Falha - Stagefright RCE no Android (CVE-2015-1538)

Amigos leitores, os que acompanham o mundo já devem estar cientes dessa falha que foi divulgada no mês passado.

Aviso Importante

O material a seguir tem a pretensão de ser puramente educacional e fornecer aos usuários comuns uma forma de estar mais protegido.

Lembre-se que "invadir sistemas sem o consentimento/autorização do proprietário é crime" e que crimes cibernéticos são enquadrados pela Lei "Carolina Diekmann" (que pode ser lida aqui).

Stagefright

Ela possui três pontos críticos (que formam um "combo"): é relativamente simples de ser explorada; Afeta todas as versões do Android; Pode ser explorada à distância.

O ataque funciona da seguinte forma: O atacante monta um arquivo mal formado de mídia, com o exploit embutido. Pronto, agora é só enviar para as vítimas (pode ser por MMS, site isca, engenharia social, correntes (hoax ou não), entre outras), assim que a execução da mídia ocorrer o exploit é executado em segundo plano.

OBS: Os arquivos no formato MP4 e 3GP já foram confirmados como vetores.

Caso a exploração seja completada, o aparelho pode ser comandado à distância pelo atacante por meio de códigos específicos, podendo obter acesso total (incluindo à câmera e microfones) sem o menor consentimento do usuário.

Confirmando a falha

É muito simples saber se seu aparelho está vulnerável, vá a Play Store e instale o seguinte APP:

Link: "Detector" na Play Store

Após isso abra-o e na tela inicial clique em "Fazer Análise" ou "Testar".

Pronto aguarde o teste (demorou menos de 5 minutos num Moto X1 com o Lolipop 5.1) e então veja a mensagem final.

As falhas testadas são:

CVE-2015-3876
CVE-2015-6602
CVE-2015-3864
CVE-2015-3828
CVE-2015-3824
CVE-2015-3829
CVE-2015-3827
CVE-2015-1538

Como se prevenir

-> Atualizações

Muitas fabricantes já atualizaram seus aparelhos para corrigir a falha, logo ir nas configurações e buscar por uma atualização de software pode ser talvez a melhor opção.

-> Faça você mesmo

Caso não ainda não tenham ocorrido atualizações do seu aparelho, tente os passos à seguir:

*Simples

- Desative o download automático de MMS;
- Desative o APP Hangouts (caso possua);
- Desative o download automático de mídias de outros APPS que julgar necessário (Whatsapp, Telegram, Viber, etc);

*Avançado

OBS: Tenha certeza que sabe o que está fazendo.

- Instale a CyanogenMod no aparelho;
- Utilize um IPS Móvel (como esse aqui) que pode custar dinheiro e é mais recomendado para usuários empresariais;

Referência (em inglês): http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1538

Download do Exploit: Clique Aqui (cuidado com o manuseio do arquivo, certamente seu anti-vírus o detectará como infectado).

Página oficial da CyanogenMod (parcialmente traduzida do inglês):
https://wiki.cyanogenmod.org/w/About/pt-br (original: clique aqui)

"Conhecimento não é crime, crime é o que fazem com ele"

Read More

Book Review: Ex-Agente abre a caixa preta da ABIN

Sinopse

Os Serviços de Inteligência brasileiros sempre careceram de transparência - não sobre suas informações - muitas vezes distorcidas e mal utilizadas - mas acerca de seu funcionamento, estrutura e, principalmente, do modus operandi adotado pelos governantes que os tutelam. A obra do tenente-coronel André Soares, ex-analista de contrainteligência da ABIN, em depoimento ao jornalista Cláudio Tognolli, vem lançar essa luz tão necessária sobre o tema. O livro traz a público o que a sociedade tem direito de saber há muito - como funciona nossa arapongagem oficial, sobretudo quando o Brasil mais precisa da inteligência para enfrentar as demandas dos dias atuais. Isso se dá, sobretudo no que diz respeito às questões de segurança, tecnologia, disputas mercadológicas, descobertas científicas e também nas ações anticorrupção. Conforme destaca, no prefácio, o advogado Romeu Tuma Junior, ex-secretário nacional de Justiça, 'produzir conhecimento e tratar a informação é um trabalho que requer especialização, técnica e eficiência. Criar sistemas que integram os órgãos de inteligência não pode ser algo apenas formal - há que ser conceitual. Trata-se de uma Política de Estado, o que nosso País definitivamente não tem'. O livro é o relato de um brasileiro que quer ver o país melhor e sem que o nosso Estado de Direito (construído a tão duras penas), continue sendo impedido por uma antologia de desmandos e malversações, contaminados com milhões em verbas secretas destinadas a fins inconfessáveis. André Soares, enfim, só tem um objetivo - um Brasil melhor, com instituições à altura da democracia plena, tão sonhada por nós. Inserido, como um vocacionado profissional, nesse caótico cenário brasileiro, o autor vem denunciando, há anos, a criminalidade organizada que impera nos serviços de inteligência no Brasil. E é por esta razão que, também há muito tempo, é perseguido. Perseguido e severamente ameaçado, inclusive de morte. Tudo pela criminosa 'comunidade de inteligência', no comando da ABIN e na cúpula do Sistema Brasileiro de Inteligência (SISBIN). Eles consideram esta obra como um 'livro proibido'.

Review

Primeiramente tenho que dizer que não é um livro muito divulgado. Não sei se é por ser relativamente novo ou por realmente não ter a devida atenção que merece. Fui ficar sabendo da existência do livro através de uma publicação em um grupo do Facebook sobre o tema, justamente do próprio Tenente-Coronel André Soares (acredito que não se trate de um perfil fake).

De cara o livro já me ganhou, sempre tive o interesse de trabalhar em um órgão de inteligência e segurança nacional, mais voltado para a parte cyber do negócio (diz a lenda que o Brasil tem times de cyber defesa...), depois de ler o livro, talvez não tenha toda essa vontade, pelo menos em agências do Brasil.

O livro expõe o que muitos de nós já tínhamos ideia: A ABIN e o Sistema de Inteligência talvez não sejam tão inteligentes como supostamente deveriam ser.

