A Redbelt Security apresentou sua mais recente curadoria de vulnerabilidades críticas identificadas em grandes corporações globais. Este levantamento evidenciou como brechas que poderiam ser evitadas continuam ameaçando até as infraestruturas mais robustas. Com isso, a organização reforçou a necessidade de uma postura vigilante e estratégica para mitigar riscos antes que eles se transformem em crises.
O estudo explicou sobre a identificação de 3.000 chaves de ASP.NET vazadas que permitem ataques de injeção de código pela Microsoft. A empresa está alertando sobre uma prática insegura em que desenvolvedores incorporam chaves de máquina ASP.NET extraídas de fontes públicas, expondo seus aplicativos a ataques. A equipe de inteligência de ameaças da empresa observou, em dezembro de 2024, uma atividade suspeita envolvendo um agente desconhecido que utilizou uma chave de máquina ASP.NET estática, disponível publicamente, para injetar código malicioso e entregar a estrutura de pós-exploração Godzilla.
Além disso, a Microsoft identificou mais de 3.000 chaves vazadas publicamente, potencialmente exploráveis nesses ataques, que foram classificados como “injeção de código ViewState”. Esse método é usado na estrutura ASP.NET para preservar valores de página e controle entre postbacks, podendo também armazenar dados específicos de aplicativos. Para mitigar os riscos, a recomendação é evitar o uso de chaves obtidas de fontes públicas e alterná-las regularmente. Como medida adicional, a Microsoft informou que removeu artefatos críticos de “instâncias limitadas” em que essas chaves estavam presentes em sua documentação.
A curadoria também levantou o caso no qual pesquisadores de segurança cibernética divulgaram detalhes sobre uma vulnerabilidade, já corrigida, no conector do Microsoft SharePoint no Power Platform. Caso explorada, essa falha poderia permitir que agentes mal-intencionados coletassem credenciais de usuários e realizassem ataques subsequentes. Esse tipo de exploração possibilitaria que invasores enviassem solicitações para a API do SharePoint em nome dos usuários afetados, obtendo acesso não autorizado a dados confidenciais, conforme relatado pela Zenity Labs.
Após a divulgação responsável em setembro de 2024, a Microsoft corrigiu a falha, classificada com gravidade “Importante”, no dia 13 de dezembro. O problema estava relacionado a um caso de falsificação de solicitação do lado do servidor (SSRF), originado pelo uso inadequado da funcionalidade “valor personalizado” no conector do SharePoint. Isso permitia que invasores inserissem URLs maliciosas em fluxos de execução. Para que o ataque fosse bem-sucedido, o invasor precisaria ter permissões de Criador de Ambiente e Usuário Básico no Power Platform. Isso significa que ele deveria, primeiramente, obter acesso à organização-alvo por outros meios antes de explorar a vulnerabilidade, segundo a RedBelt Security.
Outro evento levantado pela empresa foi a campanha maliciosa que comprometeu 150 mil sites com injeções de JavaScript para jogos de azar. Os ciberataques infectavam milhares de sites legítimos com códigos maliciosos em JavaScript, redirecionando usuários para plataformas suspeitas de jogos de azar. Estima-se que cerca de 150 mil sites já tenham sido comprometidos. O ataque, baseado em injeção de JavaScript, permite que criminosos manipulem o comportamento das páginas visitadas, explorando falhas de segurança para enganar usuários e levá-los a sites fraudulentos.
Especialistas alertam que essa prática tem evoluído, se tornando mais sofisticada e difícil de detectar. Os invasores utilizam a técnica de injeção de iframe para sobrepor uma tela falsa no navegador da vítima, criando a ilusão de que o conteúdo exibido pertence ao site original. Dados da PublicWWW indicam que mais de 135.800 sites ainda carregam a carga maliciosa, servindo como vetores para os golpes. Com o avanço dessas ameaças, a adoção de medidas preventivas e a conscientização dos usuários são essenciais para minimizar os impactos. Enquanto proprietários de sites devem reforçar a segurança de suas plataformas, os internautas precisam estar atentos aos sinais de fraude para evitar cair em armadilhas digitais.
StreamElements confirmou violação de dados após infecção por Infostealer, trouxe o relatório. A StreamElements, uma das principais plataformas de streaming em nuvem, confirmou uma violação significativa de dados decorrente da infecção de um provedor terceirizado. O ataque expôs informações sensíveis de mais de 100 mil pessoas, incluindo nomes, endereços, e-mails e números de telefone. A origem da violação foi rastreada até o Redline Infostealer, um malware projetado para roubo de credenciais corporativas.
A brecha permitiu que agentes de ameaça acessassem o Sistema de Gerenciamento de Pedidos da StreamElements, extraindo dados de compras realizadas entre 2020 e 2024. A empresa garantiu que nenhum de seus servidores internos foi comprometido, mas informou que está notificando os clientes afetados e adotando medidas para mitigar os impactos da violação.
Novo ataque “whoAMI” explora falha em AMIs da AWS para execução remota de código foi otro exemplo analisado na pesquisa. Nesse contexto os pesquisadores identificaram o ataque “whoAMI”, que explorou a confusão de nomes em imagens de máquina da Amazon (AMI) para obter execução remota de código em contas da AWS. A vulnerabilidade ocorreu porque qualquer usuário pode publicar AMIs no catálogo público, e desenvolvedores que não especificaram o atributo — owners ao buscá-las podem acabar selecionando versões comprometidas.
A Datadog relatou que cerca de 1% das organizações monitoradas foram afetadas e encontrou exemplos de código vulnerável em diversas linguagens. A falha foi divulgada em 16 de setembro de 2024 e corrigida pela Amazon três dias depois. A AWS afirmou não ter evidências de que a técnica tenha sido explorada até o momento.
