.
Infosec em resumo Pesquisadores de segurança cibernética informaram à Microsoft que os notórios hackers norte-coreanos Lazarus Group descobriram o “Santo Graal” das vulnerabilidades de rootkits no Windows no ano passado, mas Redmond ainda levou seis meses para corrigir o problema.
Pesquisadores da Avast disseram que informaram a Microsoft sobre uma grave exploração do administrador para o kernel em um driver associado ao AppLocker, o aplicativo para lista de permissões de software integrado ao Windows, em agosto do ano passado.
A vulnerabilidade, encontrada no despachante de controle de entrada/saída do appid.sys, significava que ele era acessível no espaço do usuário durante a comunicação com o kernel do Windows.
“Um invasor do espaço do usuário poderia abusar dele para essencialmente enganar o kernel e fazê-lo chamar um ponteiro arbitrário”, disse Avast. “Isso apresentou um cenário de exploração ideal, permitindo ao invasor chamar uma função arbitrária do kernel com um alto grau de controle sobre o primeiro argumento”.
A Avast afirma que o Lazarus Group usou a vulnerabilidade para obter primitivos de leitura/gravação no kernel do Windows e instalar seu rootkit FudModule, mas a opinião da Microsoft sobre a gravidade das explorações de administrador para kernel significa que ela não priorizou o assunto, esperando até o patch de fevereiro na terça-feira. para corrigir o problema, marcado como CVE-2024-21338, com uma pontuação CVSS de 8/10.
“Alguns componentes e configurações do Windows não se destinam explicitamente a fornecer um limite de segurança robusto”, afirma a Microsoft em sua página de critérios de serviço de segurança. O que isso significa, disse Avast, é que “a Microsoft reserva-se o direito de corrigir vulnerabilidades do administrador ao kernel a seu próprio critério”.
Sobre questões de administração para kernel, a Microsoft disse que os processos administrativos e os usuários fazem parte da Trusted Computing Base for Windows e, portanto, “não são fortes [sic] isolado do limite do kernel.”
Infelizmente, neste caso, isso significou que o Lazarus Group foi capaz de brincar com os kernels das vítimas durante meses sem que a Microsoft fizesse nada.
Mesmo quando corrigiu a vulnerabilidade, a Microsoft não revelou que o assunto estava sob exploração ativa quando lançou um patch. Essa divulgação ocorreu quando a Avast publicou recentemente seu relatório sobre o assunto, o que levou a Microsoft a atualizar seu boletim de patch.
Pedimos uma explicação à Microsoft e avisaremos se conseguirmos uma.
Vulnerabilidades críticas da semana: melhor atualização do iOS
As principais vulnerabilidades críticas desta semana podem ser encontradas em uma longa lista de atualizações de segurança da Apple lançadas para iOS e iPadOS versões 17.4 e 16.7.6, sendo a primeira a versão mais recente e a última um sistema operacional mais antigo ainda usado em alguns dispositivos mais antigos. .
Nem todas as vulnerabilidades da lista são críticas, mas várias são – como CVE-2024-23277, que permitiria a um invasor falsificar um teclado e injetar pressionamentos de teclas, CVE-2024-23288, um bug de escalonamento de privilégios e CVE-2024 -23243, que abordamos anteriormente.
Observe que dois dos problemas que a Apple corrigiu esta semana – CVE-2024-23225 e CVE-2024-23296 – estão sob exploração ativa, de acordo com CISA.
A Apple também lançou atualizações de segurança para todos os seus outros sistemas operacionais e para o Safari, hoje, então faça o patch.
Em outro lugar:
- CVSS 10.0 – Vários CVEs: Os dispositivos de controle de acesso linear da série eMerge E3 contêm uma série de falhas que podem fazer com que um invasor remoto obtenha acesso total ao sistema.
- CVSS 9.1 – CVE-2024-2197: O Chirp, também um produto de gerenciamento de acesso, está armazenando credenciais indevidamente em seu aplicativo Chirp Access.
- CVSS 8.2 – CVE-2024-20337: O Cisco Secure Client valida insuficientemente a entrada do usuário durante o processo de autenticação SAML, permitindo que um invasor execute código arbitrário.
NSA compartilha suas dicas de mitigação de segurança na nuvem
A computação em nuvem pode ser excelente… ou criar sérios riscos de segurança, e é por isso que a Agência de Segurança Nacional dos EUA e a Agência de Segurança Cibernética e de Infraestrutura se uniram para compartilhar dez dicas sobre como mitigar os riscos.
Entre as dicas estão algumas que você esperaria, como seguir práticas adequadas de gerenciamento de identidade e acesso, gerenciar logs, gerenciar adequadamente chaves de acesso e assim por diante. Outros são… bem, ainda bastante óbvios, mas talvez precisem ser apontados.
Isso inclui segmentar suas redes e aplicar criptografia em ambientes de nuvem, defender adequadamente os ambientes de CI/CD e lembrar de levar em conta as complexidades introduzidas por ambientes híbridos e multinuvem.
“Usar a nuvem pode tornar a TI mais eficiente e segura, mas apenas se for implementada corretamente”, disse Rob Joyce, diretor de segurança cibernética da NSA. “Esta série fornece conselhos básicos que todo cliente de nuvem deve seguir para garantir que não se torne uma vítima.”
Você pode encontrar a lista completa de dicas, cada uma apontando para um relatório separado e dicas de implementação, aqui.
Casa Branca e grupos OSS oferecem treinamento em segurança cibernética para mulheres jordanianas
Em homenagem ao Mês da História da Mulher, o Conselho de Segurança Nacional da Casa Branca, a Linux Foundation Training and Certification, a Open Source Security Foundation (OpenSSF) e a Cloud Native Computing Foundation (CNCF) se uniram para ajudar as mulheres jordanianas a serem treinadas para ingressar na segurança cibernética. força de trabalho com um novo programa piloto.
A iniciativa proporcionará a 250 mulheres jordanianas acesso a mais de 100 cursos gratuitos de segurança e cerca de 25 certificações, incluindo aquelas relacionadas ao Kubernetes e à segurança nativa da nuvem, disse a Linux Foundation. O registro.
“À medida que a segurança cibernética continua a enfrentar desafios para encontrar trabalhadores qualificados suficientes, este programa ajudará a capacitar a força de trabalho”, disse OpenSSF.
De acordo com a USAID, menos de um quinto das mulheres jordanianas fazem parte da força de trabalho e as normas sociais no país geralmente desencorajam as mulheres de trabalhar fora de casa.
“Ao fornecer certificações de segurança complementares, pretendemos quebrar barreiras e criar oportunidades para as mulheres na Jordânia, promovendo uma força de trabalho mais inclusiva e diversificada”, disse OpenSSF.
O anúncio surge no momento em que os EUA e a Jordânia realizam a sua segunda conferência de diálogo digital, que incluiu discussões sobre a melhoria das competências da força de trabalho da Jordânia, especificamente das mulheres, para prosseguirem carreiras em segurança cibernética.
Omkhar Arasaratnam, gerente geral do OpenSSF, disse-nos que se o programa for bem-sucedido, iniciativas semelhantes poderão ocorrer em outras nações. ®
.
