Brechas no Edge possibilitam o escape de máquinas virtuais

Durante a competição hacker Pwn2Own, realizada nas últimas semanas, diversos pesquisadores mostraram como falhas no Microsoft Edge podem ser usadas para realizar uma série de atividades inesperadas.
No caso, o foco foi conseguir “escapar” dos limites impostos pela máquina virtual VMware Workstation.

Entre aqueles que conseguiram abusar das brechas de segurança do navegador estão a empresa chinesa Qihoo 360 Security, que ganhou US$ 105 mil ao explorar três bugs do software. “Eles sucederam ao fazer um heap overflow no Microsoft Edge, uma confusão de digitação no kernel do Windows e um buffer não inicializado na VMware Workstation”, explica a Zero Day Initiative (ZDI).

A Tencent Security também conseguiu um feito semelhante explorando um bug de lógica presente no Edge durante o primeiro dia de competição. A companhia voltou a demonstrar sua capacidade durante o último dia do evento, usando uma cadeia de três bugs para ganhar permissões dentro da máquina virtual e sair dela — o que rendeu US$ 100 mil à equipe.

Preocupação crescente de segurança

Esses feitos fizeram com que a 360 Security e a Tencent Security ganhassem, respectivamente, o primeiro e o segundo lugar da competição. O que torna as ações dignas de atenção é o fato de que máquinas virtuais são cada vez mais importantes para corporações que não querem que todas as pessoas conectadas a um servidor tenham acesso a informações delicadas.

2017 marca o primeiro ano do Pwn2Own em que pesquisadores de segurança visam à tecnologia, demonstrando que não há nada conectado à internet que seja 100% seguro. Além do Edge, softwares como o Flash, o kernel do macOS, o Safari e o Ubuntu foram usados como base dos métodos necessários para explorar brechas de segurança.

Fonte: Tecmundo

Novo malware sabe se foi instalado em uma máquina virtual

anti-vm-tricks-word-viewO pesquisador de segurança Caleb Fenton, da SentinelOne, alertou para um novo malware capaz de detectar se foi ou não instalado em uma máquina virtual.

Caso ele detecte que foi instalado em uma máquina virtual, o malware tornará sua análise muito mais difícil.

Como os pesquisadores utilizam máquinas virtuais para analisar os malwares em ambientes isolados, a técnica utilizada pelo novo malware representa um grande problema.

De acordo com Fenton, o malware chega como uma macro em um documento do Word.

Para detectar se foi ou não instalado em uma máquina virtual, o novo malware tentará obter informações sobre o endereço IP. Depois de obter o IP, ele o analisará para ver se corresponde ao endereço de uma empresa de segurança ou a um ambiente isolado.

Se ele detectar que foi instalado em máquina virtual, o malware se recusará a se comportar de forma suspeita para dificultar sua detecção.

O pesquisador de segurança recomenda que os usuários mantenham seus softwares antivírus sempre atualizados e que evitem abrir documentos que chegam por email via fontes desconhecidas.

Fontes: Baboo e SentinelOne

Ransomware que reconhece máquinas virtuais

cryptowallInvestigadores da Cisco dizem que a última versão do malware suspende a sua atividade, se estiver numa máquina virtual.

O software nocivo, CryptoWall, foi reformulado e está deixando os investigadores de segurança frustrados. A segunda versão do malware de sequestro de arquivos, ou “ransomware”, está mais difícil de detectar e de estudar, de acordo com especialistas do Talos Security Intelligence and Research Group, gerido pela Cisco.

O CryptoWall era um sucessor, de segunda categoria, do CryptoLocker, estando este último praticamente desaparecido, depois de uma ação das autoridades para desativar a botnet Zeus Gameover ‒ que era usada para distribuir o software nocivo.

A amostra analisada pelos investigadores foi enviada por e-mail num anexo de “.zip”. Neste está um dispositivo de exploração de uma vulnerabilidade no sistema de incremento de privilégios de acesso, em sistemas da Microsoft, a CVE-2013-3660, usada para se obter maior controle sobre um computador, explica Earl Carter, membro da equipe de investigação.

Se for aberto, avança, o CryptoWall não decifra todo o seu código binário, mas apenas uma pequena parte, encarregada de verificar se está sendo executado num ambiente virtual. Quando é este o caso, o “ransomware” suspende a decriptografia.

Como muitos arquicos são executados dentro de uma zona de monitorização, numa máquina virtual, para verificar se são maliciosos, o processo tem por objetivo evitar a detecção. “Eles não querem que as pessoas estudem isto dentro de uma ‘sandbox’ [ambiente de rastreio] “, disse Carter.

Uma medida de defesa possível face ao CryptoWall é a adição de entradas falsas no sistema de arquivos, indicando o funcionamento de máquinas virtuais. Carter considera que o truque pode funcionar, mas a opção não é, provavelmente, uma forma de evitar infecções no longo prazo.

Quando o CryptoWall decide que o ambiente é seguro para a sua execução, faz a decriptografia completa. Depois comunica com os seus servidores de comando e controle, utilizando a rede Tor, para dificultar o seu rastreamento.

E como os investigadores não conseguem ver quais são os endereços IP, desses servidores, torna-se impossibilitada uma investigação mais aprofundada sobre as máquinas usadas como parte da infra-estrutura do malware, explica Carter.

O CryptoWall usa criptografia forte de chave pública para criptografar arquivos de determinadas extensões. Além de pagar o resgate, a única outra maneira de o combatê-lo é através da reposição de arquivos a partir de um backup.
Mas o malware também tenta atingir esse repositório também.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: ComputerWorld