Windows – nova vulnerabilidade revelada

A Kaspersky Lab revelou uma nova vulnerabilidade 0-day que explora o núcleo (kernel) do Windows. De acordo com a empresa de cibersegurança, este é o terceiro ataque consecutivo de 0-day que foi descoberto nos últimos três meses.

“Como a falha (CVE-2018-8611) está no módulo do kernel do sistema, este exploit é particularmente perigoso e pode ser usado para ignorar os mecanismos de mitigação de explorações maliciosas existentes em navegadore3s web modernos, incluindo o Chrome e o Edge”, explica a Kaspersky.

Caso um cibercriminoso explore essa falha, ele pode acessar o sistema da vítima e ter acesso completo aos arquivos

O que a vulnerabilidade permite: caso um cibercriminoso explore essa falha, ele pode acessar o sistema da vítima e ter acesso completo aos arquivos — “vulnerabilidades de 0-day são uma das formas mais perigosas de ciberameaça, pois, por ser desconhecida, não existe detecção ou correção”, adiciona a empresa.

Vale notar que a Microsoft já corrigiu as três vulnerabilidades, por isso, é importante que você mantenha o seu sistema operacional atualizado com os últimos pacotes disponíveis.

“A descoberta de três vulnerabilidades de 0-day no modo kernel em poucos meses é uma evidência de que nossos produtos usam as melhores tecnologias e são capazes de detectar ameaças sofisticadas. Para as organizações, é importante entender que, para proteger seu perímetro, elas precisam de uma solução que combine proteção endpoint e uma plataforma avançada de detecção de ameaças”, afirma Anton Ivanov, especialista em segurança da Kaspersky Lab.

Acompanhe mais dicas que a empresa separou aqui embaixo:

  • Instale a atualização da Microsoft para corrigir a vulnerabilidade desconhecida
  • Certifique-se de manter atualizado todos os softwares usados em sua organização e sempre executar novos patches de segurança quando disponíveis
  • Use uma solução de segurança de ponta
  • Em caso empresarial, garanta que sua equipe de segurança tenha acesso aos mais recentes relatórios de Threat Intelligence.
  • Por fim, mas não menos importante, garanta que sua equipe seja treinada nos aspectos básicos de cibersegurança.
Fonte: Tecmundo

Descoberta nova vulnerabilidade no Windows

Ataques que usam vulnerabilidades de dia zero são considerados extremamente perigosos, pois eles exploram vulnerabilidades desconhecidas (consequentemente sem correção), que dificulta sua detecção e prevenção. Se encontrado por criminosos, a vulnerabilidade pode ser usada na criação de exploits – programa malicioso que usa a vulnerabilidade para acessar todo o sistema. Este tipo de “ameaça oculta” é amplamente utilizado por grupos especializados em ataques APT sofisticados.

A Kaspersky Lab informou nesta segunda-feira (19) que sua tecnologia de Prevenção Automática de Exploit detectou, em menos de um mês, uma segunda vulnerabilidade desconhecida (zero-day) no Microsoft Windows sendo explorada em uma série de ciberataques no Oriente Médio. Depois de ser reportada, a vulnerabilidade foi corrigida pela Microsoft em 13 de novembro.

Embora o método de distribuição ainda seja desconhecido, a análise da Kaspersky Lab descobriu que o exploit que utiliza a vulnerabilidade de zero-day é executado no primeiro estágio de instalação do malware com o objetivo de conseguir os privilégios necessários para se manter no sistema da vítima. O golpe funciona apenas na versão 32-bits do Windows 7.

De acordo com os especialistas da empresa, não é possível determinar qual grupo está por trás da descoberta da vulnerabilidade, porém o exploit desta vulnerabilidade está sendo usado em ataques APT feitos por mais de um grupo.

Após a descoberta, a Kaspersky Lab relatou imediatamente a vulnerabilidade à Microsoft. Apenas algumas semanas antes disto, no início de outubro, foi detectado outro exploit explorando uma vulnerabilidade de dia zero no Microsoft Windows, que infectava as vítimas por meio de um backdoor no PowerShell. A Kaspersky Lab identificou a ameaça, que também foi relatada e corrigida pela Microsoft.

“Em um mês, descobrimos duas novas vulnerabilidades de dia zero e diversos ataques mirando uma mesma região. A discrição dos cibercriminosos nos faz lembrar que é extremamente importante contar com ferramentas e soluções inteligentes que consigam proteger as empresas contras ameaças sofisticadas como estas. Caso contrário, elas podem se tornar vítimas de ataques direcionados”, afirma Anton Ivanov, especialista em segurança da Kaspersky Lab.

Fonte: IDGNow! 

Por essa a Microsoft não esperava

O Windows 10 foi lançado em julho de 2015 para ser a versão definitiva do sistema operacional mais usado em desktops ao redor do mundo. Com direito a mudança no esquema de distribuição, a atualização foi oferecida gratuitamente aos usuários de versões antigas e a expectativa da Microsoft era de que ele se tornasse rapidamente a versão predominante do ecossistema Windows. Contudo, a realidade não é bem assim.