Para não dar muito spoiler do livro, vou comentar alguns detalhes que acho interessante e que sem dúvida, se ainda não foi o suficiente até aqui, vai convencer para comprar o livro e ler.

O livro conta com diversos relatos sobre operações, detalhes e documentos de processos, as principais falhas nos sistemas de inteligência identificadas pelo próprio André Soares em seu tempo como agente. Outro ponto interessante do livro é a abordagem, que trata desde conceitos básicos e processo de obtenção de informação até casos extremamente delicados como grandes operações, agentes estrangeiros no país e até mesmo terrorismo internacional.

O ponto focal do livro é a grande incompetência dos serviços de inteligência brasileira, como o autor mesmo se refere, a arapongagem nacional, está tão perdida em conflitos e corrupção interna que não tem tempo nem recursos para tratar de assuntos externos, e estes assuntos externos correspondem a inteligência, segurança nacional, contrainteligência, contraterrorismo e demais assuntos do gênero.

Agora, a parte final vale a pena comprar/ler este livro? Mas é claro que sim! De fato é muito importante que conheçamos com um pouco mais de detalhe este órgão que tem como função a segurança nacional e boa parte das decisões estratégicas do país. Mas isso não é tudo, se fosse uma organização extremamente secreta e sigilosa, mas que funcionasse de forma exemplar, nosso problema estaria resolvido aí. Por mais que seja secreta é legal matar a curiosidade e ter a sensação de que estamos seguros. Mas o problema é que a ABIN como é descrita pelo Tenente-Coronel André Soares está profundamente corrompida pela corrupção o que só piora nossa situação. Como já comentado o livro vale muito a compra, leia, descubra em detalhes as deficiências desta organização e tire suas próprias conclusões.

Desta vez não vou deixar o link de nenhuma editora ou Amazon, o link de referência para compra desta vez vai para a Livraria Cultura, que no momento que escrevo este post está com promoção neste livro. O livro custa normalmente R$ 49,90, mas no momento a Cultura está vendendo por R$ 38,90, um preço mais que justo por um livro destes.

E era isso! Eu fico por aqui, conhecendo um pouco mais da agência brasileira de inteligência e um pouco mais paranoico!

#Culturamepatrocine :D

Read More

Vulnerabilidade - Ubuntu execução de shell local com acesso root (CVE 2015-1328)

Amigos, no dia de ontem foi divulgada uma vulnerabilidade que afeta o Ubuntu. Ela se trata de um exploit escrito em C, executado localmente que permite uma execução, por meio do serviço overlayfs do sistema, de um terminal/console com privilégios root (super usuário) sem a necessidade de senha e afeta 22 pacotes do sistema base e do kernel.

Resumo

Sistemas Afetados: Debian, Ubuntu

Versões Afetadas: Debian 7/8, Ubuntu 12.04-15.10, Kernel Linux (todas até 3.19.0)

Lista de pacotes base afetados:

linux
linux-armadaxp
linux-ec2
linux-flo
linux-fsl-imx51
linux-goldfish
linux-lts-backport-maverick
linux-lts-backport-natty
linux-lts-quantal
linux-lts-rating
linux-lts-saucy
linux-lts-trusty
linux-lts-utopic
linux-lts-vivid
linux-mako
linux-manta
linux-mvl-dove
linux-ti-omap4

Solução

Atualização imediata do sistema após a liberação das atualizações. Os usuários do Debian (Testing) já podem atualizar seus sistemas pois a atualização já foi liberada.

Referência

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1328

Estejam atentos à nossa página e grupo no Facebook pois estaremos acompanhando as atualizações e postaremos por lá. Boa noite.

Read More

Falha - Bypass permite upload no WordPress

Breve Descrição

Por meio de um plugin de formulário de contato no WordPress, é possível que ocorra uma injeção de código para que o upload de uma "shell" ocorra com privilégios de administração e possa comprometer todo o sistema hospedado no servidor.

Resumo

Sistema afetado: WordPress

Módulo afetado: N-Media Website Contact Form

Versões afetadas: WP (todas), Módulo (1.3.4)

Solução

Até que seja lançada uma nova versão atualizada e corrigida, desativar o referido plugin no site.

Para remover seu site do motor de buscas, se possível, realoque o plugin em outro lugar no site, pois assim a "dork" não o indexará.

Exploração

De acordo com a Lei "Carolina Diekman" (12.737/12) invadir sistemas sem a devida autorização é crime. Use por sua conta e risco.


1- Baixe o programa do link abaixo:

WP-Exploit-Bypass_Form.sh

2- E execute-o. Quando solicitado, insira o local onde se encontra a sua shell (em seu computador) e depois a URL do alvo.

OBS.: É possivel realizar o upload de qualquer arquivo, quando for solicitado pela "shell" coloque o caminho do arquivo a ser "upado".

Para achar sites vulneráveis use a "dork" abaixo no google:

inurl:"/uploads/contact_files/"

3- Caso funcione, o programa exibirá "Job Finished", se não houve uma falha no processo ou o site não é vulnerável.

Referência (em inglês)

https://www.exploit-db.com/exploits/36979/

Obrigado por ler, e volte sempre.

Read More

Falha - PHP SQL Injection (OSVDB-ID 122102)

Falha que afeta sistemas com PHP permite uma injeção SQL no banco de dados.

Resumo

Programas afetados: PHP Collab, XAMPP, Apache, MySQL

Sistemas afetados: Windows

Versões afetadas: Windows (7,Server 2008, Server 2012), PHP (5.x), XAMPP (todas), Apache (todas), MySQL (todas)

Solução

Aguardar uma atualização e/ou desativar o recurso.

Explorando

1- Usando a "dork" abaixo é possível encontrar os sites possivelmente vulneráveis

filetype:php inurl:"/general/login.php?PHPSESSID="

2- Navegue até

http://site.alvo/phpcollab/topics/deletetopics.php?project=

3- Execute uma injeção de SQL ou use o link em um programa para esse fim

"Conhecimento não é crime, crime é o que você faz com ele."

