Falhas no Windows e Linux são convite à ataques por ransomwares

Mais de um mês após ao ataque do ransomware WannaCry, que atingiu mais de 70 países, uma nova onda de malware que se autopropaga pode estar por vir devido a duas novas vulnerabilidades: uma no serviço de desktop remoto (RDP) do Windows e outra por causa de falha que atinge máquinas Linux com o serviço Samba. O alerta é do Laboratório de Inteligência da Cipher, empresa global de segurança cibernética.

A vulnerabilidade afeta máquinas Windows XP e Windows 2003 Server, sistemas cujo suporte foi descontinuado pela Microsoft. O exploit, chamado EsteemAudit, também foi publicado pelo grupo hacker autodenominado Shadow Brokers, responsável pela divulgação da falha EternalBlue que deu origem ao WannaCry. Cerca de 7% dos computadores pessoais ainda utilizam a versão XP do Windows e estimativas dão conta que 600 mil servidores web ainda estão rodando a versão Server 2003. A Microsoft divulgou atualização para essa falha.

Já o Samba é um serviço do Linux utilizado para compartilhamento de arquivos e compatibilidade com sistemas operacionais Windows, permitindo a troca de arquivos e sessões de comunicação entre os dois sistemas operacionais. A falha também permite a execução de código remoto em dispositivos Linux e a criação de um “wormable malware”, ou seja, um software malicioso que pode infectar outros dispositivos conectados em rede automaticamente.

De acordo com o especialista em cibersegurança da Cipher, Fernando Amatte, é necessário ter cuidado ao conectar um dispositivo à internet. “Valide as regras dos dispositivos que estão expostos e, caso seja necessário o uso do RPD, ele deve ser feito via uma conexão VPN”, alerta.

O grande risco nesse caso está em equipamentos do tipo NAS (Network Attached Storage), que são discos rígidos externos com capacidade de conexão em rede utilizados para armazenar fotos, vídeos e arquivos pessoais. Esses dispositivos utilizam, via de regra, Linux e não possuem processo de atualização automatizada.

“Por enquanto, notamos entre os nossos clientes que os casos relacionados a possíveis problemas são isolados, mas se não formos cautelosos, uma nova gama de ataques pode acontecer. A recomendação é alertar aos gestores para tomarem cuidado e procurar atualizações nos sites dos fornecedores, além de buscar um especialista em segurança da informação para saber o nível de risco de exposição em que a empresa se encontra”, finaliza Amatte.

Fonte: CIO

KillDisk: o malware que virou ransomware

killdiskO malware KillDisk foi utilizado em diversos ataques em 2015 e as versões mais recentes agora agem como ransomware.

Ao invés de apagar os dados armazenados, o malware agora criptografa os arquivos e exibe uma mensagem pedindo um pagamento de 222 bitcoins para desbloqueá-los. Esta quantia seria equivalente a US$ 250.000.

Um detalhe sobre o malware é que ele agora também possui uma versão para Linux que pode infectar desktops e servidores.

De acordo com post publicado pelos pesquisadores da empresa de segurança ESET, a rotina e os algoritmos de criptografia da versão para Windows são diferentes da versão para Linux.

Outro detalhe sobre a versão para Linux é que mesmo se o resgate for pago, não será possível desbloquear os arquivos.

Fontes: Baboo e ESET

Falha de segurança no Linux pode comprometer sistema

dirty-cow-linux-kernel-exploitUma falha antiga detectada no Linux pode ser explorada com facilidade para dar acesso à máquinas com o sistema operacional, é o que afirma o especialista em segurança Phil Oester. Ele encontrou o problema ao examinar o servidor de um site que foi atacado.

A pior parte é que a falha está por aí desde 2007, mas só foi descoberta agora pelos profissionais de segurança. O problema já havia sido corrigido pelo próprio Linus Torvalds, criador do Linux, há 11 anos, mas apareceu de novo após uma atualização feita alguns anos depois.

Segundo Oester, ele só conseguiu detectar o problema quando isolou o defeito e o testou usando uma virtualização. Ele pode ser usado para dar acesso remoto a servidores e tem potencial para ser utilizada em qualquer máquina com permissão para executar um arquivo.

Como o problema já foi corrigido no kernel, a recomendação é que todos os sistemas que utilizam Linux sejam atualizados imediatamente. Batizado de Dirty COW, o bug também tem uma página com os detalhes técnicos e mais informações sobre a falha.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Descoberto backdoor para Linux

backdoor_linuxFoi descoberto um backdoor multifuncional para Linux que pode assumir o controle dos computadores rodando neste sistema operacional.

A empresa de segurança informática Dr Web descobriu um backdoor multifuncional para Linux que pode assumir o controle do computador e executar comandos. Os pesquisadores explicaram que este malware (software malicioso), chamado Linux.BackDoor.Xunpes.1, contamina o computador em duas fases.

Na primeira, um dropper (um programa malicioso que instala outros malwares) escrito em Free Pascal, se encarrega de entrar no sistema operacional e baixá-lo, e o segundo e principal componente do ataque, um malware backdoor.

Uma vez dentro do computador, o software malicioso não se limita a roubar informações do usuário mas, de acordo com Dr.Web, permite que os hackers no controle do computador executem mais de 40 ações diferentes, como fazer screenshots, gravar as teclas digitadas, baixar arquivos e excluir pastas. Todos os comandos são enviados através de um servidor C&C (Comando e Controle) e permitem que os atacantes permaneçam anônimos.