De acordo com dados revelados pelo site NetMarketShare, o Windows 10 não só não é a versão mais usada do sistema da Microsoft como ele cresceu menos do que o Windows XP em outubro: atualmente instalado em 29,26% dos PCs com Windows, a versão lançada em 2015 teve um aumento de 0,17% no mês passado, enquanto o XP cresceu quase 10 vezes, partindo de uma fatia de 0,78% para incríveis 6,47%.

Com o avanço apresentado no mês de outubro, o Windows XP retoma do Windows 8.1 o posto de terceiro sistema operacional mais usado em PCs no mundo, atrás apenas dos seus irmãos mais velhos Windows 10 e Windows 7, que lidera o ranking graças a presença em 46,63% dos desktops e notebooks.

Edge também perde espaço

Aposta da Microsoft para apagar a má impressão deixada pelo Internet Explorer, o Edge é um ótimo navegador que cresceu pouco desde o seu lançamento, também em 2015. Contudo, o mês de outubro de 2017 também não foi positivo para ele: o browser terminou o décimo mês do ano com uma fatia de mercado de 4,58% contra 5,15% de setembro.
Em suma, o mês passado não foi o que a Microsoft pode chamar de positivo.

Fonte: Tecmundo

Microsoft corrige falha grave de segurança no WiFi com WPA 2

Na manhã desta segunda-feira (16), a notícia de que a encriptação WPA e WPA 2 utilizada em redes WiFi seria facilmente explorada por cibercriminosos aumentou o nível de preocupação no mundo da cibersegurança. Felizmente, a Microsoft anunciou um pacote de atualização para atacar esse problema nos sistemas Windows.

“Soltamos uma atualização de segurança para resolver este problema. Os consumidores que atualizarem o sistema, ou possuem as atualizações ativadas de maneira automática, estarão protegidos. Nós continuaremos encorajando nossos consumidores para ligarem as atualizações automáticas, isso ajudará a mantê-los seguros”, comentou um porta-voz da Microsoft.

Outros sistemas

Apesar de ter foco maior no Android — 41% dos dispositivos com o sistema da Google estariam vulneráveis a esse ataque, algo considerado “especialmente devastador” pelos especialistas —, a falha está presente nas criptografias WPA e WPA2, ou seja, gadgets com Windows, macOS, iOS e outros sistemas baseados no Linux também estão sujeitos a sofrer as consequências dela.

De acordo com especialistas de segurança, os dispositivos Android e Linux podem ser os mais afetados. A Google prometeu uma atualização que corrige a brecha para as próximas semanas — e os aparelhos Google Pixel serão os primeiros a receberem.

A Apple ainda não comentou sobre o caso, desde a vulnerabilidade no macOS e iOS até uma possível atualização de emergência.

Já a Wi-Fi Alliance, rede responsável pela tecnologia WiFi utilizada nos dispositivos ao redor do mundo, comentou que o problema pode ser resolvido por “atualizações de software disponibilizadas pelas fabricantes, e que a ‘indústria Wi-Fi’ já começou a disponibilizar pacotes de atualização”.

No PC onde tenho instalado uma distribuição Linux (Mint, XFCE), foi liberada hoje mesmo uma atualização de segurança para correção dessa falha de segurança aqui relatada.

Fonte: Tecmundo

Falhas no Windows e Linux são convite à ataques por ransomwares

Mais de um mês após ao ataque do ransomware WannaCry, que atingiu mais de 70 países, uma nova onda de malware que se autopropaga pode estar por vir devido a duas novas vulnerabilidades: uma no serviço de desktop remoto (RDP) do Windows e outra por causa de falha que atinge máquinas Linux com o serviço Samba. O alerta é do Laboratório de Inteligência da Cipher, empresa global de segurança cibernética.

A vulnerabilidade afeta máquinas Windows XP e Windows 2003 Server, sistemas cujo suporte foi descontinuado pela Microsoft. O exploit, chamado EsteemAudit, também foi publicado pelo grupo hacker autodenominado Shadow Brokers, responsável pela divulgação da falha EternalBlue que deu origem ao WannaCry. Cerca de 7% dos computadores pessoais ainda utilizam a versão XP do Windows e estimativas dão conta que 600 mil servidores web ainda estão rodando a versão Server 2003. A Microsoft divulgou atualização para essa falha.

Já o Samba é um serviço do Linux utilizado para compartilhamento de arquivos e compatibilidade com sistemas operacionais Windows, permitindo a troca de arquivos e sessões de comunicação entre os dois sistemas operacionais. A falha também permite a execução de código remoto em dispositivos Linux e a criação de um “wormable malware”, ou seja, um software malicioso que pode infectar outros dispositivos conectados em rede automaticamente.

De acordo com o especialista em cibersegurança da Cipher, Fernando Amatte, é necessário ter cuidado ao conectar um dispositivo à internet. “Valide as regras dos dispositivos que estão expostos e, caso seja necessário o uso do RPD, ele deve ser feito via uma conexão VPN”, alerta.

