Microsoft Office apresenta vulnerabilidades

As palestras da SAS 2019 não trataram apenas dos ataques sofisticados de APTs, mas também do trabalho diário de nossos pesquisadores que lutam contra os malware. Nossos especialistas Boris Larin, Vlad Stolyarov e Alexander Liskin prepararam um estudo sobre a detecção de ataques multicamadas de 0-day no MS Office chamado “Catching multilayered zero-day attacks on MS Office”. O foco da pesquisa são as ferramentas que os ajudam na análise de malwares, mas também chamaram a atenção para o atual cenário de ameaças do Microsoft Office.

As alterações que o cenário de ameaças sofreu em apenas dois anos são dignas de menção. Nossos especialistas estudaram os números de usuários vítimas de ataques por plataformas alvos no final do ano passado, em comparação a apenas dois anos atrás. A conclusão foi que os cibercriminosos mudaram sua preferência por vulnerabilidades da web para as do MS Office. Mas mesmo eles foram surpreendidos a magnitude da mudança: nos últimos meses, o MS Office tornou-se a plataforma mais explorada, sofrendo mais do que 70% dos ataques.

No início do ano passado, exploits de 0-day começaram a surgir no MS Office. Geralmente, eles tentavam uma campanha direcionada, mas com o passar do tempo, são publicados e acabam integrados a um gerador de documentos maliciosos. No entanto, o tempo de resposta foi reduzido consideravelmente. Por exemplo, no caso da CVE-2017-11882, a primeira vulnerabilidade do editor de equações que nosso especialista observou, uma enorme campanha de spam foi lançada no mesmo dia que se publicou a prova conceito. Algo semelhante ocorreu com outras brechas de segurança: depois que um relatório de vulnerabilidade é divulgado publicamente, é uma questão de dias até que um exploit apareça no mercado do cibercrime. Inclusive, os bugs se tornaram bem menos complexos e, às vezes, tudo que o cibercriminoso precisa para gerar um exploit funcional é uma análise detalhada.
Depois de avaliar as brechas de segurança mais utilizadas em 2018, podemos confirmar que os autores de malware preferem bugs simples, mas lógicos. Portanto, as vulnerabilidades CVE-2017-11882 e CVE-2018-0802 do editor de equação são agora as mais exploradas no MS Office. De forma geral, são confiáveis e funcionam em todas as versões de Word lançadas nos últimos 17 anos e, mais importante, não exigem habilidades avançadas para criar um exploit, já que o editor de equações binárias não têm quaisquer proteções e medidas atuais que seriam esperadas de um aplicativo em 2018.

Curiosamente, deve-se notar que nenhuma das vulnerabilidades mais exploradas são encontradas no próprio MS Office, mas em seus componentes.

Mas por que esse tipo de coisa continua acontecendo?

Bem, a superfície de ataque do MS Office é enorme, com muitos formatos de arquivo complexos que devem ser considerados, bem como a sua integração com o Windows e interoperabilidade. E, mais importante em termos de segurança, muitas das decisões tomadas durante a criação do Microsoft Office não são mais adequadas, mas modificá-las pode prejudicar a compatibilidade com versões anteriores.

Somente em 2018, encontramos várias vulnerabilidades aproveitadas por exploit de 0-day. Entre elas, a CVE-2018-8174 (a vulnerabilidade remota de execução de código do mecanismo VBScript do Windows) que é especialmente interessante, pois o exploit foi inicialmente detectado em um documento do Word, mas hoje se espalhou para o Internet Explorer. Para mais informações, consulte esta publicação no Securelist.

Como a Kaspersky encontrou as vulnerabilidades?

Os produtos de segurança para endpoints da Kaspersky têm funcionalidades heurística muito avançadas para detectar ameaças distribuídas por meio de documentos MS Office. É uma das primeiras camadas de detecção. O mecanismo heurístico conhece todos os formatos de arquivos e de ofuscação de documentos atuando como a frente de defesa inicial. Mas quando encontramos um objeto malicioso, não nos limitamos a determinar simplesmente se é perigoso. Ele passa por diferentes camadas de segurança. Por exemplo, por uma tecnologia que foi particularmente bem-sucedida no isolamento do processo conhecida sandbox.

