Alerta de Vulnerabilidade – Adobe Flash Player – CVE-2017-11292

Alerta de Vulnerabilidade – Adobe Flash Player

TIPO: Vulnerabilidades
SISTEMAS AFETADOS: Adobe Flash Player (todas as versões até à 27.0.0.159)
ECOSSISTEMA: Windows, Mac OS, Linux
 
Descrição:Foi identificada uma vulnerabilidade no procedimento de verificação de bytecodes que permite a utilização de valores não confiáveis.

Impacto:Esta vulnerabilidade, se explorada corretamente, permite a execução de código arbitrário.

Resolução:Atualizar o Adobe Flash Player para uma versão posterior à 27.0.0.159.

 
Referências:CVE-2017-11292 Details:
https://nvd.nist.gov/vuln/detail/CVE-2017-11292

Alerta nº 06/2017 – Vulnerabilidade WPA2 KRACK

Descrição do Problema

Foi encontrada uma vulnerabilidade no protocolo WPA2. Esta vulnerabilidade foi descoberta pelos pesquisadores Mathy Vanhoef of imec-DistriNet, da Universidade Católica de Leuven, Belgica.

Quando um cliente se conecta a uma rede WI-FI um aperto de mão (handshake) é feito para verificar se o dispositivo tem a senha correta. Além disso, o cliente recebe uma chave criptográfica que é utilizada para proteger qualquer dado subsequente. A falha permite que o atacante resete essa chave e, com isso, descriptografe todo o tráfego da vítima. 

Métodos de Ataques

Quando um cliente se conecta a uma rede, ele executa a negociação chamada 4-way handshake para negociar uma nova chave de sessão. Ele instala essa chave após receber a mensagem 3 do handshake. Uma vez que a chave esteja instalada, ela será usada para criptografar quadros de dados usando um protocolo de confidencialidade. No entanto, como as mensagens podem ser perdidas ou descartadas, o ponto de acesso (AP) retransmitirá a mensagem 3 se não receber uma resposta adequada como confirmação. Como resultado, o cliente pode receber a mensagem 3 várias vezes. Cada vez que recebe esta mensagem, ela reinstalará a mesma chave de sessão e recebe o número de pacote de transmissão incremental (nonce) e recebe o contador de repetição usado pelo protocolo de confidencialidade de dados.

Para a realização do ataque, ou seja, para forçar o reenvio da mensagem 3 do 4-way handshake, um atacante precisa realizar um ataque de man-in-the-minddle (MitM) de forma a se posicionar entre o cliente e o AP. A partir de então, os pacotes podem ser repetidos, descriptografados e / ou forjados. A mesma técnica também pode ser usada para atacar a chave de grupo, PeerKey, TDLS e BSS.

Sistemas afetados

As implementações do iOS (Apple) e da Microsoft, não permitem a retransmissão da mensagem 3, o que vai contra a especificação do protocolo mas acaba livrando os dispositivos destes fabricantes de parte das vulnerabilidades encontradas. Já a implementação do Linux e do Android 6.0 ou superior é bastante afetada.

Sugestões para Mitigação do Problema

  • Mantenha os sistemas atualizados para a versão mais recente ou aplique os patch conforme orientação do fabricante. As principais empresas de sistemas operacionais, smartphones, roteadores já estão desenvolvendo patch para correção da falha;
  • Efetue autenticação em conexões seguras (HTTPS, por exemplo);
  • Utilize uma VPN;
  • Considere estabelecer o modo “Rede Pública” em conexões wi-fi;
  • Por fim, realize campanhas internas, alertando os usuários sobre esta publicação.

Referências

  • http://dsic.planalto.gov.br/legislacao/RequisitosMnimosSIparaAPF.pdf/view
  • https://www.kb.cert.org/vuls/id/228519/
  • https://cwe.mitre.org/data/definitions/323.html
  • https://papers.mathyvanhoef.com/ccs2017.pdf
  • https://www.krackattacks.com/
  • https://morphuslabs.com/sobre-o-wpa2-krack-attack-b999efccb106
  • https://www.gta.ufrj.br/ensino/eel879/trabalhos_vf_2012_2/80211i/funcionamento.html

 

Fonte

As falhas ‘Stack Clash’ permitem o escalonamento de privilégios em sistemas Unix

O Linux e outros sistemas operacionais semelhantes a Unix são afetados por um tipo de vulnerabilidade que pode ser explorada por um invasor para a escalação de privilégios de root, alertou a Qualys na segunda-feira.

