novas informações e novidades e aqueles que acessarem este espaço poderão saber de tudo em primeira mão.

Essa página do seu micro seguro tem por objetivo também de promover a troca de ideias entre os seus usuários, experiências e dicas. Além disso também deseja ser um canal para esclarecimento de dúvidas a todos aqueles que acessam nosso site.

46.068 Responses to Comentários Gerais

  1. Matheus says:

    Hackers Chineses exploram falha Zero-Day no Antivírus da Trend Micro para atacar a Mitsubishi Electric

    hXXps: //securityaffairs.co/wordpress/96805/hacking/trend-micro-av-0day-mitsubishi-electric.html

    Os hackers chineses exploraram uma vulnerabilidade de dia zero, no antivírus Trend Micro OfficeScan, no hack recentemente divulgado da Mitsubishi Electric.

    Segundo o ZDNet, os hackers envolvidos no ataque contra a Mitsubishi Electric exploraram uma vulnerabilidade de dia zero no Trend Micro OfficeScan para infectar os servidores da empresa.

    Nesta semana, a Mitsubishi Electric divulgou uma violação de segurança que pode ter exposto dados corporativos pessoais e confidenciais. Segundo a empresa, os atacantes não obtiveram informações confidenciais sobre contratos de defesa.

    A violação foi detectada há quase oito meses, em 28 de junho de 2019, com o atraso sendo atribuído ao aumento da complexidade da investigação causada pelos invasores que excluíam os logs de atividades.

    “Em 28 de junho do ano passado, um comportamento suspeito foi detectado e investigado em um terminal de nossa empresa e, como resultado do acesso não autorizado por terceiros, os dados foram transmitidos para o exterior”, lê uma notificação de violação de dados publicada pela companhia.

    A invasão ocorreu em 28 de junho de 2019 e a empresa iniciou uma investigação em setembro de 2019. A Mitsubishi Electric divulgou o incidente de segurança somente depois que dois jornais locais, o Asahi Shimbun e o Nikkei, relataram a violação de segurança.

    A Mitsubishi Electric também já havia notificado membros do governo japonês e do Ministério da Defesa.

    Os dois meios de comunicação atribuem o ataque cibernético a um grupo de espionagem cibernética vinculado à China, rastreado como Tick (também conhecido como Bronze Butler).

    O grupo de hackers tem como alvo a indústria pesada japonesa, as manufaturas e as relações internacionais pelo menos desde 2012,

    Segundo os especialistas, o grupo está vinculado à República Popular da China e está focado na extração de dados confidenciais.

    “Segundo as pessoas envolvidas, os hackers chineses Tick podem estar envolvidos. De acordo com a Mitsubishi Electric, “os registros (para verificar vazamentos) foram excluídos e não é possível confirmar se eles realmente vazaram”, relatou o Nikkei.

    “Segundo a empresa, pelo menos dezenas de PCs e servidores no Japão e no exterior foram comprometidos. A quantidade de acesso não autorizado é de aproximadamente 200 megabytes, principalmente para documentos. ”

    A brecha de segurança foi descoberta depois que a equipe da Mitsubishi Electric encontrou um arquivo suspeito em um dos servidores da empresa. Uma investigação mais aprofundada permitiu à empresa determinar o hack de uma conta de funcionário.

    Segundo a mídia, os hackers obtiveram acesso às redes de cerca de 14 departamentos da empresa, incluindo vendas e a sede administrativa. Os atores de ameaças roubaram cerca de 200 MB de arquivos, incluindo:

    Informações pessoais e informações sobre candidatos a recrutamento (1.987)
    Novos candidatos a recrutamento de graduados que ingressaram na empresa de outubro de 2017 a abril de 2020 e candidatos a recrutamento experientes de 2011 a 2016 e informações de nossos funcionários (4.566)
    Resultados da pesquisa de 2012 sobre o sistema de tratamento de pessoal implementado para funcionários na sede no Japão e informações sobre funcionários aposentados de nossas empresas afiliadas (1.569)

    Os invasores exploraram uma vulnerabilidade de transferência de arquivos arbitrária e de diretório, rastreada como CVE-2019-18187, no antivírus Trend Micro OfficeScan.

