Mostrando postagens com marcador Tecnologia. Mostrar todas as postagens
Mostrando postagens com marcador Tecnologia. Mostrar todas as postagens

Hoje, os pesquisadores de segurança cibernética descobrem uma nova vulnerabilidade crítica que afeta o protocolo SMB (Server Message Block) que pode permitir que invasores vazem a memória do kernel remotamente e, quando combinada com um bug "wormable" divulgado anteriormente, a falha pode ser explorada para obter ataques de execução remota de código .

Apelidado de " SMBleed " ( CVE-2020-1206 ) por ZecOps firmes segurança cibernética, que reside a falha na função de descompressão do SMB - a mesma função com SMBGhost ou EternalDarkness bug ( CVE-2020-0796 ), que veio à tona há três meses, potencialmente abrir sistemas Windows vulneráveis ​​a ataques de malware que podem se propagar através de redes.

A vulnerabilidade recém-descoberta afeta o Windows 10 versões 1903 e 1909, para o qual a Microsoft lançou patches de segurança hoje como parte de suas atualizações mensais do Patch Tuesday de junho .

O desenvolvimento ocorre quando a Agência de Segurança e Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um comunicado na semana passada, alertando os usuários do Windows 10 para atualizar suas máquinas após a publicação online do código de exploração do bug SMBGhost na semana passada.

O SMBGhost foi considerado tão sério que recebeu uma pontuação máxima de 10.

"Embora a Microsoft tenha divulgado e fornecido atualizações para esta vulnerabilidade em março de 2020, os ciber atores maliciosos estão mirando sistemas sem patch com o novo PoC , de acordo com relatórios recentes de código aberto", afirmou a CISA .

O SMB, executado na porta TCP 445, é um protocolo de rede que fornece a base para compartilhamento de arquivos, navegação na rede, serviços de impressão e comunicação entre processos através de uma rede.

De acordo com os pesquisadores do ZecOps, a falha decorre da maneira como a função de descompressão em questão (" Srv2DecompressData ") lida com solicitações de mensagens especialmente criadas (por exemplo, SMB2 WRITE) enviado para um servidor SMBv3 de destino, permitindo que um invasor leia a memória do kernel não inicializada e faça modificações na função de compactação.

"A estrutura da mensagem contém campos como a quantidade de bytes a serem escritos e sinalizadores, seguidos por um buffer de tamanho variável", disseram os pesquisadores. "Isso é perfeito para explorar o bug, pois podemos criar uma mensagem para especificar o cabeçalho, mas o buffer de tamanho variável contém dados não inicializados".

"Um invasor que explorar com êxito a vulnerabilidade poderá obter informações para comprometer ainda mais o sistema do usuário. Para explorar a vulnerabilidade em um servidor, um invasor não autenticado pode enviar um pacote especialmente criado para um servidor SMBv3", disse a Microsoft em seu comunicado.

"Para explorar a vulnerabilidade contra um cliente, um invasor não autenticado precisaria configurar um servidor SMBv3 mal-intencionado e convencer um usuário a se conectar a ele".

Pior, o SMBleed pode ser encadeado com o SMBGhost em sistemas Windows 10 sem patch para obter a execução remota de código. A empresa também lançou um código de exploração de prova de conceito que demonstra as falhas .

 Para atenuar a vulnerabilidade, é recomendável que os usuários domésticos e empresariais instalem as atualizações mais recentes do Windows o mais rápido possível.

Para sistemas em que o patch não é aplicável, é recomendável bloquear a porta 445 para impedir o movimento lateral e a exploração remota.

As orientações de segurança da Microsoft abordando SMBleed e SMBGhost no Windows 10 versão 1909 e 1903 e Server Core para as mesmas versões podem ser encontradas aqui e aqui .

Uma nova vulnerabilidade crítica afeta o protocolo SMBleed do Windows

17:01 , , , , , ,

Os cibercriminosos invadiram a rede de computadores da Westech International, empresa militar dos Estados Unidos, que fornece suporte de engenharia e manutenção para o dissuasor nuclear do Minuteman III. Os hackers roubaram documentos confidenciais da empresa e agora exigem que ela pague um resgate.
De acordo com a Sky News em 3 de junho, o ataque provavelmente foi realizado por hackers de língua russa, que criptografaram os computadores da Westech, obtiveram documentos e começaram a vazar as informações online.

