Cibercriminosos continuam se aproveitando de vulnerabilidade da Microsoft

Hackers do Fancy Bear, grupo russo, estão explorando uma vulnerabilidade DDE do Microsot Office, de acordo com pesquisadores da McAfee. O lado ruim disso é que, anteriormente, a Microsoft não considerou essa vulnerabilidade como um problema de segurança, então não pretende lançar um patch de atualização para corrigir a brecha.

Como o DDE é um recurso legítimo, os programas antivírus não realizam qualquer tipo de alerta

O DDE, Dynamic Data Exchange, é um recurso integrado do Microsoft Office. Se explorado por cibercriminosos, ele pode servir para a execução de códigos em dispositivos com Office sem a necessidade de ativação do Macros. Para o sistema, o protocolo DDE é um dos métodos usados pela Microsoft para permitir a troca de dados entre duas aplicações (programas) rodando ao mesmo tempo.
Entre os programas que usam o DDE — e podem ser explorados — estão o Word, o Excel, o Quattro Pro e o Visual Basic.

De acordo com a McAfee, o Fancy Bear já está realizando ataques via DDE. É interessante notar que muitos pesquisadores apontam o Fancy Bear, também conhecido como APT28, como um grupo patrocinado pelo governo da Rússia. O grupo, por meio de phishing, está explorando a vulnerabilidade em PCs de vítimas desde outubro deste ano.

Infelizmente, como o DDE é um recurso legítimo, como nota o Hacker News, os programas antivírus não realizam qualquer tipo de alerta quando ele é explorado — ou sobre qualquer ameaça.

Como se proteger

Neste caso, parece que não há como esperar um patch de atualização. Então, a dica é desabilitar o recurso DDE. Se você possui o Microsoft Word/Excel 2016, em “Opções”, “Avançado”, retire o check ao lado de “Update automatic links at open” (Atualize os links automáticos em aberto). Essa ação já deve prevenir alguma exploração, caso você acabe caindo em phishing.

Fonte: Tecmundo

WhatsApp apresenta vulnerabilidade

whatsappO aplicativo WhatsApp possui uma vulnerabilidade em seu sistema de segurança que pode permitir que o Facebook, proprietário do serviço, e outros portais interceptem mensagens codificadas entre os usuários, afirmou nessa última sexta-feira o jornal britânico “The Guardian”.

O Facebook garante que ninguém pode interceptar mensagens trocadas pelo WhatsApp, nem mesmo a própria companhia e seus funcionários, para garantir a privacidade de milhões de usuários.

No entanto, uma nova pesquisa divulgada pelo “The Guardian” revela que a companhia poderia ler as mensagens codificadas devido à maneira que o WhatsApp implementou o chamado protocolo de codificação de ponta a ponta.

Os ativistas defensores da privacidade afirmam que a “vulnerabilidade” encontrada no popular aplicativo de mensagens representa uma “enorme ameaça para a liberdade”. Além disso, alertam que essas informações podem ser utilizadas pelas agências de inteligência dos governos de vários países.

O protocolo de segurança do Whatsapp depende de uma chave única, usando o sistema “Signal” desenvolvido pela Open Whisper System.

Os códigos são verificados entre os usuários automaticamente a fim de garantir que a troca de mensagens não poderá ser interceptada.

No entanto, afirma o “The Guardian”, o WhatsApp tem uma forma de conseguir que essas chaves sejam recodificadas, de modo que o receptor da mensagem não saiba das mudanças ocorridas.

Nesse caso, o remetente é notificado que houve uma mudança nas chaves de codificação se o usuário previamente optou pela codificação nos ajustes do aplicativo.

A vulnerabilidade foi descoberta por Tobias Boelter, um pesquisador especializado em codificação da Universidade de Berkeley, na Califórnia, nos Estados Unidos.

“Se uma agência de inteligência pedisse ao WhatsApp para que eles divulguem o nosso histórico de mensagens, eles podem efetivamente garantir o acesso pela mudança nas chaves”, disse Boelter.

O especialista informou sobre o problema ao Facebook em abril de 2016. A companhia respondeu que já sabia da vulnerabilidade.

A descoberta, segundo o “The Guardian”, questiona a privacidade do serviço de mensagens online utilizado por milhões de brasileiros e pessoas de todo o mundo.

Fonte: Exame

Descoberta vulnerabilidade no Microsoft Edge

vulnerabilidade_edgeDe acordo com informações do especialista em segurança Manuel Caballero, uma vulnerabilidade no recurso SmartScreen do Microsoft Edge pode ser usada para enganar os usuários do navegador.

O SmartScreen é um recurso de segurança criado para alertar o usuário sobre sites e downloads maliciosos.