    A Trend Micro agora abordou a vulnerabilidade, mas não podemos excluir que os hackers tenham explorado o mesmo problema em ataques contra outros alvos. Depois que a empresa de segurança corrigiu a falha do CVE-2019-18187 em outubro, alertou os clientes que o problema estava sendo ativamente explorado por hackers na natureza.

    “A Trend Micro lançou o Critical Patches (CP) para o Trend Micro OfficeScan 11.0 SP1 e XG, que resolve um upload arbitrário de arquivos com vulnerabilidade de diretório.”, Lê o comunicado de segurança publicado pela Trend Micro em outubro de 2019.

    “As versões afetadas do OfficeScan podem ser exploradas por um invasor que utiliza uma vulnerabilidade de diretório para extrair arquivos de um arquivo zip arbitrário para uma pasta específica no servidor OfficeScan, o que pode levar à execução remota de código (RCE). A execução remota do processo está vinculada a uma conta de serviço da web que, dependendo da plataforma da web usada, pode ter permissões restritas. Uma tentativa de ataque requer autenticação do usuário. ”

    O problema afeta as versões XG SP1, XG do OfficeScan, XG (versão não-SP GM) e 11.0 SP1 para Windows.

    “Em um estudo de caso em seu site, a Trend Micro lista a Mitsubishi Electric como uma das empresas que administram o pacote OfficeScan”, relatou o ZDNet.

  2. Matheus says:

    Especialista divulgou o DOS Exploit PoC para falhas críticas no gateway RDP do Windows

    hXXps: //securityaffairs.co/wordpress/96787/hacking/rdp-gateway-flaws-poc.html

    O pesquisador de segurança dinamarquês Ollypwn lançou o DOS exploit PoC para vulnerabilidades críticas no Windows RDP Gateway.

    O pesquisador de segurança dinamarquês Ollypwn publicou uma exploração de negação de serviço de prova de conceito (PoC) para as vulnerabilidades CVE-2020-0609 e CVE-2020-0610 no componente Gateway de Área de Trabalho Remota (RD Gateway) no Windows Server (2012, 2012 R2, 2016 e 2019) dispositivos.

    PoC (negação de serviço) para CVE-2020-0609 e CVE-2020-0610

    Por favor, use apenas para fins educacionais e de pesquisa. hXXps://t.co/RdDdzaPVb1 hXXps://pic.twitter.com/R43AHUwGV0
    – ollypwn (@ollypwn) 23 de janeiro de 2020

    Normalmente, um servidor de Gateway de Área de Trabalho Remota está localizado em uma rede corporativa ou privada e atua como o gateway no qual as conexões RDP de uma rede externa se conectam para acessar um servidor de Área de Trabalho Remota (Terminal Server) localizado na rede corporativa ou privada.

    “Existe uma vulnerabilidade de execução remota de código no Gateway de Área de Trabalho Remota do Windows (Gateway RD) quando um invasor não autenticado se conecta ao sistema de destino usando o RDP e envia solicitações especialmente criadas. Essa vulnerabilidade é pré-autenticação e não requer interação do usuário. Um invasor que explorar com êxito essa vulnerabilidade poderá executar código arbitrário no sistema de destino. Um invasor pode instalar programas; visualizar, alterar ou excluir dados; ou crie novas contas com todos os direitos de usuário ”. lê os avisos publicados pela Microsoft.

    “Para explorar essa vulnerabilidade, o invasor precisará enviar uma solicitação especialmente criada para o RD Gateway dos sistemas de destino via RDP.”

    A Microsoft abordou as duas vulnerabilidades com o lançamento da Patch Tuesday de janeiro.

    O código PoC liberado pelo pesquisador também inclui um scanner embutido para verificar se um host está vulnerável aos problemas CVE-2020-0609 e CVE-2020-0610.

    Procurando por servidores vulneráveis ​​do RDP Gateway com Shodan, o mecanismo de pesquisa encontrou mais de 15.500.