“Linux.BackDoor.Xunpes.1” não é o primeiro malware que apareceu no Linux; anteriormente, já foram encontrados exemplos como o “Linux.Ekocms.1” ou o “Linux.Rekoobe”, somados aos sequestradores de dados “Linux.Encoder” e o botnet (rede de computadores contaminados) “DDoS XOR”. Bitdefender já está trabalhando para combater estes malwares que ameaçam a segurança de um sistema operacional pouco acostumado com esse tipo de ataque.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: CCM

Bug no Linux coloca em risco milhões de dispositivos

linux-bugUm bug presente no Linux há quase três anos pode ser usado por hackers para tomar o controle quase total de um dispositivo, dizem pesquisadores de segurança. Isso pode afetar dezenas de milhões de PCs e servidores, bem como 66% dos smartphones e tablets com Android.

De acordo com a Perception Point, o bug recém-descoberto, conhecido como CVE-2016-0728, fica no keyring (também conhecido como chaveiro) do sistema operacional, que é usado para armazenar coisas como dados de segurança, chaves de autenticação e de criptografia, evitando o uso desses itens por aplicativos antigos. A equipe do Perception Point, entretanto, identificou um bug — e construiu um ataque de prova de conceito — que torna possível substituir um item do keyring que está na memória por algum código.

Esse código, então, é executado pelo kernel — a parte crucial do sistema operacional, que traduz pedidos de entrada e saída do software em ações a serem executadas pela CPU. O código pode ser usado para fazer qualquer tipo de coisa — ganhar acesso root ao servidor, obter controle de todo o sistema operacional em um telefone com Android, ou até mesmo atacar um hardware que roda uma versão embutida do Linux, como um roteador.

O bug afeta o kernel do Linux em sua versão 3.8, que foi lançada no começo de 2013. Portanto, ele afeta qualquer Android rodando KitKat ou superior. A Perception Point nota que não foi observado “qualquer ataque que tenha esta vulnerabilidade em específico”, mas “recomenda que equipe de segurança examinem os dispositivos potencialmente afetados e implementem correções assim que possível”.

O Ars Technica observa que grandes distribuições do Linux devem receber uma correção nesta semana, mas pode levar mais tempo para seu dispositivo Android receber uma atualização. Como sempre, fique atento.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Gizmodo e ars technica

Falha grave no Linux permitia invasão pressionando a tecla Backspace

backspace

Dois pesquisadores de segurança espanhóis descobriram uma falha grave no Linux que permite o acesso a qualquer invasor simplesmente apertando a tecla Backspace 28 vezes seguidas.

A estranha vulnerabilidade faz parte do componente de inicialização Grub2, que possui uma camada secreta “de resgate” que passa por cima de login e senha do usuário e oferece acesso total ao sistema.

Os espanhóis Hector Marco e Ismael Ripoll fazem parte do Grupo de Cybersegurança na Universidade Politécnica de Valencia e comprovaram a falha, que permite que um intruso consiga visualizar os dados existentes na máquina e até instalar malware. Os dois pesquisadores prepararam uma correção de segurança de emergência e notificaram os responsáveis pelas principais distribuições do sistema operacional.

Embora o ataque exija a presença física do invasor diante do sistema a ser penetrado, a natureza, no mínimo bizarra, da vulnerabilidade chamou a atenção da comunidade Linux.

Até o momento, pelo menos a Ubuntu, a Red Hat e a Debian já realizaram as devidas correções em seus sistemas.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: CódigoFonte

Primeiro ransomware para Linux já tem solução

ransomware_linuxFerramenta que resolve problema foi criada por pesquisadores da empresa Bidefender.

Administradores de servidores web que foram infectados com um ransomware lançado recentemente para Linux estão com sorte: agora existe uma ferramenta gratuita que pode descriptografar seus arquivos.

A ferramenta foi criada por pesquisadores de malware da empresa de segurança Bitdefender, que descobriu uma grande falha na maneira como o ransomware Linux.Encoder.1 usa a criptografia.

O programa torna os arquivos ilegíveis usando o Advanced Encryption Standard (AES), que utiliza a mesma chave tanto para criptografar quanto para descriptografar. Essa chave AES é então criptografar usando o RSA, um algoritmo assimétrico de criptografia.

O algoritmo RSA usa uma chave pública e privada, em vez de uma chave única. A chave pública é usada para criptografar dados e a chave privada é usada para descriptografá-los. No caso do Linux.Encoder.1, o par de chaves públicas RSA é gerado nos servidores dos criminosos e apenas a chave pública é enviada para os sistemas infectados e usada para criptografar a chave AES.

Caso seja implementado corretamente, esse processo tornaria impossível para qualquer descriptografar arquivos sem a chave RSA retida pelos criminosos. No entanto, os pesquisadores da Bitdefener descobriram que, quando gera as chaves AES, o programa malicioso usa uma fonte fraca de dados aleatórios – a hora e a data do momento da criptografia.

Esses dados são fáceis de serem determinados ao dar uma olhada quando os arquivos chave AES foram criados no disco. Dessa forma, os pesquisadores podem reverter o processo e recuperar as chaves AES sem precisar descriptografá-las, tornando as chaves pública e privada RSA sem sentido.

A ferramenta criada e lançada pelo Bitdefender é um script escrito em Python que determina os vetores de inicialização e chaves de criptografia AES ao analisar os arquivos criptografados pelo programa de ransomware. Ele então descriptografa os arquivos e conserta suas permissões no sistema.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!