Novas vulnerabilidades críticas são encontradas em sistemas de players de TI 

Relatório feito pela consultoria especializada em cibersegurança destaca também uma campanha de espionagem cibernética cujos alvos são governos e empresas de tecnologia em todos os continentes

Compartilhar:

Microsoft, Zoho e Github tiveram vulnerabilidade nos últimos dias e cada sistema foi atingido de uma forma. O primeiro alerta foi sobre nova campanha de phishing direcionada a corporações por meio de mensagens do Teams. Nessa campanha, um atacante usa mensagens do Teams como isca para se infiltrar nas redes corporativas. Essa invasão abre portas para que o agente, que opera como serviço de ransomware, realize ações de pós-exploração e implante malware de criptografia de arquivos.

A empresa respondeu a essas ameaças com diversas melhorias em sua segurança para bloquear a campanha e tomou medidas adicionais, como a suspensão de contas identificadas e inquilinos associados a comportamentos inautênticos ou fraudulentos.

Já a campanha de espionagem da Earth Estries mira governos e gigantes da tecnologia em todos os continentes, abrangendo países como Filipinas, Taiwan, Malásia, África do Sul, Alemanha e EUA. Os hackers empregam um conjunto variado de técnicas, incluindo o uso de backdoors, roubos de dados de navegadores e scanners de portas, a fim de coletar informações sensíveis.

Além disso, eles abusam de serviços públicos, como Github, Gmail, AnonFiles e File.io, para trocar comandos e dados roubados. “Campanhas como essa são um exemplo de como os hackers estão se tornando cada vez mais sofisticados e audaciosos em seus ataques, pois usam uma variedade de técnicas para se infiltrar nas redes, extrair dados e evitar a detecção.  

“Os governos e as empresas de tecnologia precisam estar atentos para reforçar suas medidas de segurança, porque esses ataques podem ter consequências graves para a economia e a privacidade dos envolvidos”, comenta Marcos de Almeida, gerente de Red Team da Redbelt.



Hackers e vulnerabilidades

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta sobre a exploração de vulnerabilidades no Fortinet, especificamente no FortiOS SSL-VPN, e no Zoho ManageEngine ServiceDesk Plus. Diversos criminosos estão se aproveitando dessas falhas de segurança para obter acesso não autorizado e estabelecer persistência em sistemas comprometidos.  

Após o sucesso da exploração, eles ganham acesso de nível raiz aos servidores da Web, adotando medidas adicionais, como o download de malware adicional, a enumeração de redes, a coleta de credenciais de usuários administrativos e a movimentação lateral pela rede.



Foi também observada a criação de sessões criptografadas por TLS para diversos endereços IP, indicando a transferência de dados do dispositivo de firewall, além da exploração de credenciais válidas para avançar do firewall para servidores da Web e implantar shells da Web para obter acesso backdoor.

“Esse ataque ressalta a importância de as companhias atualizarem suas políticas e soluções de segurança constantemente, sendo sempre criteriosas no monitoramento de suas redes em busca de atividades suspeitas. Além disso, é recomendável que as empresas adotem boas práticas de segurança, como o uso de senhas fortes e únicas, a autenticação multifator e a segmentação de redes”, lembra o especialista da Redbelt Security.

Exploração falsa infecta usuários

Um agente mal-intencionado lançou uma exploração falsa de prova de conceito (PoC) para uma vulnerabilidade do WinRAR, que foi recentemente divulgada no GitHub. Isso resultou na infecção de usuários que baixaram o código com o malware Venom RAT.



Embora as PoCs falsas tenham se tornado uma tática bem documentada para atingir a comunidade de pesquisa, a empresa de segurança cibernética suspeita que os hackers estão visando outros criminosos, que podem estar incorporando as vulnerabilidades mais recentes em seu arsenal.

Dados expostos

A Microsoft declarou que já tomou medidas para corrigir uma grave falha de segurança que levou à exposição de 38 terabytes de dados privados. O vazamento foi descoberto no repositório de IA da empresa no GitHub e se tornou público inadvertidamente depois da publicação de um conjunto de dados de treinamento de código aberto.

A ocorrência também incluiu um backup em disco de duas estações de trabalho de ex-funcionários contendo segredos, chaves, senhas e mais de 30.000 mensagens internas do Teams. Em resposta a essas descobertas, a Microsoft afirmou que sua investigação não encontrou evidências de exposição não autorizada de dados de clientes e que “nenhum outro serviço interno foi colocado em risco devido a esse problema.”

A empresa também enfatizou que os clientes não precisam tomar nenhuma ação por conta própria. “É sempre importante lembrar que a exposição de dados privados, como segredos, chaves, senhas e mensagens internas, pode comprometer a integridade, a confidencialidade e a disponibilidade dos sistemas e serviços. Além disso, pode afetar a reputação, a credibilidade e a confiança dos clientes e parceiros”, afirma Almeida.



Atualização de navegadores

Considerada como uma vulnerabilidade de alta gravidade, é caracterizada como um estouro de buffer baseado em heap no formato de compactação VP8 da biblioteca de codecs de vídeo de código aberto, libvpx, desenvolvida pelo Google e pela Alliance for Open Media (AOMedia). A exploração bem-sucedida destas falhas de estouro de buffer pode resultar em falhas do programa ou na execução de código arbitrário, o que afeta a disponibilidade e a integridade do sistema.

Para mitigar possíveis ameaças, é recomendável que os usuários atualizem seus navegadores para a versão 117.0.5938.132 do Chrome, disponível para Windows, macOS e Linux. Além disso, os usuários de navegadores baseados no Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, devem aplicar as correções assim que estiverem disponíveis.



“É urgente que os usuários atualizem seus navegadores para a versão mais recente do Chrome, que contém o patch de segurança. Além disso, eles também devem ficar atentos aos sites que visitam e aos arquivos que baixam, pois eles podem conter conteúdo malicioso”, complementou o especialista da Redbelt.


Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

IA agêntica exige CIOs com visão de RH

Artigo trata que IA agêntica surge como “nova colega de trabalho” nas empresas, exigindo dos CIOs uma gestão semelhante à...
Security Report | Overview

Setor de Educação mostra fortalecimento contra o ransomware em estudo

97% da vítimas do segmento recuperaram dados criptografados e pagamentos de resgate caíram drasticamente
Security Report | Overview

Relatório: Ciberataques globais seguem em níveis elevados e Brasil está entre os mais expostos

Os pesquisadores relatam que ataques cibernéticos globais atingiram o volume de quase 2.000 por semana por organização em agosto; no...
Security Report | Overview

Incidentes cibernéticos podem derrubar preço das ações em até 1,5%, revela estudo

Levantamento revela correlação direta entre ataques digitais e perdas financeiras prolongadas nas maiores empresas dos EUA