Preocupações com a venda de dados relacionados a dissuasão nuclear para os Estados hostis

Embora o relatório não revele que tipo de documentos chegou às mãos erradas, os dados vazados sugerem que eram folha de pagamento e e-mails, além de informações pessoais.
A empresa está preocupada com o fato de os hackers tentarem vender informações sobre o impedimento nuclear para um estado hostil se esses dados estiverem em sua posse. Neste ponto, a Westech continha seus sistemas e está conduzindo uma investigação sobre o evento.
Brett Callow, pesquisador da empresa de segurança cibernética Emsisoft, disse à Sky News: “Mesmo que uma empresa pague o resgate, não há garantia de que os criminosos destruam os dados roubados, especialmente se tiver um alto valor de mercado. Eles ainda podem vendê-lo para outros governos ou negociá-lo com outras empresas criminosas. ”

As campanhas do MAZE Ransomware estão em ascensão

Para criptografar as máquinas, os criminosos usaram o ransomware MAZE, que geralmente tem como alvo organizações em todo o mundo e é negociado nos mercados darknet de língua russa. O ransomware surgiu em maio de 2019, com o aumento das campanhas de extorsão indicado na primavera de 2020.
De acordo com um relatório do SentinelLabs, existem vários recursos que tornam o Maze notavelmente diferente de outros malwares:
“Principalmente, a meta se estende além da criptografia direta de dados locais para o ambiente de destino. Enquanto isso ocorre, também há funcionalidade para exfiltrar arquivos para recursos remotos sob o controle do invasor. Nesse ponto, eles podem não apenas exigir dinheiro para descriptografar os dados nos pontos de extremidade comprometidos, mas também extorquir a vítima em troca de não vazar os dados exfiltrados para o público. ”
Em fevereiro, surgiram notícias sobre uma violação de dados que afetava cinco escritórios de advocacia nos EUA. Os hackers exigiram dois resgates separados de 100 Bitcoins de cada empresa. Um restauraria o acesso aos dados e o outro compraria a promessa dos hackers de excluir as informações que eles copiaram em vez de vendê-las.
Todos os cinco hacks foram atribuídos a um grupo criminoso chamado Maze. O grupo teria como alvo as empresas e publicaria seus nomes em um site. Se uma empresa se recusar a pagar, os criminosos começarão a publicar partes dos dados roubados até o pagamento do resgate.

Hackers russos atacam empreiteiro de mísseis nucleares dos EUA e exigem resgate por dados roubados

16:54 , , , ,

em 30 de maio, a SpaceX enviou sua primeira espaçonave tripulada ao espaço, que entregou com sucesso os astronautas da NASA à Estação Espacial Internacional (ISS). Mas muitos não sabem que o Falcon 9 da SpaceX, além de combustível de foguete, é alimentado pelo sistema operacional Linux!
O foguete Falcon 9 estava executando uma versão não especificada do sistema operacional Linux de código aberto no qual o software de vôo, escrito em C / C ++, é executado. A SpaceX e o Linux remontam, já que os funcionários da SpaceX confirmaram que o Dragon e o Falcon 9 rodam no Linux em um antigo post de 2013 .
Caso você tenha se deparado com uma imagem do lançamento do SpaceX com a atualização do Windows 10 interrompendo o lançamento, não acredite, porque isso é apenas um meme .
Segundo o ZDNet , o Falcon 9 estava operando em três processadores x86 de núcleo duplo.
A razão por trás do uso desse hardware é que chips comuns não podem ser usados ​​em foguetes espaciais. Os chips usados ​​no espaço devem ser à prova de radiação, caso contrário, podem falhar devido à longa exposição à radiação ionizante e aos raios cósmicos.
É por isso que a SpaceX usa um sistema para fornecer segurança por meio de redundância. Nesse sistema, sempre que uma decisão é tomada, todos os três núcleos devem estar de acordo. Em caso de desacordo, a decisão é descartada e o processo é repetido.
Somente após receber a confirmação dos três processadores x86, os comandos são executados. É assim que o Falcon 9 rejeita os comandos do chip que falha.
Mas voltando ao SpaceX e Linux, não seria a primeira agência espacial a usar o software de código aberto em órbita.
A própria Estação Espacial Internacional, onde os astronautas da NASA permanecem para pesquisa, teria mudado do Windows para o Linux em 2013.

