Ir para conteúdo

  • Notícias

    Mostrar todas categorias
    • Leandro Fróes
      Nova release da ferramenta frida chega com diversas correções e facilidades em relação à suas dependências e a forma com que estas são manipuladas. Para quem não sabe do que se trata frida é um toolkit de engenharia reversa utilizado para instrumentar sua análise através de scripts, hookings, tracing e muito mais! Além disso o toolkit é portável e suportado em ambientes Windows, macOS, GNU/Linux, iOS, Android, e QNX.
      As mudanças mais importantes desta release giram em torno das dependências da ferramenta que agora estão todas atualizadas e em sua melhor versão. Com tais melhorias agora está muito mais fácil para quem quiser buildar o frida em suas versões anteriores direto do código fonte, o que aparentemente era um problema anteriormente.
      Além disso agora ficou muito mais fácil analisar problemas dentro das próprias dependências do frida. Imagine que uma função específica (Thread.backtrace(), por exemplo) está causando algum problema e você gostaria de depurá-la. Tendo em mente que ela pertence à biblioteca libunwind você poderia buildar o toolkit da seguinte forma:

      *Neste caso estamos buidando para nosso sistema local.
      Agora imagine que você já buidou o frida e quer apenas mexer na biblioteca em questão:

      A partir disto você pode continuar fazendo modificações em "deps/libunwind" (no nosso exemplo no caso) e executar uma compilação incremental executando novamente o comando para compilar:

      Fora toda essa nova granularidade foram aplicadas correções no suporte para iOS 14.2, suporte para size_t e ssize_t em funções nativas, suporte à inprocess injection em ambientes Windows e muito mais. Para fazer o download, é só clicar no botão abaixo, que te leva direto para a página de releases do projeto, onde você pode escolher qual versão quer baixar! ?
       
