O Google
lançou uma atualização do navegador Chrome em 31 de outubro, na qual duas vulnerabilidades graves foram fechadas. Um deles (CVE-2019-13720) foi usado em ataques reais e foi descoberto (
notícias ,
pesquisas ) por especialistas da Kaspersky Lab. Uma vulnerabilidade de uso após livre (CVE-2019-13720) permite que código arbitrário seja executado em sistemas com as versões 76 e 77 do navegador Windows e Chrome de 64 bits.
O problema foi detectado usando o sistema Automatic Exploit Prevention, que faz parte das soluções de segurança da Kaspersky Lab e que visa identificar ataques anteriormente desconhecidos. O código Javascript malicioso que inicia o ataque foi injetado no site de notícias coreano. Os pesquisadores chamaram essa campanha de Operação WizardOpium e, até o momento, não há sinais de combinar essa atividade maliciosa com outras operações de criminosos cibernéticos. O código de exploração sugere uma operação maior que explora outras vulnerabilidades em software comum.
Este não é o único ataque "ao vivo" que foi descoberto na semana passada. Em 3 de novembro,
uma descrição interessante de um ataque a computadores com a vulnerabilidade
BlueKeep foi
publicada no blog Kryptos Logic. Este problema no recurso Serviços de Área de Trabalho Remota no Windows 7 e Windows 2008 Server foi descoberto em maio. Apesar de o patch ter sido lançado não apenas para esses SOs (relativamente) modernos, mas também para Windows XP e 2003 Server não suportados, no momento em que o patch foi lançado,
havia cerca de um milhão de sistemas vulneráveis. Em setembro, uma exploração do BlueKeep foi
publicada como parte do pacote Metasploit. Mesmo em um sistema sem patch, você pode alterar as configurações para impossibilitar a exploração da vulnerabilidade. No entanto, os pesquisadores procederam da alta probabilidade de que muitos sistemas não sejam atualizados e configurados corretamente. Como então determinar quando eles vão começar a atacar de verdade?
Com a ajuda de hanipots - sistemas deliberadamente mal configurados nos quais a vulnerabilidade permite que código arbitrário seja executado remotamente e sem autorização. Em 2 de novembro, o pesquisador Kevin Bumon anunciou (sua versão dos eventos está
aqui ) que os chanipots pertencentes a ele começaram a cair espontaneamente "na tela azul". A análise das falhas mostrou que os ataques aos Serviços de Área de Trabalho Remota estão realmente sendo realizados e sua natureza corresponde aos recursos do código publicado como parte do Metasploit. Após uma penetração bem-sucedida do servidor do invasor, os comandos do PowerShell são carregados e executados sequencialmente, até que finalmente a carga útil é baixada - o cryptominer. Naturalmente, após a publicação da exploração, essas "brincadeiras" eram inevitáveis, mas neste caso também temos um exemplo interessante de análise de ataques, que começa como a dor de cabeça habitual do administrador - o sistema trava e ninguém sabe o porquê. (Há muito tempo) é hora de atualizar, mas o número de sistemas com a vulnerabilidade BlueKeep não diminuiu muito em cinco meses e agora é estimado em mais de 700 mil.
O que mais aconteceu:Cerca de 7,5 milhões de assinantes da Adobe Creative Cloud
ficaram em domínio público por uma semana. O banco de dados configurado incorretamente continha informações detalhadas sobre os clientes, mas não havia senhas e números de cartão de crédito. A base de clientes do registrador Web.com também
vazou .
O 30º aniversário do vírus Cascade. Este é o primeiro programa de malware estudado em 1989 por Eugene Kaspersky. Um post com uma digressão histórica e infográficos detalhados sobre a evolução das ameaças ao longo de três décadas é publicado
aqui .
De acordo com a Akamai, 90% dos sites de phishing
vivem mais de um dia. Os principais phishers incluem Microsoft, Paypal e LinkedIn.