Read More

Falha - RCE e Arbitrary File Upload em módulo do WP

Mais um plugin do WordPress está com problemas de segurança, dessa vez foi o plugin conhecido como "RevSlider", a falha foi descoberta em 2014 mas só agora foi divulgada. Com um exploit para o Metasploit o atacante consegue executar um comando remoto ou realizar um upload no alvo.

Resumo

Sistemas afetados: WordPress

Pluguins afetados: RevSlider

Versões afetadas: WP (3.0.95 ou anteriores), RevSlider (todas)

Solução

Até que uma atualização seja lançada, desativar o referido pluguin.

(Sem garantia de que proteja, somente caso não possa desativá-lo) Atualizar o WordPress para a última versão por meio deste link.

Exploração

Baixe o módulo para Metasploit do link abaixo

RevSlider_Exploit.rb

Execute e siga os passos dentro do Metasploit. Caso não haja erros, o serviço estará completo.

Links Úteis (em inglês)

https://wordpress.org/plugins/patch-for-revolution-slider/

https://whatisgon.wordpress.com/2014/11/30/another-revslider-vulnerability/

"Conhecimento não é crime, crime é o que você faz com ele."

Read More

Tutorial - Explorando (e consertando) falha da página password.cgi em roteadores

No ano passado, veio à tona uma falha que afetava diversos roteadores, era uma coisa simples, mas que provavelmente ninguém havia pensado antes.

Atenção

Antes de qualquer coisa, lembre-se de que testes de penetração e invasão sem autorização são crime de acordo com a Lei "Carolina Diekman" (12.737/2012) e seus autores estão passíveis de reclusão, use o conhecimento com cautela. Recomendo o uso em um ambiente controlado (se possível) ou em sua rede doméstica para fins educacionais somente.

Após tomar conhecimento disso, vamos ao artigo.

Um login normal

Quando se acessa um roteador pela sua interface web, geralmente se faz pelo ip local, algo como:

192.168.1.1

Quando conectados a porta 80 (padrão de comunicação http) o roteador checa as credenciais de login (inexistentes agora obviamente) e redireciona para a página de login, que é algo como (varia de modelo para modelo):

192.168.1.1/login.php

Então o usuário digita suas credenciais e entra no sistema, lindo.

O perigo dentro de casa

Para que seu aparelho possa reconhecer as credenciais, as mesmas precisam estar num banco de dados ou em algum arquivo dentro do router, esse arquivo é o password.cgi (a extensão pode variar de modelo para modelo).

Até aqui nenhum problema, porém e se o arquivo estivesse na raiz do sistema e desprotegido de criptografia ou mesmo qualquer senha? E se ele fosse acessível de qualquer lugar do mundo pela internet? E se os dados de seu hd externo conectado na porta USB do roteador fossem roubados ou um vírus fosse instalado?

Já é de se imaginar o tamanho do problema. Pois bem como isso funciona? Vou falar no próximo tópico.

Finalmente, explorando a falha

Na rede local

Para verificar se seu roteador está vulnerável o teste é simples, abra um navegador e digite o IP de seu aparelho seguido de password.cgi, ficando assim:

192.168.1.1/password.cgi

Recomendo que teste outras extensões de arquivo:

password.txt
password.php
password.html
password.db

E teste também dentro de outras pastas

/cgi-bin/
/data/
/admin/
/login/

Um exemplo de um link de teste "completo" seria:

192.168.1.1/cgi-bin/password.cgi

Pois bem, se em algum teste uma página em branco ou de erro 404 aparecer, o roteador em questão não está vulnerável.

Caso estejam uma página com as duas palavras (usuario:senha) deve aparecer, assim:

admin:123456

Ou ainda:

admin
123456

Nesse caso, salve as credenciais e bom login.

Remotamente

O processo é bem parecido, porém aqui existem diferenças pequenas, uma delas é que será necessário usar o IP externo do roteador; que não haja um sistema de IPS/IDS/Firewall ativo pois o mesmo pode bloquear o acesso e/ou resposta da página a ser testada; e para achar a falha o "código" muda.

Sem mais delongas, vamos lá. Abra o navegador e entre com o IP externo do roteador e o código abaixo:

dnscfg.cgi?dnsPrimary=DNS1&dnsSecondary=DNS2&dnsDynamic=0&dnsRefresh=1

Ficando assim:

200.0.0.0/dnscfg.cgi?dnsPrimary=DNS1&dnsSecondary=DNS2&dnsDynamic=0&dnsRefresh=1

Caso esteja funcionando as credenciais surgirão na tela.

Usando o google

Por meio do código abaixo, pode-se encontrar possíveis falhas em roteadores pelo mundo:

inrul:"dnscfg.cgi?dnsPrimary=DNS1&dnsSecondary=DNS2&dnsDynamic=0&dnsRefresh=1"

O código acima (também conhecido como "dork") é um exemplo básico, use sua imaginação para adicionar mais filtros e achar resultados mais precisos.

Consertando a falha

Um jeito "fácil" de impedir o ataque externo é usando um IPS/IDS/Firewall devidamente configurado de modo a impedir conexões externas no sistema embarcado de seu roteador. Ou então usar as próprias configurações do roteador para impedir a conexão externa, desativando o login remoto.

A melhor saída é atualizar o firmware de seu roteador, porém nem todos os fabricantes liberaram atualizações que corrigissem essa falha, porém não custa verificar na página de suporte do mesmo.

Outro detalhe que às vezes é esquecido, é o de mudar as senhas e logins padrão do seu aparelho e evitar usar como usuário "admin", "administrador", "user" e outras palavras que fazem parte de logins padrão de roteadores, o mesmo serve para senhas, evite "123456", "654321", "senha", "password" e palavras que estão em dicionários pois isso facilita a ação de pessoas mal intencionadas.

Se quiser dar um "up" na sua segurança de rede wireless doméstica confira algumas dicas neste artigo e nesse outro artigo do nosso blog.

Referências

http://blog.inurl.com.br/2015/03/roteadores-vulneraveis-passwordcgi.html


Obrigado por nos visitar e volte sempre!