O grande risco nesse caso está em equipamentos do tipo NAS (Network Attached Storage), que são discos rígidos externos com capacidade de conexão em rede utilizados para armazenar fotos, vídeos e arquivos pessoais. Esses dispositivos utilizam, via de regra, Linux e não possuem processo de atualização automatizada.

“Por enquanto, notamos entre os nossos clientes que os casos relacionados a possíveis problemas são isolados, mas se não formos cautelosos, uma nova gama de ataques pode acontecer. A recomendação é alertar aos gestores para tomarem cuidado e procurar atualizações nos sites dos fornecedores, além de buscar um especialista em segurança da informação para saber o nível de risco de exposição em que a empresa se encontra”, finaliza Amatte.

Fonte: CIO

Falha no Windows: uma ameaça ainda presente

Imagine uma falha do Windows que afeta todas as suas versões e que o usuário não precisa fazer nada para estar exposto… na opinião de Dan Tentler, fundador e CEO do Phobos Group, essa falha é um “banho de sangue”.

Exceto que a Microsoft já publicou uma correção para a vulnerabilidade, distribuída desde a Patch Tuesday de Março, antes mesmo do problema ser divulgado pelo coletivo hacker Shadow Brokers.

Ainda assim, a inércia de administradores e usuários em implementar a correção tem transformado a falha de segurança em uma das piores pragas desde a epidemia do Conficker em 2008. Batizado de DoublePulsar, o malware que ataca a vulnerabilidade era utilizada pela NSA para penetrar em sistemas Windows através da Porta 445. Após ser divulgada pelo Shadow Brokers, a ferramenta caiu na mão de cibercriminosos e estima-se que cerca de 5 milhões de máquinas estão correndo risco de invasão em todo o mundo.

Para Sean Dillon, analista de segurança senior da RiskSense, o malware “entrega a você controle total do sistema e você pode fazer o que quiser com ele”. Apesar da correção já existir e já ter sido amplamente distribuída, ele acredita que “isso irá aparecer nas redes por anos e anos. A última grande vulnerabilidade desse nível foi a MS08-067 (relacionada ao Conficker), e ainda é encontrada em um bocado de lugares. Eu encontro ela por toda parte”. E alerta: “esta é a mais crítica correção do Windows desde aquela vulnerabilidade”.

Tentler, da empresa de segurança Phobos Group, vai além e classifica o DoublePulsar como um “banho de sangue”. Em um escaneamento rápido na web, ele conseguiu encontrar mais de 60 mil sistemas expostos, apenas aguardando um ataque. Há informes de tutoriais e até vídeos no YouTube sendo publicados pelas comunidades hackers ensinando de forma bem simples como explorar o problema.

A recomendação dos especialistas é que todos implementem a correção imediatamente.

Mesmo que o usuário esteja utilizando a versão mais atualizada do Windows e a Porta 445 esteja fechada ou camuflada em seu sistema, um invasor ainda pode explorar uma outra máquina na rede e realizar o mesmo tipo de infiltração em larga escala.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: UOL Código Fonte

Double Agent: a falha do Windows que pode transformar um antivírus em um malware

As soluções de segurança deveriam ser a proteção que os usuários têm nas suas máquinas para lhes garantir proteção contra todos os tipos de malware. Se de forma geral conseguem desempenhar esse papel, a verdade é que podem acabar sendo usados para atacar seus próprios usuários

Uma falha recentemente descoberta, o DoubleAgent, veio colocar às claras uma vulnerabilidade que pode fazer com que os antivírus possam vir a ser controlados remotamente sendo utilizados como arma de ataque ao sistema operacional Windows.

Esta não é uma falha recente, tem ao menos 15 anos, e afeta todas as versões do Windows, desde o descontinuado XP até ao recente Windows 10. É extremamente perigosa e pode ser explorada sem qualquer limitação.

Que falha é explorada pelo DoubleAgent

O DoubleAgent foi descoberto pela empresa de segurança Cybellum e faz uso do Application Verifier, uma funcionalidade pouco documentada, mas legitima do Windows e que aparentemente não pode ser corrigida.

O Application Verifier é uma ferramenta de verificação que carrega DLLs (dynamic link library) nos processos para efeitos de testes, possibilitando aos programadores detectar de forma rápida erros nos seus aplicativos.

Como funciona o DoubleAgent

A vulnerabilidade está na forma como o Application Verifier trata os DLLs. De acordo com os pesquisadores da Cybellum, numa parte do processo as DLLs são associadas aos processos através de uma chave de registo do Windows.

Mas os atacantes conseguem, de forma simples, substituir essa DLL por uma infetada. Basta para isso que criem uma chave de registo com o mesmo nome da que querem atacar.

Para provar a sua teoria, os pesquisadores conseguiram controlar um antivírus, colocando-o a criptografar arquivos como um simples ransomware. O vídeo abaixo mostra como é possível realizar este ataque.

Agradecemos aos amigos Yan Dago por nos trazer essa notícia na sua versão original e ao Domingos pela referência em Português do mesmo tema.

Fontes: Cybellum e pplware