Com relação à segurança da informação, sandboxes são usadas para separar os ambientes inseguros dos seguros, ou vice-versa, a fim de protegê-los contra a exploração de vulnerabilidades e para analisar o código malicioso. Nossa sandbox é um sistema para detectar malware que executa um objeto suspeito em uma máquina virtual com um sistema operacional totalmente funcional, e detecta a atividade mal-intencionada por meio de uma análise comportamental. Foi desenvolvida há alguns anos para ser usada em nossa infraestrutura e, posteriormente, tornou-se parte do Kaspersky Anti-Targeted Attack Platform.

O Microsoft Office tem sido e permanecerá como alvo preferido dos cibercriminosos. Eles perseguem as brechas mais fáceis, assim, as funcionalidades obsoletas continuarão a ser usadas para tirar vantagem ilegalmente. Para proteger sua empresa, aconselhamos a utilização de soluções cuja eficácia tenha sido testada na longa lista de CVEs detectadas.

Fonte: Kaspersky

Encriptação não garante segurança na troca de dados em mensageiros

Um novo estudo realizado pela Brigham Young University (BYU) revela que, mesmo que eles adotem um sistema de encriptação ponta a ponta, programas como WhatsApp, Facebook Messenger e até Viber ainda possuem brechas de segurança que colocam seus usuários completamente em risco. Segundo a pesquisa, a falta de uma autenticação mais adequada com a realidade atual faz com que trocar informações sensíveis pelos mensageiros instantâneos seja como brincar de roleta-russa.

De acordo com a universidade norte-americana, boa parte dessa exposição dos aplicativos do segmento aos cibercriminosos se devem à ausência de um procedimento pelo qual um dos indivíduos identifique o outro como o destinatário real da sua mensagem. Esse protocolo social é chamado pelo time da BYU de “cerimônia de autenticação” e, supostamente, pode reduzir de forma considerável o vazamento de dados, as fraudes e outras tentativas de hacking originadas dos aplicativos de chat.

Para testar sua teoria, um dos responsáveis pelo estudo sugeriu e realizou um teste composto de duas fases distintas. Na primeira, os participantes eram estimulados, em duplas, a trocar o número do seu cartão de crédito através dos mensageiros, recebendo apenas alertas para que se certificassem que sua conversa era realmente confidencial. O resultado? Apenas 14% deles conseguiu se assegurar completamente de que seus envios estavam chegando à pessoa certa.

Muitos deixam a segurança de lado em nome de um bate-papo mais rápido

Na segunda fase, os indivíduos foram instruídos sobre a importância de realizar a cerimônia de autenticação antes de compartilhar dados. Desta vez, a taxa de sucesso ao se certificar da identidade do destinatário subiu para sonoros 79%. O problema é o tempo que esse pessoal levou para fazer as perguntas certas e seguir o protocolo à risca para completar a autenticação: uma média de 11 minutos. A demora, claro, frustrou muitos dos usuários e mostrou o motivo de muitas pessoas deixarem sua segurança de lado em nome de um bate-papo mais rápido.

Para resolver esse impasse, os pesquisadores estão colocando a mão na massa e trabalhando em um sistema que torna a tal cerimônia de autenticação mais rápida e, claro, automática. “Se pudermos fazer a cerimônia de autenticação nos bastidores do app e de forma automatizada ou quase sem esforço por parte do usuário, podemos corrigir esses problemas sem precisar educar as pessoas”, acredita Elham Vaziripour, o estudante que lidera a pesquisa.

Fonte: Tecmundo

Yahoo chega a uma triste constatação

Yahoo_hackedO Yahoo, que revelou duas grandes violações de dados no ano passado, informou nesta quinta-feira, 2, que cerca de 32 milhões de contas de usuários foram invadidas nos dois últimos anos por meio de uma falha de segurança causada por cookies – recurso disponível na maior parte dos navegadores capazes de reter dados e preferências dos usuários.

A empresa esclareceu que algumas das violações mais recentes podem estar associadas ao mesmo hacker que teria sido responsável pela invasão de 2014, na qual pelo menos 500 milhões de contas foram afetadas.

