Falha de segurança: navegadores Edge e Safari

Uma falha de segurança identificada no Microsoft Edge e no Safari permitia que cibercriminosos enganassem usuários desses dois navegadores web de uma maneira relativamente fácil. Rafay Baloch, um pesquisador de segurança digital independente, percebeu que era possível recarregar e redirecionar uma página web para outro site sem que a barra de endereços desses dois navegadores fossem alteradas.

Em outras palavras, um hacker poderia criar um site fictício de algum portal de banco ou qualquer outra plataforma online de valor e redirecionar os visitantes para endereços forjados sem que eles pudessem ver a verdadeira URL no topo da página. Com isso, um site qualquer poderia se passar por um site de uma instituição financeira, por exemplo, a fim de roubar dados bancários de seus clientes.

Esse problema foi reportado tanto para a Microsoft quanto para a Apple no começo de junho deste ano. A empresa de Bill Gates corrigiu o problema em agosto, mas a Apple sequer respondeu Baloch.

Dessa forma, até esse momento, o Safari continua vulnerável, enquanto o Edge já não permite que golpes explorando essa falha atinjam seus usuários. Baloch explicou que esperou o tradicional prazo de 90 dias antes de divulgar a falha, a fim de evitar que usuários fossem prejudicados, mas a Maçã parece não ter se importado com a divulgação dos detalhes por parte do pesquisador.

A empresa de Tim Cook ainda não falou oficialmente sobre o caso, e não sabemos quando nem se esse problema será corrigido no Safari.

Fonte: Tecmundo

Descoberta e já corrigida importante falha de segurança no Whatsapp e Telegram

Uma companhia de segurança relacionada à informática revelou nesta quarta-feira ter descoberto uma falha nos populares serviços de mensagens Telegram e WhatsApp que permitiria hackear contas de usuários servindo-se do sistema de codificação que supostamente mantém a confidencialidade de suas mensagens.

A companhia americana Check Point Software Technologies afirma em um comunicado que o Telegram e o WhatsApp, alertados por ela no dia 8 de março, resolveram o problema.

Não informou, no entanto, quantas contas puderam efetivamente estar comprometidas, mas afirma que esta falha representava um perigo para “centenas de milhões” de usuários que têm acesso às plataformas a partir de um navegador de internet (em oposição aos que o fazem através de aplicativos móveis propostos pelos dois serviços).

Segundo os investigadores da Check Point, “apenas enviando uma inocente foto, um atacante pode tomar o controle da conta, ter acesso ao histórico de mensagens, a todas as fotos compartilhadas (no serviço), e enviar mensagens no lugar dos usuários”.

O hacker, efetivamente, podia camuflar um vírus na imagem, que era ativado quando o destinatário “clicava” nela.

WhatsApp e Telegram utilizam uma codificação que garante que apenas o expedidor e o destinatário das mensagens possam ver seu conteúdo. Mas, subitamente, os dois aplicativos não tiveram como detectar se este conteúdo inclui vírus.

Para resolver o problema, os dois serviços validam a partir de agora o conteúdo enviado pouco antes de sua codificação, o que permite bloquear o vírus, acrescenta Check Point.

Fonte: Isto é

Finalmente Microsoft irá liberar uma correção para falha no IE

IERespondendo às críticas que vem recebendo da mídia, a Microsoft finalmente se comprometeu a consertar do Internet Explorer descoberta há mais de sete meses. O problema acontece nas versões 8 em diante do navegador da empresa e permite que hackers utilizem códigos maliciosos para levar suas vítimas a sites para instalação de malwares e outras ferramentas de rastreamento.

O problema foi relatado ao público pela primeira vez no final de 2013, após sucessivas tentativas de contato da Zero-Day Initiative com a Microsoft. A brecha em questão permite que os usuários sejam levados a páginas disfarçadas de legítimas, onde malwares para roubo de dados ou criação de redes zumbis podem ser instalados sem o conhecimento das vítimas.

Segundo informações do Infoworld, a Microsoft finalmente resolveu se pronunciar sobre o caso e afirmou que patches de correção, muitas vezes, podem levar um longo tempo para serem desenvolvidos e, principalmente, testados. Essa segunda etapa é a que toma mais tempo, já que é preciso garantir o funcionamento em máquinas com as mais diferentes configurações e versões do sistema operacional.

Mesmo assim, a empresa garante que está trabalhando em uma solução e promete liberá-la assim que estiver pronta e o mais rápido possível. Por enquanto, pelo menos, não há ocorrências da falha de segurança sendo usada em grande escala, mas essa situação pode mudar a qualquer momento.

A principal orientação de segurança no momento é a atualização do navegador para edições da 11 em diante do Internet Explorer, que não apresentam mais falhas do tipo. Ou, caso isso não seja possível, a troca do aplicativo por outras alternativas disponíveis gratuitamente, como o Firefox ou o Chrome.