SpaceX usou Linux para enviar astronautas da NASA para a Estação Espacial Internacional

16:40 , , ,

enquanto estamos aguardando o próximo Elementary OS 6 baseado no Ubuntu 20.04, Cassidy James Blaede, co-fundador e CXO do Elementary OS, lançou outra nova versão pontual, o Elementary OS 5.1.5.
Comparado à versão principal anterior, versão 5.1.4 , o novo OS elementar 5.1.5 compreende principalmente melhorias no aplicativo AppCenter and Files, além de várias pequenas correções de bugs. Vamos dar uma olhada detalhada para descobrir mais sobre a versão mais recente 5.1.5.

Elementary OS 5.1.5: O que há de novo?

A partir do AppCenter, a v5.1.5 traz uma grande mudança para reduzir a autenticação desnecessária do usuário. Se você deseja instalar atualizações, agora não precisa de permissão de administrador. Mesmo para os aplicativos Flatpak instalados como aplicativos de usuário, você não precisa de nenhuma autenticação de usuário para atualizá-los.
Além disso, o aplicativo Gerenciador de arquivos recebeu duas atualizações importantes. Primeiro, com a v5.1.5, se você copiar e colar imagens em outros aplicativos, o Elementary OS apenas colará a imagem em vez dos caminhos do arquivo.






Segundo, agora permite visualizar o tamanho do arquivo de imagem no aplicativo Arquivos mais rapidamente e exibe a sobreposição de informações do arquivo na exibição de lista.
Para melhorar ainda mais a usabilidade dos arquivos da lixeira, a v5.1.5 agora mostra uma caixa de diálogo informativa para informar se você deve restaurar ou mover o arquivo da lixeira primeiro.
Por fim, entre outras correções e aprimoramentos, o Elementary OS 5.1.5 também inclui as seguintes alterações:
  • Suporte aprimorado para tipos de criptografia de rede
  • Melhoria de desempenho ao alternar meses no indicador Data e Hora
  • Corrigido congelamento de aplicativos ao alterar as configurações de vários painéis
  • Atualização dos ícones do sistema
  • Confiabilidade aprimorada do número do crachá do Dock
  • Corrigidas etiquetas coloridas desaparecidas
  • Corrigido o tamanho das janelas lado a lado restauradas

Como baixar ou instalar o Elementary OS 5.1.5?

Se você já usa o Elementary OS 5.1 'Hera', basta clicar no botão "Atualizar tudo" no AppCenter para atualizar seu sistema para a versão mais recente da v5.1.5.
Mas se você é novo no sistema operacional elementar ou apenas deseja uma instalação nova, pode fazer o download da imagem ISO do Elementary OS 5.1.5 na página oficial aqui .

elementary OS 5.1.5 lançado com melhorias no AppCenter, Files e correções

07:31 , , ,

Um ataque em larga escala atingiu centenas de milhares de sites que usam o WordPress durante 24 horas, tentando coletar credenciais de banco de dados para roubar arquivos de configuração após explorar vulnerabilidades XSS conhecidas em plugins e temas do sistema de gerenciamento de conteúdo. XSS (ou Cross-site scripting) é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web.
Entre os dias 29 e 31 de maio, a Wordfence Firewall bloqueou mais de 130 milhões de ataques destinados a coletar credenciais de banco de dados de 1,3 milhão de sites, baixando seus arquivos de configuração, segundo Ram Gall, engenheiro de QA e analista de ameaças da empresa de segurança cibernética. “O pico deste ataque ocorreu no dia 30. Nesse dia, os ataques representaram 75% de todas as tentativas de exploração de vulnerabilidades de plugins e de temas do WordPress.”
Os invasores estavam tentando baixar o arquivo de configuração wp-config.php do WordPress, que contém credenciais do banco de dados e informações de conexão, além de chaves exclusivas de autenticação. Se conseguissem explorar com êxito quaisquer plugins vulneráveis ​​usados ​​pelos sites, os hackers poderiam facilmente roubar credenciais de seus bancos de dados e invadi-los.
Com base nos 20 mil endereços IP diferentes usados ​​para iniciar os ataques, os pesquisadores de segurança da Wordfence conseguiram vincular essa campanha massiva a outro ataque em larga escala que começou em 28 de abril e ressurgiu no dia 11 de maio para atingir também centenas de milhares de sites WordPress vulneráveis.
Nessa campanha, o ator de ameaças — rastreado pela Wordfence desde fevereiro — estava tentando instalar backdoors (portas dos fundos) ou redirecionar visitantes para sites de malvertising (que usame publicidade online para espalhar malware), explorando vulnerabilidades de scripts entre sites (XSS) em plugins corrigidos meses ou anos atrás e anteriormente alvejados em outros ataques. .
Os atacantes por trás dessas campanhas foram capazes de realizar mais de 20 milhões de ataques contra mais de meio milhão de sites apenas no dia 3 de maio. Para se defender desse tipo de ataque, os proprietários e administradores do site WordPress devem manter todos os seus plugins e temas atualizados para corrigir as vulnerabilidades que esse agente de ameaças está tentando explorar para comprometer seus sites. Também devem excluir ou desativar os que foram removidos do repositório do WordPress, já que não são mais mantidos e podem vir com vulnerabilidades de segurança anteriormente não descobertas que nunca serão corrigidas. Com agências de notícias internacionais.

Hackers tentam roubar logins de 1,3 milhão de sites WordPress

07:30 , , , , , , ,

A exchange de criptomoedas japonesa Coincheck diz que os hackers assumiram o controle de sua conta em um registrador de domínio local e sequestraram um de seus nomes de domínio, que posteriormente foram usados ​​para entrar em contato com alguns de seus clientes.
A Coincheck interrompeu as operações de remessa em sua plataforma na terça-feira enquanto investigava o incidente. Outras operações, como saques ou depósitos, não foram bloqueadas.
De acordo com um relatório de incidente publicado ontem, a empresa disse que o ataque inicial ocorreu no domingo, 31 de maio. Os hackers obtiveram acesso à conta da Coincheck no Oname.com, provedor de registro de domínio da empresa. Oname também confirmou o incidente .
Embora a Coincheck não tenha fornecido detalhes técnicos sobre o ataque, o pesquisador de segurança japonês Masafumi Negishi disse que os hackers modificaram a entrada DNS principal do domínio coincheck.com da Coincheck.
A exchange japonesa usa o serviço DNS gerenciado da Amazon, o que significa que um servidor DNS da Amazon estava lidando com a operação de retornar o endereço IP do servidor no qual os clientes dos usuários (navegador, aplicativos móveis, carteiras) precisavam se conectar ao domínio coincheck.com.

Hackers registraram domínio parecido com o da Coincheck

De acordo com Masafumi , o hacker registrou um domínio parecido no servidor da AWS e substituiu o awsdns-61.org original por awsdns-061.org (observe o 0 extra na frente de 61 ) no back-end do Oname.com. Isso permitiu ao hacker gerenciar consultas DNS para o portal Coincheck.
Os hackers não usaram esse acesso para redirecionar todo o tráfego da Web da exchange para um clone do Coincheck. Tal ataque teria sido detectado imediatamente.Em vez disso, os hackers enviaram e-mails de spear-phishing para certos usuários, personificando o domínio coincheck.com e redirecionando respostas de e-mail para seus próprios servidores.




Coincheck diz que detectou o ataque depois de observar anormalidades no tráfego. Os hackers tiveram acesso ao domínio da empresa até segunda-feira, 1 de junho às 20:52, horário de Tóquio, quando a empresa recuperou o acesso ao seu domínio.Acredita-se que os hackers entraram em contato com os clientes e pediram que eles verificassem as informações da conta, que poderiam ser reutilizadas posteriormente para invadir contas e roubar fundos.
Coincheck disse que cerca de 200 clientes parecem ter se envolvido com os hackers, acreditando que estavam se comunicando com a equipe oficial da Coincheck.A exchange japonesa disse que não tinha evidências para confirmar que os hackers usaram qualquer informação que possam ter aprendido durante as recentes conversas por e-mail para violar contas e roubar fundos.
A plataforma está atualmente classificada em 39ª na lista das principais exchanges do CoinMarketCap. A empresa é famosa por ser hackeada em janeiro de 2018 e perder US$ 500 milhões, o maior roubo de criptomoedas da história .

HACKERS INVADEM UM DOS DOMÍNIOS DA COINCHECK

21:24 , , , , ,



Um chinês  desenvolveu novos recursos para direcionar sistemas com falta de ar, na tentativa de filtrar dados confidenciais para espionagem, de acordo com uma pesquisa publicada recentemente pela Kaspersky.

O APT, conhecido como Cycldek, Goblin Panda ou Conimes, emprega um extenso conjunto de ferramentas para movimentação lateral e roubo de informações nas redes de vítimas, incluindo ferramentas, táticas e procedimentos personalizados não relatados anteriormente em ataques contra agências governamentais no Vietnã, Tailândia e Laos.

"Uma das ferramentas recém-reveladas é denominada USBCulprit e foi encontrada a confiar na mídia USB para filtrar os dados das vítimas", Kasperskydisse. "Isso pode sugerir que a Cycldek esteja tentando alcançar redes com falta de ar nos ambientes das vítimas ou confie na presença física para o mesmo objetivo".

Observada pela primeira vez pelo CrowdStrike em 2013, a Cycldek tem uma longa história de destacar os setores de defesa, energia e governo no sudeste da Ásia, particularmente no Vietnã, usando documentos ilegais que exploram vulnerabilidades conhecidas (por exemplo, CVE-2012-0158, CVE-2017-11882 , CVE-2018-0802) no Microsoft Office para eliminar um malware chamado NewCore RAT.

Exfiltrando dados para unidades removíveis


A análise da Kaspersky sobre o NewCore revelou duas variantes diferentes (denominadas BlueCore e RedCore) centradas em dois grupos de atividades, com semelhanças no código e na infraestrutura, mas também contêm recursos exclusivos do RedCore - a saber, um keylogger e um RDP logger que capturam detalhes sobre usuários conectados a um sistema via RDP.

"Cada grupo de atividades tinha um foco geográfico diferente", disseram os pesquisadores. "Os operadores do cluster BlueCore investiram a maior parte de seus esforços em metas vietnamitas com vários outliers no Laos e na Tailândia, enquanto os operadores do cluster RedCore começaram com foco no Vietnã e foram desviados para o Laos até o final de 2018".

Os implantes BlueCore e RedCore, por sua vez, baixaram uma variedade de ferramentas adicionais para facilitar o movimento lateral (HDoor) e extrair informações (JsonCookies e ChromePass) de sistemas comprometidos.

O principal deles é um malware chamado USBCulprit, capaz de digitalizar vários caminhos, coletando documentos com extensões específicas (* .pdf; *. Doc; *. Wps; * docx; * ppt; *. Xls; *. Xlsx; * .pptx; *. rtf) e exportá-los para uma unidade USB conectada.

Além disso, o malware é programado para se copiar seletivamente em determinadas unidades removíveis, para que possa se mover lateralmente para outros sistemas com folga de ar sempre que uma unidade USB infectada for inserida em outra máquina.

Uma análise de telemetria da Kaspersky descobriu que a primeira instância do binário remonta a 2014, com as amostras mais recentes registradas no final do ano passado.

O mecanismo inicial de infecção baseia-se no aproveitamento de binários mal-intencionados que imitam componentes antivírus legítimos para carregar o USBCulprit no que é chamado de seqüestro de ordem de pesquisa DLL antes de continuar a coletar as informações relevantes, salvá-las na forma de um arquivo RAR criptografado e extrair os dados para um dispositivo removível conectado.

"As características do malware podem dar origem a várias suposições sobre seus objetivos e casos de uso, um dos quais é alcançar e obter dados de máquinas com folga", disseram os pesquisadores. "Isso explicaria a falta de qualquer comunicação de rede no malware e o uso de apenas mídia removível como meio de transferir dados de entrada e saída".

Por fim, as semelhanças e diferenças entre os dois tipos de malware são indicativas do fato de que os atores por trás dos clusters estão compartilhando código e infraestrutura, enquanto operam como dois ramos diferentes em uma única entidade maior.

"O Cycldek é um exemplo de ator que tem uma capacidade mais ampla do que a percebida publicamente", concluiu Kaspersky. "Embora a maioria das descrições conhecidas de sua atividade dê a impressão de um grupo marginal com recursos inferiores, a variedade de ferramentas e o período de operações mostram que o grupo tem uma posição extensa dentro das redes de alvos de destaque no sudeste asiático".

Nova ferramenta de espionagem USBCulprit rouba dados de computadores

21:04 , , , , , , , ,
Assinar: Postagens (Atom)

 
Anonymous News © 2020 - All Rights Reserved Designed by Anonymous NewsLuizCod3r