Bússola — Edição #6
Bypass Office365 MFA
Pesquisadores da empresa americana Cofense Phishing Defense Center descobriram uma nova campanha de e-mail phishing (e-mail falso), que aproveita a estrutura OAuth2 e o protocolo OpenID Connect (OIDC) e usa um link malicioso do SharePoint para induzir os usuários a concederem permissões a um aplicativo não autorizado. Com isso, é possível realizar um bypass do MFA (Multi-Factor Authentication), ou seja, ignorar a autenticação multifator (MFA) no Office 365. A isca é um e-mail que aparenta ser um compartilhamento de arquivo do SharePoint.
Caso o usuário venha a clicar no link, ele será direcionado para a página de login legítima do Microsoft Office 365 (https://login.microsoftonline.com). Mas a URL de acesso foi alterada pelos atacantes para manipular o processo de autenticação.
A URL inteira usada no ataque inclui parâmetros que mostram como o invasor pode induzir uma vítima a conceder permissões a um aplicativo não autorizado para acessar sua conta.
Cada campo em destaque tem uma função. Após o login, o usuário será solicitado a confirmar uma última vez que deseja conceder ao aplicativo as permissões solicitadas. O parâmetro “redirect_url” indica o local para o qual as respostas de autorização são enviadas, incluindo tokens e códigos de autorização. No ataque descrito na postagem, as respostas são enviadas para hxxps: // officehnoc [.] Com / office, um domínio que se disfarça de uma entidade legítima do Office 365. O endereço IP do domínio é 88 [.] 80 [.] 148 [.] 31 geolocalziado em Sofia, Bulgária, hospedado por BelCloud.
Esta não é a primeira vez que tal tática é observada. Esta campanha de phishing mostra que os invasores estão procurando novas maneiras de ignorar a autenticação multifator (MFA). Além disso, outras campanhas de phishing também estão direcionadas aos processos de autenticação de aplicativos da Microsoft. Isso reforça, o quão é importante a constante conscientização e treinamento dos usuários, para não cair em iscas desta natureza.
Data Privacy na Gestão de Terceiros
Não é de hoje, mas continua sendo tendência, a necessidade de avaliar os riscos de ataques cibernéticos a partir da infraestrutura dos fornecedores ou terceirizados de uma empresa, e um deles está relacionado à privacidade dos dados.
As organizações devem assegurar a existência desse tema em seu processo de gestão de riscos de terceiros como parte do processo global de risco corporativo.
Google Chrome
A Google lançou a versão 83 do navegador web Chrome, uma das atualizações contendo a maior quantidade de novos recursos até então já lançadas.
Uma série de novos recursos com aprimoramentos de segurança e privacidade são algumas das novidades, além de outros aspectos há muito tempo esperados.
Um total de 38 vulnerabilidades de segurança foram corrigidas, sendo 5 dessas de alta severidade que, se exploradas, um invasor pode assumir o controle do sistema afetado.
O navegador web Google Chrome pode ser atualizado acessando, Configurações > Ajuda > Sobre o Google Chrome.
Microsoft Edge
A Microsoft lançou uma atualização (versão 83.0.478.37) de segurança para resolver uma vulnerabilidade de elevação de privilégio no navegador web Edge, cujo código de rastreio é CVE-2020–1195. Ou seja, um atacante pode explorar essa vulnerabilidade para obter acesso elevado a recursos que normalmente são protegidos.
Um exemplo disso seria conseguir permissão para desabilitar o antivírus da máquina. Nesta nova versão, o serviço Microsoft Defender SmartScreen no Edge, que protege contra sites maliciosos e downloads de malwares e aplicativos de baixa reputação, foi aprimorado.
Zero-days no Windows
Pesquisadores da Zero Day Initiative (ZDI) da Trend Micro, empresa multinacional de cibersegurança com sede global em Tóquio, Japão, publicaram informações sobre 4 vulnerabilidades sem patch de correção (zero-day) no Microsoft Windows.
A Zero Day Initiative (ZDI) é um programa de recompensas de bugs, fundado em 2005, que incentiva o relato de vulnerabilidades de dia zero por pesquisadores de segurança que são recompensados financeiramente.
Três falhas afetam um componente principal do sistema Windows chamado splwow64.exe, que é um arquivo executável (um programa) para Windows, responsável por serviços de impressão. Como ainda não foi disponibilizado patch de correção pela Microsoft, segundo a ZDI, dada a natureza da vulnerabilidade, a única estratégia de mitigação relevante no momento é restringir a interação com o serviço. Ou seja, somente os clientes e servidores que têm uma relação procedimental legítima com o serviço devem ter permissão para se comunicar com ele.
REFERÊNCIAS:
NXNSAttack
O DNS, do inglês Domain Name System (Sistema de Nomes de Domínios), funciona como um sistema de tradução de endereços IP para nomes de domínios. É por causa desse serviço que conseguimos acessar os endereços na internet digitando o nome de um site (ex.: www.morphus.com.br). Uma nova falha no serviço de DNS, descoberta por acadêmicos da Universidade de
Tel Aviv e do Centro Interdisciplinar de Herzliya, ambos em Israel, pode permitir ataques de DDoS em larga escala. O ataque do tipo DoS (Denial Of Service, em inglês), também conhecido como ataque de negação de serviço, é uma tentativa de fazer com que aconteça uma sobrecarga em um servidor ou computador comum, para que recursos do sistema fiquem indisponíveis para seus utilizadores. Tal falha foi denominada de NXNSAttack.
Esta é uma vulnerabilidade de alto potencial, que não precisa de autenticação para explorá-la, além de ser encontrada na configuração padrão dos serviços DNS e, estes, por sua vez, serem muito comuns nas empresas. As provedoras desse tipo de serviço, como Cloudflare, Google, Amazon, Microsoft, Oracle (DYN), Verisign, IBM Quad9 e ICANN já corrigiram tal problema.
Porém, é altamente recomendável que os administradores de rede que possuem seus próprios servidores DNS, atualizem seus softwares para a versão mais recente ou sigam as recomendações do fabricante. A Microsoft lançou um alerta de segurança para servidores DNS Windows.