"Conhecimento não é crime, crime é o que você faz com ele."

Read More

Teoria - Injeção de SQL vs Força Bruta XSS

A pedido do leitor Josemar Simpson, estarei falando nesse post sobre duas técnicas de invasão conhecidas como SQLi e XSS Brute Force.

A maior parte dos grandes sites atuais já possui ferramentas implementadas contra os dois tipos de ataque, porém, páginas "mal programadas" e serviços desatualizados fazem com que ainda seja possível ocorrer esse tipo de invasão.

Conceitos Básicos

A utilização da injeção de SQL consiste em manipular o banco de dados (SQL), na maior parte das vezes por meio de uma URL do próprio site, afim de obter alguma informação privilegiada como credenciais de login.

Já o ataque Cross Site Script (XSS) consiste na utilização de códigos maliciosos que geralmente são injetados em links ou qualquer outra caixa de texto de uma página, na maior parte dos ataques desse tipo, não há uma invasão propriamente dita, mas sim um erro na exibição do site/página afetada, podendo ser um "deface" (desfiguração de uma página), ou um buffer overflow (estouro da capacidade do servidor e consequente queda do site), ou ainda um simples redirecionamento, que pode levar o usuário à uma simples página de "deface" ou em casos mais perigosos em páginas de "phishing".

Programas mais Usados

Os programas mais famosos para a realização do SQLi são o Havij no windows e o SQLMap no linux.

Já no caso do XSS, o XSSBeef no linux, no windows não conheço programa funcional para a automatização desse tipo de ataque.

É claro que existem mais programas disponíveis na web, principalmente para a plataforma linux e também existe a exploração de ambas vulnerabilidades no "modo manual" utilizando-se somente um navegador e os códigos maliciosos.

Afinal, qual a melhor forma?

Para começar a responder essa pergunta, digo somente, "depende".

No caso do SQLi a utilização é mais eficaz em sistemas desatualizados e que possuam um banco de dados rodando a tecnologia SQL/MySQL, pois isso garante um maior sucesso na invasão. Com os programas, é possível também realizar ataques de força bruta em qualquer página que necessite de credenciais.

Do lado do XSS, há a "vantagem" de se poder injetá-lo em qualquer campo de texto disponível em um site e com o poder de um programa a possibilidade um Brute Force faz com que páginas de login ou qualquer uma que necessite de uma credencial possa ser passada mais facilmente.

Caso estejamos falando do "modo manual", ambas as técnicas podem durar o mesmo tempo e considerando que se quer um resultado mais devastador, o SQLi pode fornecer qualquer informação presente no banco de dados do servidor atacado.

Conclusão

Apesar de suas limitações, o SQLi pode ser uma opção bem interessante para obtenção de informações direto do banco de dados de um servidor. Já o XSS pode ser mais abrangente mas pode não ser tão invasivo em alguns casos.

A escolha final cabe ao atacante (devidamente autorizado), pois o emprego de técnicas de invasão dependem de quanto a técnica está dominada e o quanto está conhecida, pois "receitas de bolo" não existem.

Extra

Abaixo um gráfico que mostra os tipos de tecnologias mais afetadas em 2013 pelas duas falhas ao mesmo tempo.

Legenda:

Azul: Aplicações Web Proprietárias - 40%
Alaranjado: Plugins e Módulos para CMS - 30%
Cinza: Pequenos CMS - 25%
Amarelo: CMS mais Usadas - 5%

CMS: Content Management System (Sistema de Gerenciamento de Conteúdo, sigla em inglês).


O artigo completo do site, encontra-se aqui (em inglês).

Agradeço a leitura e te espero no nosso grupo do Facebook.

Read More

Cibercriminosos desviam centenas de dólares de gift-cards do Starbucks

O Starbucks ainda está tendo dores de cabeça com fraudes que envolvem cartões de presente virtuais de seus clientes – com vítimas tendo centenas de dólares roubados. 

Fraudes relacionadas aos gift-cards da rede não são novidade. No entanto, nesta semana vítimas recentes foram destaque em um artigo escrito pelo jornalista Bob Sullivan.

O Starbucks informou que os clientes não serão penalizados por cobranças ou transferências que eles não fizeram. 

Aqueles que estão sob risco são clientes que têm sua conta no PayPal ou ainda cartão de crédito linkadas com o serviço online do Starbucks – que pode ser utilizado para enviar cartões de presente para pessoas com saldos pré-pagos. Os cartões podem armazenar saldo de até US$ 500.

Há registros de que o Starbucks tem sido alvo de cibercriminosos, pelo menos, nos últimos dois anos. 

O cartão em si pode ser utilizado para pagar itens nas lojas, e a conta online pode ser utilizada para enviar a um amigo, por exemplo, um certificado de presente por e-mail. É também uma ferramenta de fidelidade de clientes, com a qual o Starbucks oferece opções gratuitas, recompensas em bebidas e outros descontos. 

Assim como muitos serviços online, a empresa exige um nome de usuário e uma senha para acessá-lo, o que significa que cibercriminosos podem obter tais credenciais para si. 

O que parece é que hackers tiveram acesso a números significativos dessas credenciais, de acordo com um post feito no extinto site Evolution – domínio utilizado para fazer transação de produtos ilegais, semelhante ao Silk Road. 

Uma varredura em mensagens arquivadas mostrou um mercado próprio para cartões da  rede de café. 

Pouco antes do Evolution ser desativado, um vendedor escreveu: "estamos no processo de peneirar milhares e milhares de possíveis logins com saldo para o Starbucks."

E desde que pessoas geralmente utilizam as mesmas senhas e logins para diferentes serviços, hackers tentarão destravar outras contas. 

Uma vez com o controle das contas, os fraudadores podem transferir o saldo para outros cartões do Starbucks. Um anúncio em um fórum bitcoin bem conhecido de setembro do ano passado ofereceu um cartão de presente de US$ 100 por US $ 35 no valor da moeda virtual.

Existem algumas maneiras do Starbucks reforçar a segurança em torno de suas contas. Uma delas é oferecer autenticação de dois fatores, que requer a introdução de um código de acesso urgente junto com as credenciais de login. 

