Falha expõe dados de 143 milhões de usuários nos EUA

Uma falha de segurança resultou no possível vazamento de dados de mais de 143 milhões de pessoas nos Estados Unidos. O problema ocorreu na Equifax, uma das maiores companhias de serviço de proteção ao crédito do país, espécie de SPC/Serasa de lá. De acordo com a própria empresa, os dados expostos incluem número de seguro social e de carteira de motorista e também a data de nascimento dos consumidores.

O problema foi identificado no dia 29 de julho deste ano e, de acordo com a Equifax, foi explorado por criminosos desde a metade de maio a fim de obter acesso a determinados arquivos. E a falha resultou em uma situação ainda mais grave para uma porção menor de pessoas: 209 mil números de cartões de crédito e dados de identificação pessoal de 182 mil pessoas também foram vazados.

Ainda de acordo com a Equifax, o problema pode ter ultrapassado as fronteiras dos Estados Unidos e possivelmente alguns consumidores do Reino Unido e do Canadá também correm risco de terem seus dados expostos.

Maior vazamento de dados sensíveis da história

Após este que é o maior vazamento de dados sensíveis da história, atingindo quase 50% da população total dos Estados Unidos, a Equifax divulgou um comunicado pedindo desculpas aos consumidores. A companhia, que detém dados de mais de 820 milhões de consumidores de vários países, afirmou ter contratado uma empresa de segurança para investigar o vazamento e também que vai levar o caso para a Justiça.

Fonte: Tecmundo

Microsoft Edge apresenta falha grave de segurança

Os navegadores estão constantemente em contato direto com a Internet, permitindo que os atacantes procurem explorar as suas vulnerabilidades e as suas falhas.

No Edge, o mais recente navegador da Microsoft, foi descoberta uma nova vulnerabilidade, que permite que sejam roubadas as senhas do usuário e os cookies previamente armazenados.

Esta nova falha do Edge foi descoberta pelo pesquisador de segurança Manuel Caballero, que mostrou que é simples e muito rápido para qualquer atacante obter as senhas de qualquer usuário deste browser. Além disso é igualmente possível obter os cookies que os sites guardam nesse navegador.

Uma vez em posse destes dados, é possível ao atacante acessar todos os sites que o usuário tenha visitado, mesmo os que requerem autenticação, deixando-o assim exposto e vulnerável.

Para obter estes dados é necessário apenas explorar uma falha na implementação da “Same Origin Policy” que foi feita pela Microsoft. Esta medida pretende impedir que os sites explorem os dados que foram gerados por outros, mas, até onde se sabe até agora, esta medida não foi implementadda de forma correta.

Para piorar a situação, e segundo Manuel Caballero, esta falha não é nova e já existem duas formas diferentes de a explorar. Ambas são bem conhecidas pela Microsoft e estão ainda por serem resolvidas.

Mas a nova forma, descoberta por este pesquisador de segurança, mostra-se tão eficiente como as demais, com a particularidade de ser mais simples e mais rápida de implementar, sendo por isso mais perigosa.

Esta é mais uma falha a ser acrescida à lista daquelas recentemente descobertas em produtos Microsoft. Depois de dias de grande confusão por conta do ciberataque mundial, que explorava uma falha no Windows, surge mais uma, desta vez no navegador que a Microsoft quer que os seus usuários usem como o seu preferencial.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Falha no Chrome possibilita o roubo de senhas

Se explorada com sucesso, a falha no navegador permite que o criminoso instale e execute automaticamente um arquivo malicioso que poderá roubar senhas e nomes de usuário.

O pesquisador de segurança Bosko Stankovic, da DefenseCode, detalhou o processo para o roubo de credenciais, que começa com o usuário sendo enganado para que ele baixe e execute um arquivo no formato . scf (Windows Explorer Shell Command File) disfarçado como um ícone para mostrar a área de trabalho. Esse formato existe desde a época do Windows 98.

O arquivo pode então ser usado para enganar o Windows e fazer com que ele tente se logar em um servidor SMB controlado remotamente pelo criminoso. Este servidor capturará o hash da senha do usuário usada para autenticação.