A vulnerabilidade descoberta por Caballero permite que criminosos exibam alertas falsos como sendo de outros domínios como Google e Facebook.

Segundo ele, criminosos podem explorar esta vulnerabilidade para que ela exiba números de telefone de supostas “equipes de suporte” que farão de tudo para tirar dinheiro dos usuários.

Caballero colocou no ar uma página de demonstração onde qualquer um pode gerar seu próprio alerta falso com o domínio de sua escolha.

Em seu blog, ele afirma que a vulnerabilidade afeta apenas o Microsoft Edge.

A vulnerabilidade ainda não foi corrigida e por isso é necessário ter cuidado redobrado durante a navegação na Web.

Caballero disse que já reportou diversos bugs para a Microsoft no passado, mas como a empresa ignorou alguns deles, ele decidiu divulgar a vulnerabilidade no SmartScreen do Microsoft Edge publicamente sem reportá-la para a empresa.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo

Atenção: KeePass 2 está vulnerável

keepassO KeePass é um aplicativo gratuito open-source que possibilita o gerenciamento de senhas de forma segura, longe de olhares alheios. Hoje em dia são tantos cartões, logins, senhas e códigos de acesso que fica complicado gerenciar com lucidez todos estes conjuntos de letras, números e símbolos.

Mas, de acordo com uma informação recente, o KeePass 2 está vulnerável a ataques man-in-the-middle.

O KeePass 2 é provavelmente um dos serviços de armazenamento de senhas mais utilizado no mundo.
Muitos usuários confiam neste aplicativo muitas das senhas e logins que utilizam nos serviços online. O problema é que, recentemente, foi descoberta uma falha e ao que parece os responsáveis já disseram que não pretendem corrigi-la para não perder publicidade.

Como funciona o ataque ao KeePass 2?

Tal como acontece com todos os ataques man-in-the-middle, a comunicação é interceptada e até pode ser redirecionada. Neste caso, quando o usuário que tem o KeePass 2 acessa opção de verificação de atualizações, e como esse pedido é feito via HTTP, facilmente o atacante consegue interceptar essa comunicação e até lhe enviar uma “atualização maliciosa”.

Estranhamento o responsável pelo KeePass 2 já afirmou conhecer a vulnerabilidade, mas disse que não vai solucioná-la por existirem custos associados. Mais estranho ainda é o fato de referir que se implementasse uma comunicação com base no protocolo HTTPS, iria perder apoios de publicidade.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Vulnerabilidade possibilita acesso quase total aos Macs

cadeadoA Apple lançou recentemente o OS X 10.11.4, que corrige um grande número de vulnerabilidades do sistema. Mas, segundo uma notícia recente, a gigante de Cupertino parece ter esquecido de uma vulnerabilidade que possibilita acesso quase total a qualquer Mac.

Esta vulnerabilidade “Zero–day” foi descoberta por investigadores da SentinelOne.

Apesar de ser considerado um dos sistemas operacionais mais seguros, foi descoberto agora que o OS X tem uma vulnerabilidade que permite aos hackers a execução de código malicioso, mesmo estando o sistema protegido pelo SIP (System Identity Protection), um recurso de segurança ao nível do Kernel.

O SIP, também designado de rootless, foi lançado com o OSX El Capitan e na prática ajuda a prevenir que seja executado código malicioso no sistema.

Nas imagens disponibilizadas pela SentinelOne se pode ver em detalhe, como o ataque acontece. Depois do hacker conseguir enganar o SIP, facilmente obtterá acesso quase total a qualquer Mac.

A Apple já foi notificada deste problema e diz que já está trabalhando em uma correção específica. Espera-se por isso uma nova atualização do OSX nos próximos dias.

Fontes: pplware e SentilOne

Mouses sem fio apresentam vulnerabilidade

Internet-SecurityPesquisadores de segurança da Bastille encontraram uma vulnerabilidade em mouses sem fio que torna possível a instalação de rootkits em PCs. A empresa é especializada em segurança para Internet of Things (IoT ou Internet das Coisas).

Se for explorada, a vulnerabilidade batizada como MouseJack pode permitir que um hacker a até 100 metros de distância do alvo instale um rootkit em 10 segundos.

Mouses sem fio de diversos fabricantes, incluindo Microsoft, Dell, Lenovo, HP, Gigabyte e Logitech, são vulneráveis.