De acordo com a Zero Day Initiative, a falha foi descoberta em outubro de 2013. A organização, que é de propriedade da HP, organiza competições de hackers frequentemente e costuma “comprar” vulnerabilidades de seus descobridores para que elas não sejam utilizadas de forma maliciosa. A política é entrar em contato com a empresa e liberar as informações publicamente após a criação de uma correção ou com o fim de um prazo de 180 dias, o que vier primeiro.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

Microsoft admite falha de segurança no Windows Phone

Windows Phone
Microsoft reconhece e alerta sobre o problema, mas não planeja uma correção
A Microsoft está alertando os usuários de smartphones com o Windows Phone 7.8 e Windows Phone 8 que seus aparelhos podem ser facilmente enganados para revelar as credenciais de login de pontos de acesso Wi-Fi corporativos protegidos com o protocolo de segurança WPA2. A vulnerabilidade parece ser baseada em uma falha de segurança conhecida em um protocolo de autenticação usado pela Microsoft, bem como na forma como os aparelhos com Windows Phone se conectam a redes WPA2.
Como o ataque funciona
Digamos que João trabalha para a Companhia Acme e usa um Nokia Lumia 920 como seu smartphone de trabalho. Todo dia o aparelho se conecta automaticamente à rede Wi-Fi da empresa, chamada ACME1, usando o protocolo WPA2. Sempre que o aparelho de João vê uma rede Wi-Fi chamada ACME1, ele assume que esta é a rede corporativa e tenta estabelecer uma conexão.
Agora digamos que perto da empresa há um local onde vários funcionários da Acme vão tomar um café após o almoço. Tudo o que um malfeitor teria de fazer é configurar uma rede chamada ACME1, protegida com WPA2, em um roteador Wi-Fi e esperar que um Windows Phone tente estabelecer uma conexão.
Assim que João chegar com seu Lumia 920 com o Wi-Fi ativo, o aparelho irá tentar se conectar à falsa rede ACME1. E durante o processo de autenticação o criminoso poderá interceptar as credenciais de domínio criptografadas armazenadas no smartphone de João.
Isso tudo não seria um problema se a Microsoft estivesse usando um padrão criptográfico resistente a ataques, mas o Windows Phone usa um protocolo de autenticação chamado PEAP-MS-CHAPv2, que tem algumas fraquezas criptográficas importantes, que são exploradas por esta vulnerabilidade.
Portanto, depois que o bandido consegue as credenciais de João, ele pode se aproveitar da criptografia fraca para conseguir acesso a todas as informações necessárias para se conectar à verdadeira rede ACME1 com os mesmos privilégios de usuário que João.
Sem correção à vista
A Microsoft fiz que não tem planos para corrigir o problema, já que ele é relacionado à criptografia fundamentalmente fraca usada no protocolo PEAP-MS-CHAPv2. Mas ao menos a empresa diz que não está ciente de nenhum caso em que esta vulnerabilidade esteja sendo usada no mundo real.
Como uma forma de contornar o problema, a Microsoft aconselha os departamentos de TI das empresas que exijam que os aparelhos Windows Phone validem um ponto de acesso Wi-Fi verificando seu certificado raiz antes de estabelecer a conexão. A outra opção, segundo a Microsoft, é desligar a interface Wi-Fi dos aparelhos. A Microsoft tem mais informações sobre como proteger os Windows Phone contra a falha em seu site.
Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.
Fonte: PC World

Microsoft alerta: IE 8 tem falha de segurança

A Microsoft divulgou recentemente um alerta sobre uma falha de segurança no navegador Internet Explorer 8 que já está sendo explorada em ataques na Web.

As versões 6, 7, 9 e 10 do navegador não são afetadas pela falha.

Detalhes da falha de segurança no Internet Explorer 8

De acordo com a empresa, a falha pode permitir a execução remota de códigos maliciosos no computador com os mesmos privilégios do usuário logado no momento caso este visite um site comprometido.

A falha foi descoberta depois que computadores de funcionários do governo norte-americano envolvidos com pesquisas sobre armas nucleares foram infectados por malwares.

A Microsoft confirmou a existência da falha e informou que já está trabalhando em uma correção. A empresa recomenda que os usuários do Internet Explorer 8 façam o upgrade para versões mais recentes do navegador, caso seja possível.

Como solução temporária, os usuários podem acessar as Opções da Internet (Menu Iniciar > Painel de Controle > Rede e Internet > Opções da Internet) e definir o nível de segurança das zonas Internet e Intranet Local para “Alto”, assim os controles Active X serão bloqueados pelo navegador:

img1

img2

Isto ajudará a impedir que a falha seja explorada, mas também poderá comprometer a usabilidade do navegador. Para evitar problemas com sites confiáveis, os usuários devem adicioná-los à zona Sites Confiáveis:

img3

Esta versão do navegador foi lançada pela Microsoft em março de 2009 para Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008. Ela também veio pré-instalada no Windows 7 e Windows Server 2008 R2.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fonte: Baboo

Descoberta nova falha grave no Java

Java

De acordo especialistas, nova vulnerabilidade permite contornar o dispositivo de proteção do Java por completo e executar código arbitrário em computadores.

Manchete semelhante a esta já foi destaque aqui no Seu micro seguro, e agora novamente. Afinal alguns “caçadores” de vulnerabilidades Java da empresa de segurança polonesa Security Explorations afirmam ter encontrado uma nova vulnerabilidade que afeta as versões para desktop e servidores do Java Runtime Environment (JRE).