    • O Microsoft Teams lançou esta semana o Bounty Awards para o Teams Desktop Client. Segundo comunicado da empresa, os prêmios podem chegar a US$ 30 mil, e o cliente de desktop Teams é o primeiro aplicativo no escopo do novo Programa de Recompensas de Apps da plataforma. 
      "A parceria com a comunidade de pesquisa de segurança é uma parte importante da abordagem holística da Microsoft para a defesa contra ameaças à segurança. Como grande parte do mundo passou a trabalhar em casa no ano passado, o Microsoft Teams permitiu que as pessoas permanecessem conectadas, organizadas e colaborassem remotamente. A Microsoft e os pesquisadores de segurança em todo o planeta continuam fazendo parceria para ajudar a proteger os clientes e as tecnologias que usamos para colaboração remota", diz o comunicado sobre o programa de recompensas.
      O programa inclui 5 prêmios baseados em cenário para vulnerabilidades que têm o maior impacto potencial na privacidade e segurança do cliente. As recompensas para esses cenários variam entre US$ 6 mil a US$ 30 mil.
      Além disso, serão oferecidas recompensas por outros relatórios de vulnerabilidade válidos para o cliente de desktop do Teams que não se qualifica para os prêmios baseados em cenário. As recompensas para esses relatórios variam de US$ 500 a US$ 15 mil.
      Relatórios válidos para pesquisas do Microsoft Teams também são elegíveis para um multiplicador de bônus 2x no Programa de Reconhecimento de Pesquisador. Os pontos ganhos contribuem para uma qualificação na lista anual de Pesquisadores de Segurança Mais Valiosos do Microsoft Security Response Center.
    • Um novo vetor de infecção do malware Purple Fox coloca sistemas Windows voltados para a Internet em risco de ataques de força bruta. A Guardicore Labs emitiu comunicado informando que a campanha ativa de malware que visa máquinas Windows até então utilizada kits de exploração e e-mails de phishing para seus ataques. Agora, o novo vetor de infecção do Purple Fox tem como alvo máquinas Windows voltadas para a Internet, que estão sendo violadas por meio de ataques de força bruta de senha.
      A Guardicore Labs também identificou uma vasta rede de servidores comprometidos hospedando seu dropper e payloads, aparentando ser servidores Microsoft IIS 7.5. Além disso, o malware Purple Fox inclui um rootkit que permite aos agentes da ameaça oculta-lo na máquina, dificultando a sua detecção e a remoção. 
      O Purple Fox foi descoberto em março de 2018, sendo classificado como um kit de exploração voltado para computadores com Internet Explorer e Windows com escalonamento de privilégios. No entanto, ao longo do final de 2020 e início de 2021, a Guardicore Global Sensors Network (GGSN) detectou a nova técnica de propagação por meio de varredura indiscriminada de portas e exploração de serviços SMB expostos com senhas fracas e hashes.
      Em maio de 2020, houve uma quantidade significativa de atividades maliciosas, e o número de infecções observados pela Guardicore aumentou cerca de 600%, atingindo um total de 90 mil ataques.
      Eles relatam que a funcionalidade do Purple Fox não mudou muito após a exploração, mas sim os seus métodos de propagação e distribuição, com um comportamento semelhante a um worm. A Guardicore Labs dá mais detalhes sobre a análise realizada sobre os ataques do Purple Fox.
    • Mais uma empresa da área de tecnologia foi vítima de um ataque de ransomware. A Stratus Technologies informou que sofreu o incidente no dia 17 de março. "Ao detectar atividades suspeitas, colocamos vários sistemas offline para isolar o problema e iniciamos nosso plano de continuidade de negócios", diz comunicado da companhia. 
      A empresa informa ainda que as autoridades policiais federais foram notificadas sobre o ataque, e especialistas no assunto recrutados para avaliar a natureza e o escopo do incidente. "Como medida de precaução, colocamos offline o Active Service Network (ASN) e o Stratus Service Portal. Com relação ao ASN, entramos em contato com nossos clientes e parceiros para fornecer mais suporte", diz o comunicado assinado por Dave Laurello, Presidente e CEO da Stratus Technologies.
      Os produtos Stratus são comumente usados por bancos, provedores de telecomunicações, call centers de emergência e serviços de saúde. Seu principal foco é a produção de servidores e software de computadores tolerantes a falhas.
    • A Shell foi impactada por um incidente de segurança de dados envolvendo o File Transfer Appliance da Accellion, empresa de soluções em nuvem. Segundo a companhia de energia, o dispositivo é utilizado para transferir com segurança grandes arquivos de dados. "Ao saber do incidente, a Shell abordou as vulnerabilidades com seu provedor de serviços e equipe de segurança cibernética e iniciou uma investigação para entender melhor a natureza e a extensão do incidente", diz comunicado da empresa.
      Não há evidências de qualquer impacto nos principais sistemas de TI da Shell, segundo o comunicado. "A investigação em andamento mostrou que uma parte não autorizada obteve acesso a vários arquivos durante um período de tempo limitado", diz a Shell, informando que alguns arquivos continham dados pessoais e outros incluíam dados de empresas do grupo e alguns de seus acionistas. 
      A Shell diz ainda que está em contato com os indivíduos afetados e partes interessadas, trabalhando para tratar de possíveis riscos. "Também entramos em contato com reguladores e autoridades relevantes e continuaremos a fazê-lo à medida que a investigação continuar", continua o comunicado.
      O BleepingComputer divulgou que uma declaração conjunta publicada pela Accellion e pela Mandiant no mês passado liga os ataques ao grupo de crimes cibernéticos FIN11. A gangue do ransomware Clop também tem usado uma vulnerabilidade 0-day do Accellion FTA, divulgada em meados de dezembro de 2020, para comprometer e roubar dados de várias empresas. A Accellion disse ainda que 300 clientes estavam usando o software FTA antigo, de 20 anos.
      Além da Shell, outras organizações podem ter sido afetadas por ataques contra o Accellion FTA. O BleepingComputer relacionou estes ataques com o incidente ocorrido com a empresa de segurança Qualys, além de incidentes envolvendo a rede de supermercados Kroger, o Banco da Reserva da Nova Zelândia, a Comissão de Valores Mobiliários e Investimentos da Austrália (ASIC), entre outros.
    • Um malware de roubo de contas tem como alvo os usuários dos principais provedores de serviços, incluindo Google, Facebook, Amazon e Apple. Segundo o BleepingComputer, o malware, apelidado de CopperStealer por pesquisadores da Proofpoint, é um ladrão de senhas e cookies desenvolvido ativamente com um recurso de download que permite que seus operadores forneçam cargas maliciosas adicionais aos dispositivos infectados. O CopperStealer funciona coletando senhas salvas nos navegadores Google Chrome, Edge, Firefox, Yandex e Opera.
      Contas comprometidas foram utilizadas para executar anúncios maliciosos e entregar malware adicional em campanhas subsequentes de malvertising – uso de publicidade online para espalhar malware. "Enquanto analisamos uma amostra [do malware] que tem como alvo empresas e anunciantes do Facebook e Instagram, também identificamos versões adicionais que têm como alvo outros provedores de serviços importantes, incluindo Apple, Amazon, Bing, Google, PayPal, Tumblr e Twitter", disse a Proofpoint em relatório.
      Além de roubar as senhas, o malware recupera o token de acesso do usuário do Facebook das vítimas usando cookies roubados para coletar contexto adicional, incluindo a lista de amigos, informações de contas de anúncios e uma lista de páginas do Facebook. O CopperStealer está sendo distribuído através de sites falsos de software crack e plataformas de distribuição de malware.
      Para evitar os possíveis ataques, o BleepingComputer aconselha usuários a ativarem a autenticação de dois fatores sempre que possível como uma camada adicional de proteção contra tais tentativas.
       