A companhia também poderia descartar a possibilidade de enviar saldos de um cartão para outro, embora, provavelmente, resulte em menos vendas para a empresa. 

Fonte: IDG Now!

Read More

Divulgada nova vulnerabilidade VENOM, que afeta milhões de datacenters ao redor do mundo

Está sendo divulgada nesta semana a existência de uma vulnerabilidade que está sendo comparada ao Heartbleed, pela facilidade em acessá-la e pelo risco que ela traz. Intitulada VENOM, a nova falha do sistema afeta datacenters ao redor do mundo e significa problemas, principalmente, para o ramo corporativo.

VENOM é uma sigla para "Virtualized Environment Neglected Operations Manipulation" (Manipulação de Operações Negligenciadas em Ambiente Virtualizado) e o título já sugere de onde vem o problema: de uma área "negligenciada" do sistema. Hackers explorando a vulnerabilidade miram no controlador de disquete (geralmente ignorado) do datacenter em questão que, recebendo um código específico, pode dar pane e comprometer todo o servidor. O que acontece é que, atualmente, a maioria dos datacenters reúnem diferentes clientes num único servidor, sendo separados por máquinas virtuais, de pequenas empresas a grandes firmas. Usando o VENOM, o hacker se infiltra diretamente no servidor e pode se mover "horizontalmente" nas máquinas virtuais dos diferentes usuários.

O bug, apesar de só estar sendo divulgado agora, data de 2004. A divulgação foi atrasada à espera da disseminação de um patch que funcionasse, o que foi feito nesta semana.Plataformas afetadas incluem a Xen, KVM e o VirtualBox da Oracle. O VMware, Microsoft Hyper-V e Bochs não contêm essa falha.

Resumindo a falha de maneira mais ilustrativa e o porquê dela poder ser pior que o Heartbleed, Jason Geffner, pesquisador da CrowdStrike, quem achou o bug, explica:

"O Heartbleed deixa um adversário olhar pela janela de uma casa e juntar informações baseadas no que ele vê. O VENOM permite à pessoa entrar na casa, e também em toda outra casa na vizinhança."

Fonte: Adrenaline

Patch's De correção já disponíveis:

Projeto XEN, Projeto QEMU e Projeto RedHat.

Para uma visão mais ampla, Leia o Artigo da CowdStrike.

Read More

WordPress corrige falha de segurança que permitia invasão de sites

Uma nova versão do WordPress lançada nesta quinta-feira, 7/5, corrige duas vulnerabilidades críticas XSS (cross-site scripting) que poderiam permitir que invasores comprometessem os sites da plataforma.

Uma das falhas está localizada no pacote de fonte de ícones Genericons que é usado por vários plug-ins e temas populares, incluindo o tema padrão do WordPress chamado TwentyFifteen.

Pesquisadores da empresa de segurança Sucuri alertaram nesta quarta-feira, 6/5, que já tinham registrado ataques contra a vulnerabilidade XSS.

Para explorá-la, os criminosos precisam enganar os usuários para clicar em links criados especialmente. Mas uma vez que fizerem isso, é possível alavancar a falha para roubar cookies de autenticação. Se a vítima for administradora de um site, os criminosos podem assumir o controle dessa página.

A vulnerabilidade pode ser aliviada ao remover o arquivo example.html que é parte do pacote Genericons ou ao fazer o upgrade para o recém-lançado WordPress 4.2.2.

“Todos os temas e plug-ins afetados hospedados no WordPress.org (incluindo o tema padrão Twenty Fifteen) foram atualizados hoje pela equipe de segurança do WordPress para resolver o problema ao remover o arquivo não-essencial”, afirmaram os desenvolvedores do WordPress no anúncio sobre o lançamento.

Uma vez instalado, o WordPress 4.2.2 escaneia o diretório do site atrás do arquivo HTML vulnerável e remove todas as instâncias dele. 

Além disso, a nova versão soluciona uma segunda falha crítica XSS, que segundo os desenvolvedores do WordPress, permitiriam que usuários anônimos comprometessem um site.

Fonte: IDG Now!

Artigo de Referência: Sucuri

Read More

Pesquisadores acham outra falha de segurança em computadores da Lenovo

Três meses se passaram após o caso dos computadores da Lenovo com o adware Superfish a empresa já está envolvida, novamente, com problemas de segurança nos seus produtos. A firma de segurança IOActive encontrou falhas de segurança de "alta-gravidade" nos PCs da Lenovo, que permitem aos hackers instalarem softwares maliciosos sem a permissão do usuário.

A falha foi descoberta em fevereiro, no sistema de updates da Lenovo, que permite aos usuários baixarem drives e softwares no site da empresa. Apesar de ter sido descoberta há alguns meses, a IOActive só divulgou o problema agora para a Lenovo ter tempo de desenvolver um patch para corrigir o problema.

Uma das vulnerabilidades, chamada de CVE-2015-2233, permitia que os hackers remotamente violassem programas oficiais da Lenovo e substituíssem por malwares. Outra falha permitia que usuários não-privilegiados se tornassem administradores e pudessem ter acessoa  todos os programas e serviços do computador. Os problemas estavam presentes na versão 5.6.0.27 do Lenovo System Update.

Junto com a IOActive, a Lenovo desenvolveu um patch para corrigir os problemas, que já foi disponibilizado pelo Lenovo System Update. Caso você não confie no sistema de updates da empresa, o patch pode ser instalado manualmente e os usuários podem fazer o download neste link.

Fonte: Adrenaline

Read More

Cresce número de ataques e malware contra varejo, diz estudo

No cenário da segurança digital, nada é monótono, isso é certo. E proteger as informações corporativas do ataque de cibercriminosos está ficando cada vez mais complexo. “Praticamente toda empresa sabe que os riscos à segurança da informação existem e que eles podem trazer consequências catastróficas para as organizações”, afirma Vladimir Alem, Gerente de Produtos de Segurança da Dell para América Latina. 

