Em resumo O Zoom corrigiu um par de vulnerabilidades de escalonamento de privilégios, que foram detalhadas na conferência Black Hat neste mês, mas esse patch foi ignorado, necessitando de outra correção.
Patrick Wardle, pesquisador de segurança cibernética e fundador da Objective-See, falou sobre as duas vulnerabilidades do cliente macOS Zoom na Black Hat, ambos os quais podem ser explorados por um aplicativo local sem privilégios ou desonesto para escalar de forma confiável para privilégios de root.
Os dois buracos podem ser explorados juntos para, simplesmente, alimentar uma atualização maliciosa para instalar e executar o Zoom, o que normalmente não deveria acontecer.
Wardle deu crédito ao Zoom por emitir correções rápidas para as falhas, que o biz publicou individualmente nos dias 9 e 13 de agosto.
Mas veja os boletins de segurança recentes do Zoom, e logo fica claro que algo deu errado: cinco dias depois, um terceiro patch foi lançado para o mesmo problema.
“O patch do Zoom estava… incompleto, consegui ignorá-lo”, twittou o pesquisador de segurança do macOS e desenvolvedor de conteúdo Offensive Security Csaba Fitzl. Fitzl não divulgou nenhum detalhe de como ele conseguiu contornar o patch, mas o Zoom o credita por relatar o terceiro exploit.
Os usuários do Zoom no macOS são incentivados a atualize seu cliente imediatamente para a versão 5.11.6, a menos que esteja executando uma versão anterior a 5.7.3. Se esse último caso parece com você, pode ser uma boa ideia atualizar para muitas outras preocupações com a segurança do Zoom que vieram à tona desde que ganhou destaque durante a pandemia.
Testar aplicativos móveis para injeção de JavaScript
Preocupado que seus aplicativos móveis estejam injetando ferramentas de rastreamento JavaScript nos sites que você visita? Existe um aplicativo (web) para isso.
Conforme relatado recentemente, os navegadores no aplicativo nas versões iOS do Facebook e Instagram foram pegos injetando rastreadores JavaScript nas páginas que os usuários visitam. O fundador da loja de segurança Fastlane, Felix Krause, que inicialmente relatou o problema, desde então publicou um site simples que pode informar aos usuários que o visitam a partir de um navegador no aplicativo se um rastreador foi ou não injetado pelo aplicativo.
“Depois de ler as respostas e mensagens diretas , vi uma pergunta comum em toda a comunidade: como posso verificar o que os aplicativos fazem em suas visualizações da web”, escreveu ele. rastreamento de aplicativos e, embora o Meta afirme que não está modificando o tráfego de forma alguma, Krause disse que ainda é um risco de privacidade, com aplicativos “capazes de rastrear todas as interações com sites externos, de todas as entradas de formulário, como senhas e endereços, a cada toque. ”
Pior ainda, o comportamento não se limita aos aplicativos do Meta: de acordo com a pesquisa de Krause, Amazon e TikTok também são culpados de injetar JavaScript por meio de seus navegadores no aplicativo . Outros aplicativos não testados também podem ser.
No caso do TikTok, o JavaScript que ele injeta pode monitorar cada pressionamento de tecla (o que inclui senhas, detalhes de cartão de crédito etc.) , o que está sendo tocado na tela e informações sobre os elementos que os usuários tocam, no navegador do aplicativo. O TikTok disse que esse monitoramento era para depuração e medição de desempenho g, e não está realmente coletando as informações.
Krause observou que sua ferramenta online pode não detectar todas as injeções de JavaScript, especialmente em versões mais recentes do iOS. Na versão 14.3, a Apple adicionou uma forma de sandboxing para JavaScript, “tornando impossível para um site verificar qual código está sendo executado”, disse Krause.
Para descobrir se um aplicativo que você usa está injetando JavaScript em sites por meio de seu navegador no aplicativo, basta navegar até InAppBrowser.com enviando o link por DM para você mesmo, postando ou comentando, e a ferramenta deve informar se algum script está sendo executado, malicioso ou não.
Pesquisadores armam PLCs para atacar redes OT
Pesquisadores do Team82 da Claroty demonstraram transformar controladores lógicos programáveis (PLCs) em ferramentas ofensivas de rede.