O hash poderá ser quebrado offline ou usado pelo criminoso para se passar pela vítima em um serviço, como o Microsoft Exchange, que aceita o mesmo tipo de autenticação baseada em NTLM.

O ataque se aproveita da forma como o navegador do Google e o Windows lidam com arquivos no formato .scf. O problema no Google Chrome é que ele não toma os mesmos cuidados com arquivos .scf que toma com os no formato .lnk, que recebem uma extensão .download.

Os arquivos .lnk começaram a receber a extensão depois que foi descoberto que hackers a serviço de agências governamentais estavam utilizando arquivos neste formato para infectar dispositivos com Windows com o malware Stuxnet.

O Google confirmou que está trabalhando em uma correção para a falha no Google Chrome e que ela também afeta outras versões do Windows além do Windows 10.

Um segundo problema com o navegador é que ele depende do comportamento padrão do Windows após o download de arquivos no formato formato .scf. Segundo Stankovic, o Google Chrome baixa automaticamente arquivos considerados como “seguros”.

Isso pode parecer algo positivo caso o usuário precise executar manualmente o arquivo, mas no Windows o arquivo .scf iniciará a requisição de autenticação no servidor SMB do criminoso assim que o diretório de download for aberto no Explorador de Arquivos.

Não é necessário clicar nele ou abrir o arquivo – o Explorador de Arquivos tentará exibir o “ícone” automaticamente.

Stankovic testou o diversos antivírus e nenhum deles foi capaz de barrar os arquivos formato .scf.

Até que uma correção definitiva seja disponibilizada, os usuários do navegador do Google podem se proteger temporariamente desativando os downloads automáticos, o que pode ser feito marcando a opção abaixo, ou restringindo/desativando o tráfego do protocolo SMB:Esta falha depende de dois fatores, que aparentemente podem facilmente ser encontrados. Por um lado, a facilidade nos downloads oferecida pelo Chrome e por outro, a falta de controle sobre os arquivos SCF e suas ações.

Agradecemos ao Domingos, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: R7 e  pplware

Falha no Windows: uma ameaça ainda presente

Imagine uma falha do Windows que afeta todas as suas versões e que o usuário não precisa fazer nada para estar exposto… na opinião de Dan Tentler, fundador e CEO do Phobos Group, essa falha é um “banho de sangue”.

Exceto que a Microsoft já publicou uma correção para a vulnerabilidade, distribuída desde a Patch Tuesday de Março, antes mesmo do problema ser divulgado pelo coletivo hacker Shadow Brokers.

Ainda assim, a inércia de administradores e usuários em implementar a correção tem transformado a falha de segurança em uma das piores pragas desde a epidemia do Conficker em 2008. Batizado de DoublePulsar, o malware que ataca a vulnerabilidade era utilizada pela NSA para penetrar em sistemas Windows através da Porta 445. Após ser divulgada pelo Shadow Brokers, a ferramenta caiu na mão de cibercriminosos e estima-se que cerca de 5 milhões de máquinas estão correndo risco de invasão em todo o mundo.

Para Sean Dillon, analista de segurança senior da RiskSense, o malware “entrega a você controle total do sistema e você pode fazer o que quiser com ele”. Apesar da correção já existir e já ter sido amplamente distribuída, ele acredita que “isso irá aparecer nas redes por anos e anos. A última grande vulnerabilidade desse nível foi a MS08-067 (relacionada ao Conficker), e ainda é encontrada em um bocado de lugares. Eu encontro ela por toda parte”. E alerta: “esta é a mais crítica correção do Windows desde aquela vulnerabilidade”.

Tentler, da empresa de segurança Phobos Group, vai além e classifica o DoublePulsar como um “banho de sangue”. Em um escaneamento rápido na web, ele conseguiu encontrar mais de 60 mil sistemas expostos, apenas aguardando um ataque. Há informes de tutoriais e até vídeos no YouTube sendo publicados pelas comunidades hackers ensinando de forma bem simples como explorar o problema.

