Bússola — Edição #4
CyberTrends: Aumento dos ataques aos serviços de Remote Desktop Protocol. Microsoft Sway na mira dos cibercriminosos.
Vuln0-Days: Correções no Oracle Weblogic.
Cyber Laws: suspensão da MP que estabelece o intercambio de dados de usuários de empresas de telecomunicação com o Instituto Brasileiro de Geografia e Estatística (IBGE)
Aumento de ataques em serviços RDP
Com a forte adoção do trabalho remoto (teletrabalho), devido ao atual cenário de pandemia, muitas empresas decidiram tornar público alguns serviços para manter a continuidade dos negócios, porém não o fizeram de forma planejada e segura.
Com base nas informações retiradas do Shodan, um mecanismo de pesquisa mundialmente conhecido que constantemente “varre” a internet em busca de dispositivos conectados, houve um aumento no número de sistemas acessíveis via serviço Remote Desktop Protocol (RDP).
O RDP é um protocolo utilizado no Remote Desktop Services, anteriormente conhecido como Terminal Services, um dos componentes do Microsoft Windows que permite ao usuário o acesso à informação e programas em um computador remoto, através de uma conexão de rede.
Consequentemente, a SANS, líder global em treinamentos e certificações de segurança cibernética, identificou um aumento de 30% de scans em serviços RDP, ou seja, um aumento significativo de varredura buscando esses serviços expostos publicamente na internet.
Comprovando isso, a Kaspersky, empresa russa produtora de softwares de segurança, famosa por seu antivírus, divulgou um aumento considerável na detecção de ataques de brute force contra serviços RDP. Um ataque de força bruta ou brute force, consiste em adivinhar, por tentativa e erro, um nome de usuário e senha e, assim, executar processos e acessar sites, computadores e serviços, em nome desse usuário e com os mesmos privilégios.
Embora os Serviços de Área de Trabalho Remoto (RDS) possam ser uma maneira rápida de habilitar o acesso remoto para os funcionários, há vários desafios de segurança que precisam ser considerados antes de serem utilizados como estratégia de acesso remoto.
Desde 2019, nosso time de DFIR, responsável pela área de forense digital e respostas a incidentes, vem trabalhando em casos envolvendo ransomware, onde além do e-mail, um dos vetores de acesso inicial mais utilizado foi o comprometimento do serviço RDP. Isso segue uma tendência que deve aumentar, principalmente no atual cenário. O Maze Ransoware, no qual falamos na Edição #3 da semana passada, é um exemplo de ransomware que utiliza da técnica de “RDP Brute Force” na tática de acesso inicial.
Recomendamos que o acesso ao servidor das empresas seja realizado por meio de uma camada de segurança adicional, como uma rede privada virtual,VPN, para não ser exposto na internet.
Implemente uma política de senhas e um duplo fator de autenticação e realize constantes auditorias dos registros de acesso remoto. A Microsoft disponibiliza diretrizes de segurança para adoção de área de trabalho remoto.
PerSwaysion
Pesquisadores de segurança da empresa de cibersegurança Group-IB, de Cingapura, descobriram uma campanha de phishing e a chamaram de PerSwaysion, pois esta tem como alvo o serviço Microsoft Sway.
Esta campanha existe, pelo menos, desde agosto de 2019, porém há diversas outras campanhas variantes desta atualmente em curso. O intuito desta campanha é induzir as vítimas a fornecerem suas credenciais de serviços da Microsoft, como o Office 365, SharePoint e OneNote.
O ataque começa com o recebimento de e-mail de um parceiro de negócios cuja conta foi comprometida, contendo um arquivo PDF benigno em anexo. Neste caso não há falsificação do remetente, o e-mail realmente é enviado da conta do parceiro, o que dificulta uma detecção automatizada.
O e-mail é apresentado como uma notificação do compartilhamento de arquivos do Office 365. Para aumentar sua credibilidade, o PDF imita o formato de notificação real do Office 365, listando o nome completo, endereço de e-mail e empresa do remetente.