A falha, denominada Stack Clash, é um problema de gerenciamento de memória em Linux, OpenBSD, NetBSD, FreeBSD e Solaris nas arquiteturas i386 e amd64. As distribuições afetadas do Linux incluem Red Hat, Debian, Ubuntu, SUSE, CentOS e Gentoo. Outros sistemas operacionais e arquiteturas também podem ser vulneráveis.

A vulnerabilidade está relacionada à região da memória conhecida como pilha, que cresce automaticamente se uma aplicação requer mais memória. O problema é que se a região da memória da pilha crescer demais, ela pode chegar muito perto de outra região, o que pode resultar na confusão dessas regiões.

Esse tipo de falha, que os atacantes podem explorar para substituir a pilha com outra região de memória, desencadeando um choque, é conhecido desde 2005. Depois de ser explorado novamente em 2010 (CVE-2010-2240), uma proteção chamada “página de guarda de pilha”. Foi adicionado ao kernel do Linux para evitar ataques de transbordamento de pilha. A página de guarda de pilha serve como divisor entre uma região de memória de pilha e outras regiões.

No entanto, pesquisadores da Qualys descobriram que a proteção da página da proteção da pilha pode ser ignorada e eles desenvolveram várias façanhas de prova de conceito (PoC) para demonstrar isso. A vulnerabilidade principal do Stack Clash é rastreada como CVE-2017-1000364, mas existem várias outras falhas que estão diretamente relacionadas a ela ou de forma independente.

O código PoC desenvolvido pela Qualys mostra como um invasor local pode explorar a vulnerabilidade para escalar privilégios para a raiz. No entanto, a empresa acredita que ataques remotos também podem ser possíveis contra determinadas aplicações.

As façanhas do PoC só serão tornadas públicas depois que os usuários tiveram a chance de corrigir seus sistemas. Os detalhes técnicos sobre Stack Clash foram disponibilizados tanto pela Qualys quanto pela Grsecurity.

Os desenvolvedores dos sistemas operacionais afetados começaram a liberar correções e os usuários foram avisados ​​para corrigir suas instalações. Como solução alternativa, os dificultosos recursos RLIMIT_STACK e RLIMIT_AS de usuários locais e serviços remotos podem ser configurados para valores baixos, mas os especialistas alertaram que pode ser possível ignorar essa mitigação.

Qualys relatou recentemente encontrar uma vulnerabilidade que pode ser explorada pelos usuários de Sudo em sistemas habilitados para SELinux para escalação de privilégios de root. A empresa apontou que uma combinação da falha de Sudo com o Stack Clash permite que qualquer usuário local (não apenas usuários de Sudo) escalasse privilégios em qualquer sistema Linux afetado (não apenas sistemas com SELinux habilitado).

Fonte

Os atacantes utilizam a falha SambaCry para executar o minerador Cryptocurrency

Os fraudadores exploraram uma vulnerabilidade corrigida para empurrar uma mineradora de criptografia para máquinas Linux e gerar dinheiro eletrônico. Os ataques, detalhados pelos pesquisadores das empresas de segurança Kaspersky Lab e Cyphort, aproveitam a vulnerabilidade nas instalações da ferramenta de interoperabilidade Samba. Esta notícia vem poucos dias depois que a equipe do Samba anunciou que havia corrigido versões anteriores do software.

A vulnerabilidade também vem na sequência do recente sistema de resgate WannaCry. A SecurityWeek explicou que, como sua contraparte, o minerador de criptografia – que alguns pesquisadores chamaram de SambaCry – apresenta um risco significativo para usuários e empresas.

Explorando o Samba

O Samba, que é executado em servidores Linux e UNIX, é uma ferramenta que configura serviços de arquivamento e impressão através do protocolo de rede SMB, integrando esses serviços em um ambiente Windows. Os atacantes que procuram executar o minerador de criptografia usam uma falha no Samba para instalar um plugin malicioso que permite privilégios de superusuário.

A Kaspersky advertiu os usuários que a vulnerabilidade do Samba é como o bug que os cibercriminosos exploraram durante o recente surto de WannaCry ransomware. O primeiro arquivo entregue é um backdoor que fornece um shell reverso, permitindo que os atacantes executem comandos remotamente.

Os atores da ameaça então instalam um minerador de criptografia para coletar dinheiro na forma de Monero, que é uma alternativa ao bitcoin. Os lucros são enviados para uma carteira com um endereço codificado.

