.
Em resumo O Google lançou na sexta-feira uma atualização de emergência para o Chrome para corrigir uma falha de segurança de dia zero.
A vulnerabilidade, rastreada como CVE-2023-2033, pode ser explorado por uma página da Web maliciosa para executar código arbitrário no navegador. Portanto, navegar em um site ruim com um navegador vulnerável pode levar ao sequestro do seu dispositivo. Diz-se que o código de exploração para esse buraco está circulando e pode muito bem já estar sendo usado por criminosos.
Esse bug de confusão de tipo de alta gravidade está presente pelo menos no Chrome para versões de desktop anteriores a 112.0.5615.121. Google lançado essa versão em 14 de abril para Windows, Mac e Linux para fechar a falha de segurança, que está no mecanismo JavaScript V8.
Essa nova versão deve ser instalada o mais rápido possível, automaticamente ou manualmente.
A vulnerabilidade foi encontrada e relatada por Clément Lecigne, do Grupo de Análise de Ameaças do Google, em 11 de abril, de acordo com o gigante da web. “O Google está ciente de que existe um exploit para CVE-2023-2033”, acrescentou a empresa. Essa correção seria o primeiro dia zero no Chrome esmagado pelo Google este ano.
Detalhes completos sobre como exatamente o bug poderia ser ou foi explorado ainda não foram divulgados.
O Chrome atualizado também inclui “várias correções de auditorias internas, fuzzing e outras iniciativas”.
Extorsionários exigem quantia de oito dígitos da Western Digital para não liberar ’10 TB de dados’
Os criminosos que alegam estar por trás de uma infecção de ransomware na fabricante de discos Western Digital no início deste mês disseram que ainda não foram expulsos dos sistemas da empresa e estão dispostos a sair, manter quaisquer dados roubados em segredo e compartilhar como eles entraram com a WD se pagou um resgate de pelo menos oito dígitos.
Os supostos ladrões, que falaram com TechCrunch no início desta semana, disseram que fugiram com o que eles afirmam ser cerca de 10 terabytes de dados internos da empresa, incluindo informações de clientes e funcionários. Chaves criptográficas também foram encontradas no tesouro, dando aos criminosos a capacidade de assinar digitalmente certificados como Western Digital e, portanto, criar arquivos maliciosos e passá-los como materiais legítimos da WD.
Os invasores também fugiram com dados da instância SAP Backoffice da Western Digital, e-mails e arquivos roubados de outros serviços em nuvem, afirma-se. Nenhuma das informações foi criptografada.
O objetivo do perpetrador é aparentemente ganhar dinheiro ameaçando mais danos aos sistemas da Western Digital, mais liberações de dados da empresa ou dificultando a vida da empresa.
“Precisamos apenas de um pagamento único e, em seguida, deixaremos sua rede e informaremos sobre suas fraquezas. Nenhum dano duradouro foi causado. Mas se houver algum esforço para interferir em nós, nossos sistemas ou qualquer outra coisa. Vamos contra-atacar”, disseram os atacantes à Western Digital em um e-mail.
A Western Digital permaneceu em silêncio sobre o ataque, que a empresa divulgado em 2 de abril. De acordo com as declarações da WD, o ataque foi identificado em 26 de março e está sendo investigado.
TechCrunch disse que a WD não forneceria nenhuma atualização ou verificaria as alegações dos bandidos, e que os criminosos apenas compartilhariam que “exploraram vulnerabilidades em sua infraestrutura e abriram caminho para o administrador global de seus [Microsoft] Locatário do Azure” para realizar o ataque.
Os invasores autoidentificados também não alegaram afiliação com nenhum grupo de ataque, mas disseram que, se a Western Digital não responder às suas solicitações em breve, eles publicarão dados roubados em um site pertencente à gangue de ransomware Alphv.
A partir de quarta-feira, a Western Digital relatórios o acesso ao serviço My Cloud, que estava offline desde o ataque, foi restaurado. A Western Digital não divulgou nenhuma atualização em seu status de investigação desde a primeira vez que relatou a invasão.
Vulnerabilidades críticas da semana
A semana passada incluiu a semana Patch Tuesday, então as vulnerabilidades críticas mais recentes foram já coberto no Strong The One. Mas alguns problemas mais críticos surgiram em sistemas de controle industrial que merecem uma menção.
- CVS 9.8 – CVE-2023-28489: Os dispositivos Siemens SICAM A8000 que executam versões de firmware anteriores a CPCI85 contêm uma vulnerabilidade de injeção de comando que pode fornecer recursos RCE de um invasor remoto não autenticado.
- CVS 9.8 – Múltiplos CVEs: Os dispositivos Siemens SCALANCE XCM332 que executam software anterior à versão 2.2 são vulneráveis a uma cadeia de exploração que pode causar negação de serviço e levar à execução de código, injeção de dados e acesso não autorizado.
- CVS 9.8 – Múltiplos CVEs: As famílias Siemens SCALANCE X-200, X-200IRT e X-300 estão executando firmware (variado por produto) que é vulnerável a um estouro de número inteiro ou a um bug de contorno que pode levar à corrupção de memória.
- CVS 8.3 – CVE-2020-14521: vários produtos de software Mitsubishi Electric Factory Automation contêm uma vulnerabilidade de execução de código mal-intencionado que um invasor pode usar para roubar ou modificar dados e causar negação de serviço.
Os patches estão disponíveis para as vulnerabilidades listadas acima. Você sabe o que fazer – vá consertá-los.
Atores da indústria se posicionam para proteger hackers de boa fé
Atores da indústria de tecnologia, incluindo empresas como Google e Intel, anunciaram um projeto na semana passada para criar um ambiente legal mais favorável para pesquisadores de segurança de boa fé, além de outro para ajudar a pagar as contas de pesquisadores presos em uma ação judicial.
Plataforma de recompensas por bugs HackerOne anunciado a formação do Conselho de Política de Hacking em colaboração com o Center for Cybersecurity Policy and Law. As operações do Conselho o farão “defender políticas que encorajem as melhores práticas de detecção, gerenciamento e divulgação de vulnerabilidades e melhores proteções para pesquisas de segurança de boa fé”, disse o HackerOne.
Juntamente com os membros fundadores Intel, Bugcrowd e outros, o Google disse que está apoiando o Hacking Policy Council, citando a necessidade de garantir que “chegamos [disclosure reporting] direito das leis.”
O Google descreveu o Conselho como “um grupo de organizações e líderes afins que se envolverão em defesa focada para garantir que novas políticas e regulamentos apoiem as melhores práticas de gerenciamento e divulgação de vulnerabilidades e não prejudiquem a segurança de nossos usuários”.
O Google disse que também está fornecendo financiamento inicial para o Fundo de Defesa Legal de Pesquisa de Segurançaque “financiará a representação legal para indivíduos que realizam pesquisas de boa fé em casos que promovam a segurança cibernética para o interesse público”, disse o gigante das buscas.
De acordo com o site do Fundo, ele não fornecerá representação direta a pesquisadores que solicitam ajuda, mas fornecerá referências legais e financiamento a pesquisadores que demonstrem necessidade financeira, não estejam envolvidos em nenhum comportamento ilegal como extorsão, estejam agindo de boa fé e que atendem à aprovação do conselho.
Assim como o Hacking Policy Council, o Defense Fund está sendo coordenado pelo Center for Cybersecurity Policy and Law. Não está imediatamente claro quando o financiamento estará disponível, já que o site do Fundo disse que está solicitando o status de organização sem fins lucrativos 501c3 e “planeja iniciar as operações nos próximos meses”. ®
.