Segundo o Relatório Anual de Ameaças, divulgado pela Dell esta semana, o mundo viu em 2014 o crescimento de malware capaz de atacar equipamentos usados em pontos de venda e grandes empresas de varejo e presenciou o aumento do tráfego de códigos maliciosos dentro de sites criptografados (https). Outro indicador preocupante identificado pela companhia é que em 2014 dobrou o número de ataques a sistemas SCADA (para supervisão e aquisição de dados).

O estudo se baseou em pesquisas realizadas, ao longo de 2014, pelo Dell GRID (Global Response Intelligence Defense) e nos dados de tráfego de rede dos equipamentos Dell SonicWALL. A partir das informações, colhidas em mais de 200 países – incluindo o Brasil -, a empresa mapeou os principais riscos à segurança da informação a que as empresas ficaram expostas no último ano, bem como quais as grandes tendências para 2015.

Ao todo, a equipe de pesquisa de ameaças da Dell SonicWALL identificou 13 tipos de malwares em pontos de venda em 2014, contra apenas 3 em 2013. O que reflete em um aumento de 333% no número desse tipo de código malicioso.

“Os ataques crescem em volume e em sofisticação e, pior, afetam companhias em todo o mundo, independentemente do seu porte ou segmento de atuação”, diz Vladimir.

HTTPS comprometido

O uso do protocolo de criptografia para os sites web (o HTTPS) era tido como uma alternativa segura para a navegação e proteção da privacidade dos usuários. Embora sua adoção seja recomendada e positiva, não é mais certeza de proteção, uma vez que segundo o relatório da Dell os cibercriminosos têm identificado maneiras de explorar falhas dentro do HTTPS com o objetivo de ocultar códigos maliciosos.

Na prática, os criminosos virtuais usam a criptografia para trafegar os malwares e, assim, burlar os firewalls tradicionais.O relatório aponta que os ataques de malware que utilizam sites criptografados já começaram a visar ambientes com grande tráfego de usuários.

Dobram ataques a sistemas SCADA

O relatório aponta para um aumento de 100% nos ataques voltados a sistemas SCADA (para supervisão e aquisição de dados), normalmente usados pela indústria para controlar equipamentos a distância e recolher dados sobre o desempenho dos mesmos. O principal ponto para esse tipo de ataque são as vulnerabilidades geradas por sobrecarga.

Na maior parte dos casos, os ataques tendem a ter uma natureza política, com o intuito de afetar a capacidade de operação de usinas de energia, fábricas e refinarias. Os especialistas em segurança da Dell apontam que esse tipo de ataque tende a crescer nos próximos anos. “Ainda não vemos regionalmente muitas notícias sobre esse tema, mas, as empresas precisam ficar atentas para esses dados – o número de ataques dobrou em apenas um ano.”, analisa Vladimir.

Na lista de previsões para 2015, o Relatório de Ameaças da Dell identifica um crescimento da adoção de autenticação de dois fatores pelas empresas e o risco dos cibercriminosos investirem num incremento nos ataques contra esse tipo de tecnologia.

No terreno das plataformas, o Android continuará a ser um alvo de cibercriminosos, com aumento de malwares e técnicas mais sofisticadas de ataques; e as tecnologias vestíveis devem começar a ver malwares voltados especialmente para elas, assim como roteadores domésticos e equipamentos conectados, como sistemas de vigilância. Da mesma forma, moedas digitais, incluindo Bitcoin continuarão a ser alvos de ataques.

Fonte: IDGNow!

Read More

Segurança: nova falha permite sequestro de aplicativos Android

A Palo Alto Networks descobriu uma vulnerabilidade do sistema operacional Google Android que permite a invasores “sequestrar” a instalação de um aplicativo aparentemente seguro – Android Package File (APK) – em dispositivos móveis, substituindo por um aplicativo de escolha do hacker, sem o conhecimento do usuário.

Estima-se que explorações com o malware batizado Highjacking afete 49,5% dos usuários atuais de Android, permitindo a invasores distribuir a ameaça, comprometendo os dispositivos e roubando informações pessoais.

A vulnerabilidade explora uma falha no serviço do sistema de pacote de instalação do Android, possibilitando que os hackers façam invasões silenciosas e adquiram permissões ilimitadas, comprometendo os aparelhos.

O malware possibilita que invasores enganem os usuários a partir de um conjunto de permissões, enquanto potencialmente ganham acesso completo aos serviços e dados dos usuários, inclusive informações pessoais e senhas. Enquanto os usuários acreditam estar instalando um app de lanterna, ou um jogo, com um conjunto de permissões bem-definido, eles estão na verdade rodando uma ameaça.

“Esta descoberta significa que os usuários que pensam que estão acessando aplicativos legítimos com permissões aprovadas podem estar expostos a ladrões de dados e a malwares. A Palo Alto Networks alerta para que os usuários fiquem atentos quanto ao aplicativo de diagnóstico fornecido pela empresa e chequem seus dispositivos.

Para sanar a ameaça, a fornecedora disponibilizou um aplicativo para ajudar a diagnosticar dispositivos afetados. “Implante dispositivos móveis com Android 4.3_r0.9 e posteriores, mas mantenha em mente que mesmo os aparelhos de Android 4.3 são vulneráveis”, avisa a Palo Alto.

Além disso, a companhia aconselha que se instale aplicativos apenas da loja virtual Google Play nos aparelhos vulneráveis; estes arquivos são baixados no espaço protegido, que não podem ser substituídos por um invasor.

Outra recomendação é para não fornecer aplicativos permissão para acessar o “logcat”. O “logcat” é um log do sistema, que pode ser usado para simplificar e automatizar uma exploração. O Android 4.1 e outras versões de proibições padrões de aplicativos de acesso ao logcat do sistema ou de outros apps instalados. Porém, um aplicativo instalado pode conseguir acesso a outros aplicativos logcat rodados nos aparelhos.

Fonte: IDG Now!

Read More

Um outro olhar sobre a falha FREAK

E se a chave da sua casa fosse partilhada com 28 mil outros lares?

Isto é essencialmente o que os investigadores da Royal Holloway da Universidade de Londres descobriram na semana passada, durante um “scanning” na Internet para ver quantos servidores e dispositivos ainda são vulneráveis à falha de segurança conhecida como FREAK.