Mais do que apenas um minerador Cryptocurrency

Kaspersky disse que os atacantes receberam seus primeiros criptocoins em 30 de abril, quando ganharam cerca de 1 XMR (cerca de US $ 55). Após um mês de mineração, os atacantes ganharam 98 XMR, o que significa que eles ganharam cerca de US $ 5.500.

Embora os números sejam relativamente pequenos, o aumento no lucro sugeriu que o botnet de mineração de dispositivos em nome dos atacantes está crescendo a uma taxa significativa. Mais problemático, os pesquisadores da Kaspersky disseram que ainda não possuem informações sobre a escala do ataque.

Os tomadores de decisão de TI devem notar que as máquinas afetadas podem atuar como mais do que um minério de criptografia. Os cibercriminosos podem aproveitar o invólucro inverso deixado no sistema para alterar a configuração do minerador existente, ou podem infectar o computador da vítima com outro malware.

Como responder

A empresa de segurança Rapid7 observou que muitos sistemas de armazenamento domésticos e corporativos executam o Samba. A ferramenta geralmente é instalada por padrão em sistemas Linux, o que significa que as empresas podem estar executando o Samba sem mesmo saber disso. Sua análise recente descobriu mais de 104.000 pontos finais expostos à Internet que parecem estar executando versões vulneráveis ​​do Samba.

A Kaspersky explicou que a notícia da vulnerabilidade é outra lembrança sobre a importância de políticas de segurança fortes. Os pesquisadores pediram aos administradores de sistemas e usuários comuns de Linux que atualizem seu software Samba para a última versão corrigida, que foi lançada no final de maio.

Os tomadores de decisão de TI também devem notar que o SambaCry não é o único malware que está sendo usado para executar um minério de criptografia. Especialistas descobriram recentemente uma nova variante do malware Mirai que possui um componente de mineração de bitcoína embutido. Todas as partes interessadas, incluindo empresas e fornecedores de TI, devem trabalhar juntas para garantir que os dispositivos sejam corrigidos e protegidos na idade conectada.

Fonte

Alerta nº 03/2017 – Vulnerabilidade no Software Samba – CVE-2016-7494

Descrição do Problema

O software Samba permite a interoperabilidade de compartilhamento de arquivos e de impressoras entre platarformas Microtsoft Windows e outras plataformas, sejam elas UNIX, GNU/Linux, IBM System 390 e outros sistemas operacionais.
Clientes maliciosos podem realizar upload e executar no Servidor Samba códigos por meio de compartilhamentos que permitam escrita. Faz-se necessário, dada a vulnerabilidade identificar nas organizações, os dispositivos embarcados que possuem o Samba instalado.
De acordo com o time que mantem o Samba a vulnerabilidade está presente em todas as versões desde a 3.5.0 (1º de Março de 2010) até as versões anteriores a atualização do dia 24 de Maio de 2017.

Possíveis Riscos

O software sem o patch de correção pode ser explorado para comprometer a confidencialidade, integridade e disponibilidade das informações da organização sem necessidade de permissionamento adequado. Em outras palavras, a vulnerabilidade permite:

  • Acesso às informações da organização;
  • Modificação não autorizada de qualquer ativo de informação;
  • Comprometimento de serviços;

Sugestão para Mitigação do Problema

Correção do software:

  • Instalar uma das versões mais atuais do Samba 4.6.4, 4.5.10 ou 4.4.14 que foram disponibilizados para corrigir a falha.
  • Como alternativa a instalação, aplicar o patch relacionado a esta falha também foi disponibilizado no sítio: http://www.samba.org/samba/security/

Mitigação:

  • Caso não seja possível atualizar o software de forma imediata, é recomendável como forma de mitigar o problema a inclusão do seguinte parâmetro, no arquivo de configuração do samba “smb.conf”, na seção “[global]”: nt pipe support = no
  • Após a mudança no arquivo, é necessário reiniciar o serviço “smbd”.

Recomenda-se ainda, analise por parte da organização, para cada ativo de informação a necessidade da utilização do Samba. Caso não seja pertinente:

  • Desativar o serviço “smbd”;
  • Bloquear as portas UDP 137, 138 e TCP 139, 445.

Referências:

http://www.samba.org/samba/security/CVE-2017-7494.html
https://access.redhat.com/security/cve/CVE-2017-7494

Fonte