    • Uma falha no recurso de compartilhamento de tela do Zoom pode mostrar partes das telas que os apresentadores não pretendiam compartilhar. A falha de segurança CVE-2021-28133 foi encontrada na versão 5.5.4 da plataforma, segundo o ThreatPost, e pode vazar inadvertidamente os dados dos usuários para outros participantes da reunião. Segundo a publicação, por ser uma execução rápida, um ataque potencial é mais difícil de ser executado. 
      O compartilhamento de tela da plataforma de videoconferência Zoom permite que os usuários compartilhem o conteúdo de suas telas com outros participantes em uma reunião optando por compartilhar sua tela inteira, uma ou mais janelas de aplicativos ou apenas uma área selecionada de sua tela. No entanto, "sob certas condições", se um apresentador do Zoom escolher compartilhar uma janela do aplicativo, o recurso de compartilhamento de tela transmite brevemente o conteúdo de outras janelas do aplicativo para os participantes da reunião. 
      O problema ocorre quando um usuário compartilha uma janela dividida do aplicativo (como slides de apresentação em um navegador da Internet) e, ao abrir outros aplicativos em segundo plano, que deveria estar modo não compartilhado, o conteúdo da janela pode ser percebido por um “breve momento” pelos participantes da reunião.
      O risco acontece principalmente se a reunião estiver sendo gravada e a parte visualizada apresentar dados sensíveis. O ThreatPost informa que seria difícil explorar o bug intencionalmente, pois o invasor precisaria ser um participante de uma reunião em que dados vazassem inadvertidamente, portanto a falha é considerada de gravidade média na escala CVSS.
      A vulnerabilidade foi relatada por pesquisadores da SySS ao Zoom em 2 de dezembro. O ThreatPost afirma que entrou em contato com o Zoom para mais comentários sobre a falha e se ela será corrigida no próximo lançamento, programado para o dia 22 de março. “O Zoom leva todos os relatórios de vulnerabilidades de segurança a sério. Estamos cientes desse problema e estamos trabalhando para resolvê-lo”, disse um porta-voz da empresa ao ThreatPost.
×
×
  • Criar Novo...