.
em resumo Você deve ter ouvido notícias esta semana de que o Google está finalmente atualizando seu aplicativo autenticador para adicionar a sincronização da conta do Google. Antes de correr para garantir que seus segredos de dois fatores estejam seguros no caso de você perder seu dispositivo, preste atenção: o processo de sincronização não é criptografado de ponta a ponta.
A falta de criptografia de sincronização foi apontada em um twittar pelo desenvolvedor de dois homens e equipe de pesquisa de segurança Mysk, que disse ter encontrado o problema analisando o tráfego de rede durante o processo de sincronização secreta.
Segundo a dupla, cujo descobertas que abordamos no passado, isso significa que a semente usada para gerar códigos 2FA está sendo transmitida sem E2EE e provavelmente fica visível para o Google quando armazenada em seus servidores. Como as sementes estão sendo sincronizadas com uma conta do Google, um comprometimento da conta significaria que todos esses segundos fatores também seriam comprometidos.
Christiaan Brand, gerente de produto do Google para identidade e segurança, levou para o Twitter para tranquilizar os usuários, eles não devem se preocupar porque “estamos sempre focados na segurança dos usuários do Google e a atualização mais recente do Google Authenticator não foi exceção”.
Brand disse que o Google criptografa dados em trânsito e em repouso em seus produtos. Ele afirmou que o E2EE fornece proteções extras, mas ao custo de potencialmente ter seus dados bloqueados sem uma opção de recuperação. Brand acrescentou que o Google está começando a lançar o E2EE em alguns de seus produtos e tem planos de adicioná-lo ao Authenticator no futuro, mas um porta-voz do Google disse Strong The One não tinha uma data para compartilhar quando isso pode acontecer. Além dessa declaração, o Google nos indicou os comentários de Brand.
Juntamente com essas afirmações, Brand também disse que o Google acredita que “nosso produto atual atinge o equilíbrio certo para a maioria dos usuários e oferece benefícios significativos em relação ao uso off-line”, sendo essa alternativa off-line a maneira como o aplicativo funcionava antes da atualização.
Brand mencionou que a opção offline continuaria sendo uma alternativa “para aqueles que preferem gerenciar suas próprias estratégias de backup”.
Nosso conselho – especialmente para aqueles que usam o Google Authenticator para 2FA relacionado ao trabalho – seria aproveitar essa opção offline. Pelo menos até que o Google possa garantir sua tentativa de fazer códigos únicos “mais durável” também não significa deixar o galpão destrancado.
Usuários da comunidade Salesforce, verifique as permissões de usuário
Os usuários do Salesforce Community – uma ferramenta baseada em nuvem que permite às empresas criar sites rápidos voltados para o cliente – têm um problema: muitos deles não estão configurando corretamente as permissões do usuário, portanto, estão vazando dados privados.
Os sites da comunidade permitem que os administradores definam permissões separadas para usuários autenticados e convidados, os últimos dos quais podem acessar recursos limitados sem fazer login. Conforme relatado por Krebs em Segurançaum pesquisador de segurança descobriu que um “número chocante” de sites da comunidade está vazando dados porque os administradores estão, por engano, concedendo aos convidados acesso a recursos internos.
Este também não é um problema limitado: vários bancos, provedores de saúde e até mesmo governos estaduais foram encontrados expondo dados confidenciais de pacientes e clientes, disse o pesquisador de segurança Charan Akiri. Akiri afirma ter escrito um programa que identificou centenas de sites mal configurados. Portanto, agora é o momento perfeito para verificar novamente o console de administração.
Vulnerabilidades críticas da semana
Talvez todos os criminosos cibernéticos tenham voltado seus olhos para o RSA esta semana, porque ele estava um tanto quieto na frente de vulnerabilidade.
A CISA tinha algumas vulnerabilidades de ICS para relatar:
- CVS 10.0 – Múltiplos CVEs: o Universal Copy Service da Illumina em vários produtos contém um par de falhas que podem permitir que um invasor execute qualquer ação no nível do sistema operacional.
- CVS 9.8 – CVE-2023-1967: Keysight N8844A Data Analytics Web Service desserializa indevidamente dados não confiáveis, permitindo a execução remota de código. O produto vulnerável foi descontinuado.
A CISA também alertou esta semana que o Service Location Protocol, comumente usado por impressoras com capacidade de rede e também por software VMware, contém uma vulnerabilidade ainda não classificada que pode permitir que um invasor remoto não autenticado registre serviços arbitrários e conduza um ataque de negação de serviço usando SLP para falsificar o tráfego UDP para amplificação de ataque. A CISA recomenda desabilitar ou restringir o acesso à rede para servidores SLP para evitar o problema.
Falando em VMware, também relatou uma exploração crítica esta semana:
- CVS 9.3 – vários CVEs: VMware Workstation Pro e VMware Fusion contêm uma vulnerabilidade de estouro de buffer baseado em pilha na forma como compartilham dispositivos Bluetooth com máquinas virtuais que podem permitir que um invasor execute código como o processo VMX da VM. Os patches estão disponíveis.
Novo ataque de canal lateral da CPU da Intel descoberto
Apenas quando você pensou que era seguro voltar para a água, outro Derretimento ataque de canal lateral foi descoberto e pode ser pior que o original.
Reportado [PDF] Por uma equipe de pesquisadores internacionais dos EUA e da China, o ataque afeta várias gerações de CPUs Intel e visa Strong The One EFLAGS usando uma falha de execução transitória para alterar o tempo de execução do contexto. Ao ler as mudanças de horário, os pesquisadores disseram que foram capazes de decodificar os dados.
Para piorar a situação, os pesquisadores indicam que seu ataque não depende do cache da CPU e não precisa redefinir Strong The One EFLAGS para seu estado inicial – o que pode significar que é mais difícil de detectar ou mitigar do que o outro lado -ataques de canal.
Em execuções experimentais visando máquinas Ubuntu 22.04, os pesquisadores afirmam que alcançaram 100% de recuperação de dados em máquinas usando CPUs Intel i7-6700 e i7-7700, com sucesso mais limitado contra CPUs Intel i9-10980XE.
Os pesquisadores sugerem que há algumas estratégias de mitigação possíveis, que exigiriam mudanças na forma como as instruções de salto em códigos de condição (JCC) são implementadas (as instruções de tempo JCC são afetadas pela exploração) e forçando uma reescrita dStrong The One EFLAGS após a execução transitória .
“Até onde sabemos, esta é a primeira vez que Strong The One EFLAGS foi usado como um canal secundário”, escreveram os pesquisadores. Nós diríamos para obter patches, mas há muito o que você pode fazer sobre isso. ®
.