PLCs são um parte fundamental da tecnologia operacional industrial e comercial (OT) que compõe o chão de fábrica, infraestrutura de serviços públicos, instalações de fabricação e outras indústrias pesadas. Malwares como o Stuxnet, que foi usado pelos Estados Unidos e Israel para danificar as instalações de enriquecimento de urânio do Irã, bem como outras ameaças modernas, dependem de PLCs voltados para a Internet que não possuem proteção adequada.
Em casos anteriores, disse o Team82 em seu relatório de pesquisa, os ataques envolvendo PLCs visavam diretamente os controladores. Esse não é o caso de sua prova de conceito, que eles chamaram de “Evil PLC Attack”.
Evil PLC não ataca os próprios PLCs: em vez disso, ele se baseia em vulnerabilidades nas estações de trabalho de engenharia que os controlam. Ao comprometer um PLC com código malicioso e acionar uma falha, um engenheiro que baixa o código do PLC para inspecionar pode comprometer involuntariamente sua própria máquina. O código baixado depende da exploração de falhas no software na estação de trabalho.
“Conseguimos encontrar vulnerabilidades não relatadas anteriormente que nos permitiram armar os PLCs afetados e engenharia de ataque estações de trabalho sempre que ocorreu um procedimento de upload”, disse Team82.
Para piorar a situação, sete dos fabricantes de CLPs mais populares – Rockwell Automation, Schneider Electric, GE, B&R, XINJE, OVARRO e Emerson – foram todos encontrados para ser vulnerável. O Team82 observou que todas as vulnerabilidades encontradas estavam localizadas no software de estação de trabalho de engenharia feito por esses fornecedores, não nos PLCs ou em seu firmware.
“Na maioria dos casos, as vulnerabilidades existem porque o software confia totalmente nos dados provenientes do PLC sem realizar verificações de segurança extensas”, disse Team82.
Embora as vulnerabilidades tenham sido amplamente corrigidas, o Team82 adverte que as organizações preocupadas devem se concentrar tanto em proteger as estações de trabalho quanto em manter os PLCs vulneráveis fora da Internet pública.
Ransomware e BEC: Uma partida feita na dark web
Pesquisadores de segurança da Accenture destacaram o seguinte ponto: o tipo de dados vendidos on-line após ataques de ransomware é exatamente o tipo de coisa ideal para lançar e-mails comerciais ataques de comprometimento (BEC).
Os ataques BEC envolvem o comprometimento de uma conta de e-mail comercial legítima para uso em golpes de funcionários de uma empresa. Faturas falsas, muitas vezes com “novos dados bancários”, são comumente usadas para induzir os funcionários a remeter pagamentos maciços, tornando os BECs alguns dos golpes cibernéticos mais populares e lucrativos atualmente em circulação.
De acordo com a Accenture, sua equipe “descobriu que os tipos de dados mais divulgados se sobrepõem aos tipos de dados mais úteis para conduzir ataques BEC e [vendor email compromise] VEC: dados financeiros, de funcionários e de comunicação e documentos operacionais”.
Uma coisa que há muito tempo impede os criminosos cibernéticos de fazer maior uso dos dados roubados durante um ataque de ransomware, disse a Accenture, é o grande volume de dados roubados. “A utilidade dos dados dedicados do local de vazamento tem sido historicamente limitada pela dificuldade de interagir com grandes quantidades de dados mal armazenados”, disseram os pesquisadores.
Novos grupos, no entanto, estão tornando isso um problema do passado.
Os pesquisadores apontaram pelo menos dois sites de vazamento de dados que oferecem dados indexados pesquisáveis em sites facilmente usados e acessíveis ao público, com registros individuais disponíveis por apenas um dólar. “Os agentes de ameaças podem procurar arquivos específicos, como dados de funcionários, faturas, digitalizações, contratos, documentos legais [and] mensagens de e-mail”, bem como procurar empresas com base na indústria ou localização, disse a Accenture.
Com base nos tipos de dados roubados e vendidos e no aumento dos mercados de dados negros indexados, a Accenture disse que “avalia que o principal fator que impulsiona uma ameaça crescente dos ataques BEC e VEC… é a disponibilidade de dados como os descritos acima.”
Que seja um alerta para as empresas que foram vítimas de ataques de ransomware: fique atento aos sinais de BEC, como se proteger e saiba que pode ser uma questão de tempo até você ser atingido novamente. ®