  3. Matheus says:

    Backdoor PupyRAT ligado ao Irã usado em ataques recentes ao setor energético europeu

    hXXps: //securityaffairs.co/wordpress/96733/malware/pupyrat-backdoor-european-energy-sector.html

    Os hackers usaram um Trojan de acesso remoto (RAT) associado a grupos APT vinculados ao Irã em ataques recentes a uma organização importante no setor energético europeu.

    Especialistas em segurança da Recorded Future relataram que um backdoor anteriormente usado em ataques realizados por um ator de ameaças vinculado ao Irã foi usado para atingir uma organização importante no setor energético europeu.

    O malware é o backdoor PupyRAT, é uma “ferramenta multiplataforma (Windows, Linux, OSX, Android), RAT e pós-exploração multifuncional, escrita principalmente em Python”, que pode fornecer aos atacantes acesso total ao sistema da vítima.

    O backdoor PupyRAT é um malware de código aberto disponível no GitHub, usado em campanhas anteriores associadas aos grupos APT vinculados ao Irã, como o APT33 (também conhecido como Elfin, Magic Hound e HOLMIUM), COBALT GYPSY e APT34 (também conhecido como Plataforma de petróleo).

    Os grupos acima foram envolvidos em ataques anteriores a organizações do setor de energia em todo o mundo.

    Agora, especialistas da Recorded Future identificaram tráfego malicioso entre a instalação do PupyRAT e o servidor de comando e controle (C&C) identificado pelos especialistas. A comunicação envolveu um servidor de correio para uma organização do setor energético europeu e ocorreu entre novembro de 2019 e pelo menos 5 de janeiro de 2020.

    “Usando as detecções do controlador RAT (Recorded Future Trojan) de acesso remoto e as técnicas de análise de tráfego de rede, o Insikt Group identificou um servidor de comando e controle PupyRAT (C2) que se comunica com um servidor de correio para uma organização do setor energético europeu do final de novembro de 2019 até pelo menos 5 de janeiro , 2020. ”lê a análise publicada pela Recorded Future. “Embora os metadados por si só não confirmem um comprometimento, avaliamos que o alto volume e as comunicações repetidas do servidor de correio de destino para um PupyRAT C2 são suficientes para indicar uma provável invasão.”

    Os pesquisadores não foram capazes de atribuir o ataque aos grupos APT ligados ao Irã. De qualquer forma, suas análises destacam que a organização visada teve um papel na coordenação dos recursos energéticos europeus.

    Os especialistas sugerem monitorar tentativas seqüenciais de login do mesmo IP em contas diferentes, usar um gerenciador de senhas e definir senhas fortes e exclusivas … e, é claro, adotar autenticação multifatorial. Os pesquisadores da Recorded Future também recomendam que as organizações analisem e cruzem os dados de log para detectar bloqueios de alta frequência, tentativas não autorizadas de acesso remoto, sobreposições de ataques temporais em várias contas de usuário e informações exclusivas sobre agentes de navegador de impressão digital.

    “Embora este RAT de commodity, o PupyRAT, seja conhecido por ter sido usado pelos grupos de atores iranianos APT33 e COBALT GYPSY, não podemos confirmar se o controlador PupyRAT que identificamos é usado por qualquer grupo iraniano”. Conclui o relatório. “Quem quer que seja o invasor, o direcionamento de um servidor de email para uma organização de infraestrutura crítica de alto valor pode dar ao adversário acesso a informações confidenciais sobre alocação e recursos de energia na Europa”.

  4. Matheus says:

    Revendedor de Bilhetes da Taça do Euro e Olimpíadas de Tóquio atingido por MageCart

    hXXps: //www.bleepingcomputer.com/news/security/euro-cup-and-olympics-ticket-reseller-hit-by-magecart/

    O site pertencente a um revendedor de ingressos para a Euro Cup e os Jogos Olímpicos de Verão de Tóquio, dois grandes eventos esportivos que ocorrerão no final deste ano, foi infectado com JavaScript que rouba detalhes do cartão de pagamento.