“Com base na investigação, nós acreditamos que uma terceira parte não autorizada acessou o código de propriedade da empresa para aprender como forjar certos cookies”, informou o Yahoo em documento.

A falha, desta vez, foi permitir que um invasor forjasse seus próprios cookies, sendo capazes de reter a conta de usuários e suas senhas. Segundo o Yahoo, os cookies utilizados foram invalidades, de forma a não permitir que sejam novamente usados para invadir contas de usuários, completou a empresa.

Em dezembro, o Yahoo informou que dados de mais de 1 bilhão de contas ficaram comprometidos em agosto de 2013, o que seria a maior invasão informática na história dos Estados Unidos.

Na quarta-feira, 1, a empresa informou que não concederia à presidente Marissa Mayer um bônus relativo a 2016, após a descoberta do comitê independente sobre o incidente de segurança ocorrido em 2014.

No mês passado, a operadora norte-americana Verizon, que deve adquirir os negócios de internet do Yahoo, reduziu sua oferta para US$ 4,48 bilhões de dólares – US$ 350 milhões a menos do que a proposta inicial, feita em julho de 2016.

Fonte: Estadão

Rede de telefonia é muito vulnerável

gsm_arquiteturaO seu celular pode estar mais exposto a invasões do que você pensa. Aquela verificação por senha ou por impressão digital bem que pode dar uma sensação de segurança, mas a verdade é que, no melhor estilo de Mr. Robot, alguém com um pouco de conhecimento técnico, vontade e US$ 30 no bolso pode ouvir suas conversas e ver suas mensagens.

Semanas atrás, em evento de segurança da informação em São Paulo, os pesquisadores Igor Marcel e Wilberto Filho, da Blaze Information Security, mostraram como é possível roubar informações de nossos celulares sem muitas dificuldades. Eles grampearam uma ligação entre dois aparelhos telefônicos e, no processo, extraíram dois áudios, um de cada dispositivo. Também mostraram a possibilidade de obter a troca de mensagens de SMS, o que, segundo eles, torna a verificação em duas etapas um processo não tão seguro assim.

O propósito da apresentação da dupla era algo um tanto quanto assustador: eles queriam defender que a segurança da nossa rede GSM (que compreende 2G, 2.5G, 2.75G, 3G, 3.5G e 4G) não é lá essas coisas. Ou melhor: é bem vulnerável.

A fim de mostrar como funcionaria o tipo de ataque, os pesquisadores tiveram apenas que criar uma antena BTS (Base Transceiver Station) falsa. A BTS, ou radiobase, é responsável por fazer conexões entre operadoras e usuários de aparelhos móveis. Entre os dispositivos que utilizam este tipo de conexão estão aparelhos de celular e máquinas de cartão de crédito.

Para criar o artefato, os pesquisadores gastaram em torno de 600 dólares (aproximadamente R$ 2000). “Caso você ache este valor alto, podemos diminuir isso para apenas 30 dólares com um rádio definido por software (o RTL-SDR)”, explicou Marcel. “Com um equipamento deste tipo seria possível interceptar a comunicação entre a BTS e o dispositivo móvel e, posteriormente, decriptar tais dados interceptados”, completou. Este tipo de ataque é conhecido como “ataque passivo”. Nele, o praticante consegue capturar os dados diretamente no ar, sem que ocorra nenhuma interação com as vítimas.

“Além das interceptações, é possível simular ser um número telefônico diferente, ou até mesmo bloquear e negar serviços a celulares em uma determinada área”, explicaram os especialistas enquanto demonstravam as invasões no palco. Estas são capacidades semelhantes a dos IMSI Catchers, as também chamadas torres espiãs de celulares, equipamentos utilizados no Brasil apenas pelo Exército e forças de segurança.

Se você tem um celular 3G ou 4G, deve estar pensando que está livre, certo? Errado. Igor Marcel explica que a BTS pode enganar seu aparelho e forçá-lo a se conectar a uma rede 2.5 G. Como? Intensificando o sinal. “Os equipamentos móveis preferem sempre as estações radiobase com o sinal mais forte”, explicou Igor Marcel. “Com um equipamento BTS com sinal potente o bastante, é possível simular a conexão e fazer com que o celular ‘pense’ estar conectado a BTS legítima da operadora quando, na verdade, o sinal foi interceptado.”