A recomendação dos especialistas é que todos implementem a correção imediatamente.

Mesmo que o usuário esteja utilizando a versão mais atualizada do Windows e a Porta 445 esteja fechada ou camuflada em seu sistema, um invasor ainda pode explorar uma outra máquina na rede e realizar o mesmo tipo de infiltração em larga escala.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: UOL Código Fonte

Falha no Chrome e Firefox permite ataque phishing

Os ataques de phishing não são nenhuma novidade. Sites e serviços falsos que se passam por outros para enganar usuários desavisados existem aos montes, mas você mal se preocupa com isso porque o seu navegador muito provavelmente faz o trabalho de filtrar e avisar caso você esteja prestes a entrar em uma página suspeita. No entanto, como agir quando a ameaça consegue driblar até mesmo esses sistemas de segurança? Pois é exatamente isso o que uma nova ameaça vem fazendo.

De acordo com uma empresa chinesa de pesquisa em segurança digital, há um novo ataque de phishing circulando pela internet que é praticamente impossível de ser detectado até mesmo por quem já está habituado a conferir a autenticidade dos sites que acessa. Segundo o alerta emitido pela companhia, há uma vulnerabilidade presente nos principais navegadores do mercado — Chrome, Firefox e Opera — que pode ser utilizada por hackers para enganar os usuários.

Assim, eles conseguem exibir falsos domínios como se fossem sites legítimos. Com isso, eles podem se passar por sites que você acessa todo dia, como Google, Facebook ou mesmo a loja da Amazon para roubar desde informações de acesso, como seu nome de usuário e senha, até dados pessoais e informações financeiras. Sem que você perceba, o número de seus documentos ou de seu cartão de crédito pode ser roubado quando você acreditava estar navegando em um ambiente seguro.

O que realmente chama a atenção nessa falha é que ela dribla até mesmo os mecanismos que geralmente utilizamos para identificar um phishing tradicional. Exemplo disso é que a empresa de segurança disponibilizou uma página de demonstração com o endereço real da Apple, mas cujo conteúdo não corresponde ao site da companhia. Isso porque essas informações estão sendo enviadas de outro servidor. A ideia é servir como um teste: se você acessar o link e visualizar um aviso ao invés do ver os produtos da Maçã, pode ter certeza de que seu navegador é vulnerável a esse novo golpe.

E o modo com que esses truques são feitos é bastante engenhoso. Eles se utilizam de caracteres Unicode, ou seja, letras de outros alfabetos que acabam sendo representados da mesma maneira que a gente costuma usar na maior parte do mundo. Isso porque os navegadores fazem uma conversão para tratar tudo da mesma forma na exibição, embora continue considerando os caracteres diferentes. Em outras palavras, ele vai mostrar o A cirílico e o A românico da mesma forma — “a” —, mas vai considerá-los diferentes na hora de gerar o endereço. E isso confunde diretamente o usuário, que acha que se trata tudo da mesma coisa.

Assim, o que os hackers fazem é inserir caracteres de vários idiomas para confundir o sistema e criar uma brecha. Como tudo isso vai ser convertido em um código universal, eles driblam a lógica dos navegadores para fazer com que essa salada linguística exiba o endereço que eles querem. É assim que eles conseguem registrar domínios que, para você, vai aparecer como se fosse apple.com, google.com ou qualquer outra página aparentemente de confiança.

Como dito, até o momento os pesquisadores identificaram o problema somente no Chrome, Firefox e Opera — também conhecidos como os programas mais utilizados para navegação. Enquanto isso, Internet Explorer, Microsoft Edge, Safari, Brave e Vivaldi seguem invulneráveis a esse truque.

Como se prevenir

Infelizmente, não tem muito o que os usuários possam fazer para contornar a situação, já que depende muito mais de uma solução apresentada pelas empresas do que ações que você possa fazer em casa. O Google, por exemplo, já está trabalhando em atualizações que corrigem o problema e a previsão é que o update seja liberado para o grande público nos próximos dias. Já a Mozilla segue em discussão sobre o que fazer.