    Em um dos sites, o código malicioso sobreviveu por pelo menos 50 dias, enquanto no outro durou duas semanas. Se não fosse a intervenção e persistência de dois especialistas em segurança, o malware continuaria a roubar dados do cartão não detectados.
    Escondendo em uma biblioteca legítima

    O código que rouba dados de cartões de lojas on-line no check-out é conhecido como MageCart, pois inicialmente segmentava sites que estavam executando a plataforma de comércio eletrônico Magento.

    O skimmer de cartões foi descoberto inicialmente por Jacob Pimental no mercado secundário de bilhetes OlympicTickets2020. com. Ele estava escondido em uma biblioteca legítima chamada Slippry (um controle deslizante de conteúdo responsivo para jQuery) e ativado quando o controle deslizante foi carregado.

    Os hackers comprometeram o site e plantaram seu código malicioso de forma ofuscada na biblioteca Slippry existente, localizada em “/ dist / slippry. Min. Js”.

    O pesquisador de segurança Max Kersten ajudou Pimental a limpar a bagunça. Como se viu, ele conheceu em março de 2019 o mesmo código do carregador, responsável pelo lançamento do skimmer.

    “A estrutura do carregador é, além dos nomes das variáveis ​​aleatórias e do conteúdo do script, exatamente a mesma”, escreve Kersten em um post hoje que faz referência à análise inicial.

    Após a desobstrução, Pimental notou claramente que o script foi acionado por palavras-chave específicas que geralmente são associadas a uma página de pagamento, como uma página, caixa, loja, carrinho, pagamento, pedido, cesta, cobrança, pedido.

    “Se encontrar alguma dessas palavras-chave no site, enviará as informações no formulário de cartão de crédito para opendoorcdn [.] Com”, escreve o pesquisador em um post hoje.

    Os invasores do MageCart tentam maximizar seus lucros de qualquer maneira possível e geralmente não atacam sites únicos. Seus alvos devem ter algo em comum que lhes permita alcançar um número maior de vítimas.

    Como o Slippry alterado não foi carregado a partir de um local de terceiros que poderia ter sido comprometido, Pimental procurou o hash da biblioteca no UrlScan e descobriu que ele estava presente em outro site, o EuroTickets2020.com, também no ramo de revenda de ingressos.

    Acontece que o EuroTickets2020 e o OlympicTickets2020 são operados pela mesma parte, pois pode ser facilmente deduzido à primeira vista no layout dos sites. ter o mesmo nome de proprietário e o mesmo número de telefone para suporte ao cliente removeu toda a dúvida.

    Os esforços para determinar quanto tempo os dois sites representavam um risco para os compradores revelaram que o MageCart estava presente no site OlympicTickets desde pelo menos 3 de dezembro de 2019. No EuroTickets, ele estava ativo desde 7 de janeiro de 2020.
    Divulgação responsável e instável

    Munidos de detalhes de contato, os dois pesquisadores queriam compartilhar suas descobertas com o proprietário dos dois sites para que pudessem remover o risco.

    Eles tentaram a comunicação por email primeiro, mas não receberam resposta. O mesmo silêncio veio ao tuitá-los. Uma terceira opção era chegar através do sistema de suporte ao chat ao vivo; novamente, sem resposta, apesar de Kersten deixar seu número de telefone.

    “O segundo contato via chat ao vivo nos forneceu as informações de que a equipe de segurança não encontrou nada, após o que o caso foi encerrado”.

    Obstinados em seu esforço, os dois pesquisadores entraram em contato com eles novamente pedindo uma nova olhada na biblioteca. Mesmo depois de fornecer instruções claras, os dois sites continuaram hospedando o script malicioso e o ticket foi novamente fechado. No entanto, o MageCart foi removido posteriormente.

    Pimental e Kersten alertam que as compras nas olimpíadas2020 . com ou eurotickets2020 . com entre 3 de dezembro de 2019 e 21 de janeiro de 2020, provavelmente resultou no roubo de dados do cartão. Entrar em contato com o banco emissor e solicitar a substituição do cartão é a ação recomendada.

Deixa aqui o seu comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

%d blogueiros gostam disto: