Vulnerabilidade encontrada no MFA de serviços Microsoft Cloud abrem brechas para ambientes de produtividade da plataforma
De acordo com pequisadores da Proofpoint, bugs encontrados dentro da estrutura do sistema de autenticação de multifator da Microsoft 365 mostraram maneiras de se contornar o esquema de segurança e que abrem várias brechas a agentes cibercriminosos.
A Origem da falha está na implementação de um componente chamado WS-Trust, localizada em ambientes de nuvem como o Microsoft 365. Trata-se de um padrão OASIS que fornece extensões para o WS-Security utilizado na validação de tokens de segurança, já bem conhecidos por quem mexe com sistemas financeiros e outros sistemas que envolvem um padrão de segurança mais elevado.
De acordo com Itir Clarke, gerente sênior de marketing de produto do Cloud Access Security Broker da Proofpoint, “essas vulnerabilidades também podem ser usadas para obter acesso a vários outros serviços em nuvem fornecidos pela Microsoft, incluindo ambientes de produção e desenvolvimento, como Azure e Visual Studio.”
Sob conclusão de alguns pesquisadores da Tenable, na prática, isso poderia se traduzir a um ataque da Ramsonwares em uma organização e manter uma presença permanente se os processos utilizados pela equipe de segurança deixarem localizar algum script malicioso
Pesquisadores de segurança e autoridades governamentais dos EUA estão solicitando aos administradores que garantam a aplicação dos pactches de agosto da Microsoft. Este patch soluciona essa vulnerabilidade impondo um protocolo remoto de logon de rede seguro nos servidores e clientes de um domínio Windows.
Zeppelin Ransomware: Um novo cavalo de Tróia?
Conhecido pelas ondas de ataques em Agosto através de phishing e-mails contendo arquivos do Microsoft Word, o Malware agora apareceu em uma campanha direcionada e uma nova rotina de infecção. Sua forma de abordagem se direciona a um usuário que ativa essas macros e o processo de infecção se inicia.
Em um dos casos, o comportamento do Malware se dá pelo confinamento secreto de fragmentos de cripts do Visual Basic entre o texto lixo atrás de várias imagens. A Análise e extração desses scripts é realizado por estas macros e gravam em um arquivo localizado no caminho em c: \ wordpress \ about1.vbs . Existe outra macro que procura a string “winmgmts: Win32_Process” dentro do texto do documento e a usa para executar about1.vbs do disco. About1.vbs é o downloader do cavalo de Tróia baixa o ransomware Zeppelin na máquina da vítima.
O Zeppelin faz parte da família ransonware-as-a-service (RaaS) baseada em Delphi, que surgiu em meados de 2019 através de anuncios no Yandex.Direct.
CISA emite aviso de grupos de hackers chineses
Agências governamentais dos EUA e empresas do setor privado foram alertadas para estarem em alerta máximo para ataques cibernéticos por parte de agentes de ameaças afiliados ao Ministério de Segurança do Estado (MSS) da China
Desde o primeiro incidente, os ataques já acontecem há mais de um ano, tendo como alvo vulnerabilidades em dispositivos de rede como servidores de email Microsoft Exchange, dispositivos Pulse Secure VPN e balanceadores de carga.
Como defesa inicial, um comunicado de segurança sobre a ameaça foi emitido ontem pela Cybersecurity and Infrastructure Security Agency (CISA) e o departamento de Justiça dos EUA.