No caso dos usuários do Firefox, há uma saída paliativa para amenizar o problema. Para isso, basta digitar about:config na barra de endereços e confirmar. Em seguida, pesquise por Punycode na área de busca. Isso vai fazer com que somente um parâmetro seja exibido — network.IDN_show_punycode. Clique com o botão direito do mouse sobre ele e selecione a opção Inverter Valor, fazendo com que ele faça a substituição automática e desative a conversão automático desses códigos.

Fonte: Canaltech

Double Agent: a falha do Windows que pode transformar um antivírus em um malware

As soluções de segurança deveriam ser a proteção que os usuários têm nas suas máquinas para lhes garantir proteção contra todos os tipos de malware. Se de forma geral conseguem desempenhar esse papel, a verdade é que podem acabar sendo usados para atacar seus próprios usuários

Uma falha recentemente descoberta, o DoubleAgent, veio colocar às claras uma vulnerabilidade que pode fazer com que os antivírus possam vir a ser controlados remotamente sendo utilizados como arma de ataque ao sistema operacional Windows.

Esta não é uma falha recente, tem ao menos 15 anos, e afeta todas as versões do Windows, desde o descontinuado XP até ao recente Windows 10. É extremamente perigosa e pode ser explorada sem qualquer limitação.

Que falha é explorada pelo DoubleAgent

O DoubleAgent foi descoberto pela empresa de segurança Cybellum e faz uso do Application Verifier, uma funcionalidade pouco documentada, mas legitima do Windows e que aparentemente não pode ser corrigida.

O Application Verifier é uma ferramenta de verificação que carrega DLLs (dynamic link library) nos processos para efeitos de testes, possibilitando aos programadores detectar de forma rápida erros nos seus aplicativos.

Como funciona o DoubleAgent

A vulnerabilidade está na forma como o Application Verifier trata os DLLs. De acordo com os pesquisadores da Cybellum, numa parte do processo as DLLs são associadas aos processos através de uma chave de registo do Windows.

Mas os atacantes conseguem, de forma simples, substituir essa DLL por uma infetada. Basta para isso que criem uma chave de registo com o mesmo nome da que querem atacar.

Para provar a sua teoria, os pesquisadores conseguiram controlar um antivírus, colocando-o a criptografar arquivos como um simples ransomware. O vídeo abaixo mostra como é possível realizar este ataque.

Agradecemos aos amigos Yan Dago por nos trazer essa notícia na sua versão original e ao Domingos pela referência em Português do mesmo tema.

Fontes: Cybellum e pplware

Falha grave de segurança em cartões de crédito é preocupante

cartoes_creditoPesquisadores da Universidade de Newcastle, no Reino Unido, provaram que existe um falha na segurança de cartões de crédito que facilmente expõe os dados sensíveis de titulares. De acordo com a pesquisa, “se o número do cartão estiver registrados em muitos sites diferentes, os sistemas de segurança do cartão não são ativados e o dono também não é notificado de uma possível atividade fraudulenta”.

O software desenvolvido pelos pesquisadores foi capaz de compilar dados importantes de cartões de créditos registrados em diferentes websites, como data de validade, endereço do titular, código de segurança etc. No começo do mês, mais de 20 mil contas do Tesco Bank acabaram vazando, e rumores indicam que hackers utilizaram a mesma técnica demonstrada no estudo.

A pesquisa foi publicada no IEEE Security & Privacy 2017 e a Universidade confirmou que enviou avisos para a Visa sobre a falha, mas a companhia não “levou muito a sério”, segundo o TNW.

“A pesquisa não leva me conta as múltiplas camadas de prevenção que existem com os sistemas de pagamento, cada um deles precisam ser completos para uma transação ser realizada no mundo real”, comentou a Visa ao The Independent.

Os efeitos da liberação dessa pesquisa ainda serão sentidos. Assim que tivermos mais novidades, atualizaremos essa notícia.

Fontes: Tecmundo e TNW