No último mês de julho, cerca de 56 milhões de aparelhos celular se conectaram por meio do padrão GSM. Este número equivale a cerca de 22% de toda a telefonia móvel brasileira, segundo dados disponibilizados no site da Anatel. A esmagadora maioria conecta-se por meio da rede 3G, com 56% dos aparelhos. E apenas 17% faz uso da tecnologia 4G.

O pesquisador explica que o padrão GSM é bastante antigo e não teve a devida preocupação com segurança quando foi criado. O sistema foi colocado em uso no início dos anos 1990, com a primeira ligação realizada no dia 1° de julho de 1991, na Finlândia. Os padrões foram definidos pelo ETSI (European Telecommunications Standards Institute). A mudança para o GSM tirou a telefonia móvel do analógico e, pela primeira vez, as ligações via celular eram digitais.

Nem criptografia salva o GSM

A criptografia que a rede GSM utiliza não é solução. Segundo Marcel, em dezembro de 2009, o criptógrafo Karsten Nohl e o pesquisador Chris Paget anunciaram a quebra da criptografia usada nas comunicações GSM, a A5/1. Mesmo antes disso, afirmou, a comunicação era não tão segura. “Um usuário mal intencionado pode simplesmente desabilitar a criptografia na sua BTS GSM falsa e ter acesso às chamadas, mensagens SMS e dados em ‘texto plano’.”

“Você sabe se nesse exato momento seu tráfego está encriptado? Você tem como me afirmar isso?”, questionou Marcel para a o público durante a apresentação. A resposta negativa para ambas as perguntas do pesquisador sinalizam um pessimismo geral. Ele explica que, por padrão, os aparelhos celulares avisam os usuários se a conexão utilizada possui criptografia, porém as operadoras brasileiras optam por desabilitar o aviso. “O usuário final está por sua conta e risco!”, alertou.

As soluções para reforçar a segurança estariam, entre outras, na utilização de criptografia ponta-a-ponta. Trocas de mensagem via Whatsapp estão menos vulneráveis a atacantes que usem BTS falsas, por exemplo. Além disso, Marcel mencionou que as operadoras “deveriam ter transparência, abrir padrões e cooperar com pesquisadores”. “Deixar tudo em portas fechadas numa tentativa de prover segurança por obscuridade não vem surtindo um efeito positivo.”

Há riscos com 3G e 4G também

Embora as redes GSM sejam o principal ponto de vulnerabilidade, elas não são o único ponto em que um atacante pode interceptar o tráfego. “Os padrões 3G e 4G também são vulneráveis a ataques do tipo passivo, a diferença é que na rede GSM você pode usar equipamentos mais acessíveis para montar uma BTS falsa”, explicou o especialista em redes de computadores e telecomunicações, Noilson Caio.

O especialista também afirmou que estas fragilidades também são encontradas fora do país, já que “ataques a rádiofrequência são bem similares na sua concepção global”. Fora isso, complementa, os atacantes forçam um celular conectado a rede 3G “descer” para 2G, para se aproveitar da característica dos celulares de se conectar com a BTS de sinal mais potente..

A reportagem de Motherboard perguntou à Anatel sobre risco de possíveis ataques e inseguranças na rede de telefonia móvel brasileira. Até o fechamento desta matéria não houve resposta da agência.

Fonte: Motherboard

LastPass corrige vulnerabilidades graves

lastpassAs vulnerabilidades foram descobertas por dois investigadores de forma independente e, em ambos os casos, a LastPass demorou pouco mais de um dia para as corrigir. A empresa assumiu as falhas e comunicou também a correção. Mathias Karlsson descobriu um bug que permite criar um URL falso, fazendo os usuários pensar que estavam a acessando o Twitter e digitando a sua senha, para a roubar.

O sistema depois reencaminha o usuário para o Twitter, para que este não se aperceba do ataque. Por outro lado, Travis Ormandy, da Google Security Team, anunciou uma falha na extensão do LastPass para o Firefox, que também já foi sanada.