A brecha está localizada no componente API Reflection do Java e pode ser usada para contornar por completo a sandbox (dispositivo de segurança) do software e executar um código arbitrário em computadores, disse o CEO da Security Explorations, Adam Gowdiak, na segunda-feira (22) em uma mensagem enviada ao fórum Full Disclosure.

A falha afeta todas as versões do Java 7, incluindo o Java 7 Update 21 e o novo pacote Server JRE – ambos lançados pela Oracle na última terça-feira.

Como o nome sugere, o JRE Server é uma versão do Java Runtime Environment projetado para implementações de servidor Java. De acordo com a Oracle, o Server JRE não contém o plug-in do navegador (alvo frequente de exploits baseados na web), o componente de autoatualização ou o instalador encontrado no pacote JRE regular.

Embora a Oracle esteja ciente de que as vulnerabilidades do Java também podem ser exploradas em implantações em servidores por meio do fornecimento de entrada maliciosa nas APIs (interfaces de programação de aplicativos) de componentes vulneráveis, a empresa tem respondido que a maioria das falhas do software afeta apenas o plug-in do navegador ou que os cenários de exploração de falhas em servidores são improváveis, disse Gowdiak na terça-feira, via e-mail.

“Tentamos fazer com que os usuários estejam cientes de que as alegações da Oracle estão incorretas com relação ao impacto das vulnerabilidades do Java SE”, disse Gowdiak. “Nós provamos que os erros avaliados pela Oracle como afetando apenas o plug-in podem também afetar os servidores.”

Problemas em servidores
Em fevereiro, a Security Explorations publicou um exploit prova-de-conceito para uma vulnerabilidade Java classificada como “baseada em plug-in”, que poderia ser usada para atacar o software em servidores usando o protocolo RMI (Remote Method Invocation), disse Gowdiak. A Oracle corrigiu o vetor de ataque RMI na atualização do Java na semana passada, mas existem outros métodos de atingir as implementações em servidores, disse o especialista.

Os pesquisadores em segurança da Security Explorations não verificaram se a nova vulnerabilidade contra JRE Server pode ser explorada com sucesso, mas eles listaram APIs e componentes conhecidos que poderiam ser utilizados para carregar ou executar código Java arbitrário em servidores.

Se um vetor de ataque existir em um dos componentes mencionados na Guideline 3-8 “Secure Coding Guidelines for a Java Programming Language”, então as implementações de servidor Java podem ser atacadas por meio de uma vulnerabilidade como a que foi reportada à Oracle na segunda-feira, disse Gowdiak.

Esta nova falha é um exemplo típico das fraqueza da API Reflection, disse o especialista. “A API Reflection não se encaixa muito bem no modelo de segurança do Java e, se usados ​​de forma inadequada, pode facilmente levar a problemas de segurança”, disse.

Esta vulnerabilidade não deveria estar presente no código Java 7, um ano após um problema de segurança genérico relacionado a API Reflection ser relatado à Oracle pela Security Explorations, disse.

Agradeço ao Lucas, amigo e colaborador do Seu micro seguro, pela referência a esta notícia.

Fontes: IDG Now! e Forum Full Disclosure

Hacker descobre nova falha no Facebook

Facebook

Um hacker de segurança postou em seu blog pessoal detalhes de como conseguiu explorar uma falha no ‘Facebook OAuth’, um serviço usado por desenvolvedores para obter a permissão de assinantes da rede social e executar corretamente seus aplicativos na plataforma.

Essa autenticação é usada quando você aceita, por exemplo, um convite para jogar algum game do Facebook com seus amigos por meio da plataforma da rede social, que exige um consentimento do usuário para que o desenvolvedor possa acessar suas informações.

“Eu encontrei uma maneira de obter permissões totais (ler caixa de entrada, caixa de saída, gerenciar páginas, gerenciar anúncios, ver as fotos privadas, vídeos etc) sobre a conta das pessoas, mesmo sem quaisquer aplicativos instalados em sua conta”, disse Nir Goldshlager em seu post.

Ele conseguia fazer isso modificando a URL do OAuth, o que lhe permitia redirecionar um usuário para um aplicativo de teste que ele montou. Ao aceitar o pedido de acesso aos dados, a vítima era redirecionada para seu próprio site, onde um token (dispositivo eletrônico gerador de senhas) de aceso seria armazenado.

Quando um usuário clicava em “Permitir” no tal aplicativo fake, o hacker tinha acesso às suas informações. Ele também ressaltou em seu post que a falha só poderia ser explorada até que a vítima mudasse sua senha da rede social.

O Facebook agradeceu Nir Goldshlager em sua página do programa chamado ‘The White Hat Program’ https://www.facebook.com/whitehat/thanks/, que é um sistema que visa encorajar os desenvolvedores a relatarem quaisquer potenciais vulnerabilidades em troca de uma recompensa monetária.
Confira o vídeo divulgado pelo hacker em seu blog:

http://vimeo.com/60324292

Agradeço ao Davi e ao Lucas, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fonte: Canaltech