Revelada a 3 de Março, a falha permite que um atacante tenha acesso às informações que trafegam por uma conexão protegida pelo protocolo SSL/TLS (Secure Sockets Layer/Transport Layer Security). Esta foi a última de uma série de falhas encontradas ao longo do último ano no amplamente utilizado software open source.

Mais de um quarto dos hosts estavam vulneráveis à FREAK. Na semana passada, investigadores da Royal Holloway decidiram ver que percentagem ainda não tinha resolvido o problema.

Kenneth G. Paterson, professor do Information Security Group da Royal Holloway e co-autor do trabalho de pesquisa, caracteriza-o como um pequeno projeto que produziu resultados surpreendentes.

Os pesquisadores analisaram todo o espaço de endereços IPv4 usando o ZMap, olhando para os “hosts” que permitiriam um ataque FREAK, o que envolve forçar um “host” a aceitar uma chave criptográfica RSA de 512 bits para garantir uma conexão.

As chaves criptográficas com esse tamanho foram consideradas inseguras há mais de 15 anos. Na década de 1990, o governo dos EUA restringiu a exportação de produtos com chaves maiores e mais fortes. Mesmo após essa exigência ter sido abandonada, muitos produtos ainda suportam a versão mais fraca.

O resultado da pesquis? 9,7% dos cerca de 23 milhões de “hosts”, ou cerca de 2,2 milhões, ainda estão aceitando chaves de 512 bits – um número surpreendente, considerando a gravidade da falha FREAK e mais de duas semanas após o problema ter sido divulgado.

Mas os investigadores também fizeram uma outra descoberta surpreendente: muitos “hosts” – que podem ser servidores ou outros dispositivos ligados à Internet – compartilham a mesma chave pública de 512 bits, disse Paterson.

Num exemplo notório, 28.394 routers com um módulo SSL VPN usam todos a mesma chave pública RSA de 512 bits.

Isto nunca deveria ter acontecido.

Muito provavelmente, um fabricante gerou uma chave e depois instalou-a em muitos e diversos dispositivos. “É preguiça por parte do fabricante”, diz Paterson em entrevista ao IDG News Service. “É um pecado cardinal. Um bom exemplo de como não se deve usar a criptografia”.

Fonte: CIO

Read More

Conheça a FREAK, a mais nova falha séria de criptografia na web

Especialistas em segurança estão alertando os usuários uma falha séria que aparentemente passou anos sem ser detectada e pode enfraquecer as conexões criptografadas entre computadores e sites, potencialmente debilitar a segurança na web.

A vulnerabilidade, que foi apelidada de FREAK (de “Factoring attack on RSA-EXPORT Keys”), afeta o protocolo amplamente usado SSL (Secure Sockets Layer) e seu sucessor TLS (Transport Layer Security), e pode permitir que um invasor intercepte tráfego supostamente criptografado à medida que ele se move entre clientes e servidores.

A falha foi descoberta por Karthikeyan Bhargavan, do INRIA, um instituto francês de pesquisas em ciência e tecnologia, e pela Microsoft Research. Um documento técnico descrevendo o FREAK deve ser apresentado na conferência de Segurança e Privacidade, da IEEE, em San Jose, na Califórnia.

A falha afeta muitos sites conhecidos, assim como programas, incluindo o navegador Safari, da Apple, e o sistema Android, Google, segundo os especialistas em segurança. Os aplicativos que usam uma versão do OpenSSL anterior a 1.0.1k também estão vulneráveis ao bug.

Um porta-voz da Apple anunciou nesta terça-feira, 3/3, que atualizações de sistema para o iOS e o OS X serão lançadas na próxima semana. O Google afirmou que distribuiu um patch para seus parceiros que protegerá a conexão do Android com sites vulneráveis.

O problema tem origem nas restrições de exportação impostas pelo governo dos EUA no começo dos anos 1990, que proibiam os fabricantes de software de enviar produtos com uma forte criptografia para fora do país, afirmou o professor de ciência da computação da Universidade de Princeton, Ed Felten.

Isso significa que algumas empresas enviavam uma versão dos seus produtos com chaves de criptografia mais fracas para uso em outros países. Quando a lei foi alterada e tornou-se legal exportar a criptografia mais forte, “o recurso do modo de exportação não foi removido do protocolo porque alguns softwares ainda dependiam disso”, disse Felten.

A vulnerabilidade que ficou conhecida agora essencialmente permite aos invasores fazer downgrade da segurança das conexões da criptografia forte para aquela mais fraca, “para exportação”.

Servidores e aparelhos que usam o OpenSSL, um programa de criptografia open-source, estão vulneráveis, incluindo muitos aparelhos do Google e Apple, sistemas embutidos e outros produtos, segundo um aviso. Servidores ou clientes que aceitam os pacotes RSA_EXPORT também estão em risco.

É possível fazer o downgrade das chaves ao realizar um ataque man-in-the-middle que interfere com o processo de configuração de uma conexão criptografada. Apesar de existirem defesas no protocolo SSL/TLS para evitar isso, elas podem ser burladas. A chave mais fraca de 512-bit pode ser revelada usando os computadores poderosos de hoje em dia, e o tráfego de dados pode então ser “descriptografado”.

Os protocolos atuais usam chaves de criptografia maiores, e o padrão é RSA 2048-bit. As chaves de 512-bit eram consideradas seguras há 20 anos, mas um invasor poderia recuperar a chave que precisava muito facilmente hoje em dia usando um serviço de nuvem público.

“Nos anos 1990, isso teria exigido uma computação pesada, mas hoje leva cerca de sete horas no Amazon EC2 e custa cerca de 100 dólares”, afirmou Felten.

Por tudo isso, as empresas estão se mexendo para resolver o problema o mais rápido possível.

Fonte: IDG Now!