Ao clicar no “Read Now”, o usuário é direcionado à uma página fake para entrar com suas credenciais
Recomendamos, sempre que possível, a utilização de um segundo fator de autenticação, ou seja, uma contrassenha, conhecida como token, semelhante aos dos serviços de internet banking, por exemplo. No âmbito corporativo, é essencial habilitar o UAL (Enable Unified Audit Log) e sua integração com soluções de SIEM, para gerir eventos e informações de segurança.
Os usuários devem ser orientados para se atentarem às páginas que estão acessando, por exemplo, os domínios oficiais de alguns serviços da Microsoft neste caso são office.com, office365.com, microsoft.com.
O Group-IB criou um site dedicado, no qual as empresas podem verificar se algum de seus e-mails foi comprometido em uma campanha do PerSwaysion: group-ib.com/landing/publicalert.html
Oracle Weblogic
Em abril, a Oracle, empresa multinacional de tecnologia dos Estados Unidos, famosa pelo desenvolvimento e comercialização de banco de dados, disponibilizou um conjunto de patches (correções de falhas) de segurança que corrigiu 405 vulnerabilidades em diversos de seus produtos, assunto que abordamos com mais detalhes na Edição #2.
Recentemente, a empresa publicou que uma das falhas corrigidas nesse conjunto de patches (CVE-2020–2883), agora está sendo explorada, ou seja, já existem atacantes utilizando desta vulnerabilidade para tentar executar ações maliciosas. Esta é uma falha que afeta o WebLogic Server. O Oracle WebLogic Server é um servidor de aplicativos Java EE.
Recomendamos urgentemente a aplicação desta correção e restrição do tráfego do protocolo T3 e T3S para o WebLogic Server, que pode ser visualizada no site da Oracle, pesquisando pelo Doc ID 2665794.1
Suprema Corte x MP 954
No dia 24 de abril de 2020, a ministra Rosa Weber, suspendeu a MP 954, que prevê o compartilhamento de dados de usuários de empresas de telecomunicação, como nomes, números de telefone e endereços, de pessoas físicas ou jurídicas, com o Instituto Brasileiro de Geografia e Estatística (IBGE) para a produção de estatística oficial durante a pandemia do novo coronavírus, com o objetivo de realizar entrevistas em caráter não presencial no âmbito de pesquisas domiciliares.
Por entenderem que a MP 954 viola dispositivos constitucionais como o direito à intimidade, à vida, à dignidade da pessoa humana, honra, imagem e ao sigilo de dados, vários Partidos Políticos e o Conselho Federal da OAB (Ordem dos Advogados do Brasil), impetraram Ações Diretas de Inconstitucionalidade — ADIN, perante o Supremo Tribunal Federal — SFT, para barrar tais violações.
O julgamento dessas ações foi iniciado no dia 06 e finalizado no dia 07 de maio de 2020, onde em sessão conjunta, o STF se posicionou, quase por unanimidade, pela suspenção da Medida Provisória.
Os ministros se basearam em pilares constitucionais, que justificaram seus posicionamentos. Os dez ministros da corte, que votaram a favor da suspenção, fizeram referência aos direitos e garantias fundamentais, aos princípios da proporcionalidade e razoabilidade e, de uma forma precisa e de caráter educacional, a Lei Geral de Proteção de Dados Pessoais — LGPD, inclusive apontando, por exemplo, a inadequação de se fazer o Relatório de Impacto de Proteção de Dados (RIPD) pós recebimento das informações pelo IBGE.
O STF andou bem, cumprindo seu papel de guardião da Constituição, cabendo agora ao Congresso Nacional, rejeitar ou não a MP 954 que tem causado muita polêmica e que vai na contramão da proteção à privacidade dos dados pessoais.
Fontes:
http://www.stf.jus.br/portal/cms/verNoticiaDetalhe.asp?idConteudo=442902
https://www.congressonacional.leg.br/materias/medidas-provisorias/-/mpv/141619