As recomendações de segurança mantêm-se: não clique em links de origens desconhecidas, use senhas diferentes para cada serviço e ative a autenticação de dois fatores sempre que estiver disponível.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Exame Informática

Softwares da Symantec apresentam vulnerabilidades

symantec-logoUm pesquisador de segurança do Google descobriu diversas vulnerabilidades em produtos da Symantec para uso doméstico e corporativo que podem ser exploradas facilmente por criminosos para tomar o controle dos computadores com os produtos afetados.

A Symantec já disponibilizou uma correção para os produtos afetados. O problema é que enquanto alguns receberam a correção automaticamente, outros, principalmente os voltados para o mercado corporativo, requerem instalação manual.

As vulnerabilidades foram descobertas por Tavis Ormandy, da equipe Project Zero no Google. A maioria das falhas descobertas por Ormandy afeta o componente do mecanismo antivírus da Symantec utilizado durante a verificação de arquivos compactados.

Este componente lida com diversos formatos, incluindo os mais conhecidos como RAR e ZIP. O agravante é que este componente é executado com privilégios do sistema e não do usuário.

Algumas das vulnerabilidades podem ser exploradas para permitir a execução remota de códigos malicioso em computadores com os produtos vulneráveis.

Vale destacar que o componente vulnerável utilizado pela Symantec utiliza a versão 4.1.4 de uma biblioteca open-source lançada em janeiro de 2012. A versão mais recente desta biblioteca unrar é a 5.3.11.

A Symantec publicou uma lista com todos os produtos afetados e instruções sobre como atualizá-los. Confira a lista aqui.

Agradecemos ao Igor e ao Marcelo Miranda, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fontes: Baboo e PCWorld

Google corrige 36 falhas de segurança do Android

google_marshmallowA última série de patches de segurança para o Android resolve cerca de duas dúzias de vulnerabilidades nos drivers de sistema para vários componentes hardware de diferentes fabricantes de chips.

O maior número de falhas críticas foram direcionadas aos drivers de vídeo Qualcomm, o driver de som, driver GPU, driver do Wi-Fi e driver da câmera. Algumas dessas vulnerabilidades poderiam permitir aplicações maliciosas a executarem códigos mal intencionados no kernel do sistema levando ao comprometimento permanente do dispositivo.

Falhas similares foram corrigidas no driver Wi-Fi da Broadcom, driver de câmera Nvidia, e o driver de gerenciamento de energia MediaTek. Essas vulnerabilidades conseguiam dar a aplicações privilégios ou configurações do sistema que, ao contrário, não deveriam ter. Em alguns casos, as falhas permitiam execução do código-fonte kernel, mas apenas se o invasor comprometesse um serviço diferente para se comunicar com o driver vulnerável.

Essas falhas são um alerta para que fabricantes de chips direcionem maiores esforços ao testarem seus códigos, que tipicamente consistem em drivers que rodam nas áreas mais privilegiadas do sistema operacional.

Detalhamento das correções

Além dos reparos às 21 vulnerabilidades nos drivers para diferentes componentes, o Google consertou mais de doze falhas no componente do mediaserver. Uma crítica, 12 de alto risco e uma falha moderada foram reparadas no mediaserver, um componente que lida com o processamento de áudio e vídeo no Android.

O Google tem trabalhado para fortalecer o mediaserver do seu sistema operacional no último ano. Uma vulnerabilidade crítica foi reparada no libwebm, que poderia permitir aplicações executarem código no contexto do processo do mediaserver que conta com privilégios especiais.

Fora isso, outra falha de alto risco foi consertada no camada de emulação do SD card, outra moderada no Framework UI e uma no administrador de atividades.

O Google liberou sua atualização na última segunda-feira (06/06) para seus aparelhos Nexus: Nexus 5, Nexus 5X, Nexus 6 e Nexus 6P. A companhia também notificou fabricantes de aparelhos sobre tais reparos no dia 2 de maio para que elas possam preparar suas próprias atualizações de firmware.

Os patches serão liberados também no Android Open Source Project (AOSP) nas próximas 48 horas para que a comunidade de desenvolvedores de firmware Android e outros projetos que confiam no código AOSP possam integrá-los.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, a referência a essa notícia.

Fonte: IDG Now!