Read More

Hackers teriam roubado U$ 1 bilhão de bancos, revela Kaspersky

A companhia de segurança Kaspersky Lab apontou que um grupo hacker roubou aproximadamente U$1 bilhão de bancos dos Estados Unidos e demais países. Segundo a publicação, entregue primeiramente ao The New York Times e divulgado ao público nesta segunda-feira (16), o grupo era composto de membros da Russia, China e Europa. Os hackers estavam ativos desde 2013 e invadiram mais de 100 bancos em 30 países.

Segundo a Kaspersky, os hackers utilizaram malwares que se infiltraram nos computadores dos bancos, buscando por fraquezas em suas operações diárias. Após meses de monitoria, os cibercriminosos utilizaram uma tática antiga: se passar por funcionários do banco utilizando credenciais falsas para transferir milhões de dólares para suas contas pessoais. Eles também programaram caixas eletrônicos para emitir dinheiro em momentos específicos. 

"A tática dos hackers envolvia limitar seus roubos para um máximo de U$10 milhões antes de atacar outro banco, uma estratégia que, em parte, dificultou a detecção da fraude anterior," disse o pesquisador de segurança Vicente Diaz em entrevista ao The Associated Press. "Esse tipo de ataque é incomum porque é direcionado ao banco em si ao invés de seus clientes e suas respectivas informações de contas. O objetivo parece ser muito mais voltado ao ganho financeiro do que espionagem."

A publicação revela que a maior parte dos alvos está localizada na Russia, nos EUA, Alemanha, China e Ucrânia, embora os ataques possam estar se expandindo pela Ásia, Oriente Médio, Africa e Europa. 

A Kaspersky não identificou os bancos e ainda está trabalhando com agências de segurança para investigar os ataques, dos quais a empresa afirma que continuam a ocorrer, e nenhum banco até o momento está ciente disso. Até o momento, a empresa de segurança virtual viu evidências de U$300 milhões roubados, embora acredite que o total seja, pelo menos, três vezes maior.

Segundo o Centro de Serviços de Compartilhamento e Análise de Informações Financeiras,uma entidade sem fins lucrativos que alerta bancos sobre atividades hacker, disse em uma publicação que seus membros receberam um alerta sobre as brechas em janeiro.

"Não podemos comentar sobre as ações individuais tomadas por nossos membros, mas ao todo acreditamos que nossa equipe está tomando ações apropriadas para prevenir e detectar esse tipo de ataque e minimizar quaisquer efeitos em seus clientes. A informação de que bancos russos foram as principais vítimas dos ataques pode ser uma mudança significativa na estratégia de localizar os alvos cibercriminosos."
Publicação do Centro de Serviços de Compartilhamento e Análise de Informações Financeiras

Fonte: Adrenaline

Read More

Vulnerabilidade crítica GHOST afeta a maioria dos sistemas Linux

Uma vulnerabilidade crítica encontrada na biblioteca GNU C (glibc), usada em praticamente qualquer distribuição Linux, o que permite a atacantes executar código malicioso em servidores e ganhar controle remotamente de máquinas Linux.

A vulnerabilidade, conhecida como "GHOST" e recebeu o código CVE-2015-0235, foi descoberta e reportada por pesquisadores da Qualys.

Tão crítica quanto Heartbleed e Shellshock

GHOST é considerada crítica pelo fato de hackers poderem facilmente explorar e ganhar acesso completo ao sistema sem a necessidade de conhecimento das credenciais.

Esta falha representa um grande risco, similar a Heartbleed, Shellshock e Poodle, descobertas ano passado.

Versões afetadas

Essa vulnerabilidade afeta as versões até a glibc-2.2, liberada em 2000. Mas grandes distribuições como Red Hat, Debian e Ubuntu já tem a algumas semanas um patch para correção.

Fonte: The Hacker News

Read More

John McAfee hackeia smartphone em programa de TV

(Reprodução - Info)

John McAfee, milionário e fundador da empresa de antivírus McAfee, hackeou o smartphone de um apresentador da emissora americana Fox.

McAfee foi convidado para o programa Varney & Company desta semana, na Fox Business, para demonstrar como teria ocorrido a invasão aos servidores da Sony Pictures, no final do ano passado.

Para isso, ele hackeou o smartphone do apresentador Stuart Varney, acessou a lista de contatos e fez uma ligação que parecia vir de um telefone da Fox News. Segundo McAfee, os invasores teriam imitado agentes do FBI e solicitado nomes de usuários e senhas de todos os funcionários que conseguiram.

Essa história é muito diferente do que o FBI informou ao Congresso americano. Na versão oficial, o ataque à Sony Pictures foi viabilizado por uma das maiores brechas de segurança de todos os tempos.

Veja a seguir John McAfee hackeando o smartphone de Stuart Varney.

Fonte: INFO

Read More

Google expõe publicamente falha de segurança no Windows 8.1

O Google tomou uma atitude polêmica que pode atrapalhar ainda mais as relações com a Microsoft. A empresa divulgou publicamente uma falha no Windows 8.1 encontrada graças ao Project Zero, iniciativa do gigante de buscas que se propõe a encontrar vulnerabilidades no software de outras companhias. 

A falha, que permite que usuários ganhassem privilégios de administrador sem permissão, foi revelada de forma privada à Microsoft há 90 dias, afirma o Google. A empresa considera este o prazo suficiente para que qualquer membro de indústria corrija o que está errado, e que é um período de tempo razoável para executar os processos de gerenciamento de vulnerabilidades. 

No entanto, o assunto é sempre polêmico, já que, dependendo da falha, ao expô-la publicamente, é possível deixar milhões de usuários vulneráveis. Ao mesmo tempo, abrindo a falha a qualquer um, os responsáveis são obrigados a agir de forma mais rápida. Fica a dúvida: 90 dias são o suficiente? O Google acha que sim. 

O caso parece razoavelmente inofensivo, já que segundo a Microsoft, para que alguém possa explorar o bug, é necessário ter credenciais válidas para o login no computador. Ou seja: dificilmente é algo que afete o usuário doméstico, mas pode ser um problema em empresas. 

A Microsoft diz que a solução já está a caminho, no entanto, apesar da demora. Agora que a falha se tornou pública, a empresa precisa se apressar para liberar a atualização que solucione o problema.

Fonte 

Read More