Uma lista com modelos testados pela empresa e afetados pela vulnerabilidade pode ser vista abaixo:

AmazonBasics
Wireless Mouse MG-0975 – USB dongle RG-0976 (USB ID 04f2:0976)

Dell
Dell KM714 Wireless Keyboard and Mouse Combo – KM714 USB dongle (USB ID 046d:c52b)
KM632 Wireless Mouse – USB dongle (USB ID 413c:2501)

Gigabyte
K7600 wireless keyboard – USB dongle (USB ID 04b4:0060)

HP
Wireless Elite v2 keyboard – Elite USB dongle (USB ID 03f0:d407)

Lenovo
500 Wireless Mouse (MS-436) – 500 USB Dongle (USB ID 17ef:6071)

Logitech
K360, K400r, K750. K830. Unifying dongle (USB ID 046d:c52b)

Versões de fimrware testadas:
012.001.00019
012.003.00025

Microsoft
Sculpt Ergonomic mouse – 2.4GHz Transceiver v7.0 (USB ID 045e:0745)
Wireless Mobile Mouse 4000 – USB dongle model 1496 (USB ID 045e:07b2)
Microsoft Wireless Mouse 5000 – USB dongle model 1461 (USB ID 045e:07a5)

A lista completa pode ser vista aqui.

Embora a comunicação dos teclados sem fio com os receptores USB seja normalmente criptografada, a comunicação dos mouses não é.

Por causa disso um hacker a até 100 metros de distância pode interceptar os sinais enviados entre o mouse e o PC e substituir este sinal por outro com pacotes especialmente criados que podem agir como se o usuário estivesse digitando comandos com o teclado ao invés de clicando nos botões do mouse.

Assim ele pode instalar um rootkit em até 10 segundos sem precisar ter acesso físico ao PC do usuário. O processo todo pode ser feito com o uso de 15 linhas de código em Python e um dispositivo USB de US$ 15.

O ataque funciona no Windows, OS X e Linux.

A Logitech já disponibilizou uma atualização de firmware para alguns de seus mouses afetados.

A Bastille colocou no ar o site https://www.mousejack.com/ com mais informações sobre a vulnerabilidade em mouses sem fio e também disponibilizou no GitHub um kit de ferramentas com código aberto que pode ser usado para testar estes periféricos para ver se eles são vulneráveis.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo

Descoberta falha de segurança no Avast SafeZone

avast-safezone-browserDepois de encontrar brechas nos navegadores “especiais e seguros” embutidos nos produtos da Trend Micro e da Comodo, o pesquisador de segurança do Google Tavis Ormandy revelou também diversas vulnerabilidades no SafeZone, um navegador “seguro” incluído nas versões pagas do antivírus Avast. As falhas permitiam que sites na web obtivessem informações do computador da vítima, incluindo arquivos no disco rígido, além de informações de páginas em sessões autenticadas (como e-mails de um webmail).

Para que as falhas sejam exploradas, não é preciso que o navegador esteja em uso pelo internauta. Basta que o programa tenha sido instalado. A brecha foi relatada à Avast no dia 18 de dezembro e corrigida na semana passada, na quarta-feira (3).

A descoberta faz parte de uma série de análises realizadas por Tavis Ormandy para identificar falhas de segurança em antivírus. Ormandy, que é notório por se envolver em polêmicas, tem criticado certas atitudes de fabricantes de antivírus, como a criação de “navegadores seguros” para embutir nos produtos e a interferência com mecanismos de criptografia na web (HTTPS).

Ormandy trabalha no “Projeto Zero” do Google, uma iniciativa para identificar vulnerabilidades em aplicativos de uso popular em qualquer segmento.

Navegador listava arquivos
O navegador SafeZone da Avast é baseado no Chromium, que também serve de base aos navegadores Chrome, Vivaldi e Opera. Segundo Ormandy, a Avast removeu alguns recursos de segurança do Chromium, o que deixou o navegador vulnerável ao envio de comandos.

É possível listar pastas e arquivos presentes no disco de armazenamento do computador e também ler o conteúdo desses arquivos. Ormandy publicou uma imagem onde mostra o SafeZone listando na tela o conteúdo dos arquivos em “C:”. Normalmente, navegadores web não devem dar acesso à lista de arquivos armazenados localmente, já que isso coloca o internauta em risco.

Esta é a segunda brecha que Ormandy identifica em um produto da Avast. A primeira estava no processamento de certificados de sites seguros. O antivírus interfere nesse processo para tentar oferecer uma proteção maior aos internautas, mas Ormandy considerou a falha grosseira e ironizou a empresa, dizendo que ela devia ter “mandado um estagiário conferir” o código.

Jindrich Kubec, diretor de inteligência de ameaças da Avast, envolveu-se em uma discussão com Ormandy no Twitter, criticando o pesquisador por ele não perceber a utilidade desse tipo de proteção.

Além da Avast, Ormandy já encontrou brechas em produtos de diversas empresas: AVG, Trend Micro, Sophos, Eset, Kaspersky, Malwarebytes e Comodo.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: G1