.
Infosec em resumo Se os seus controladores de domínio do Windows estão travando desde que uma atualização de segurança foi instalada no início deste mês, não há mais necessidade de especular o motivo: a Microsoft admitiu que introduziu um vazamento de memória em seus patches de março e corrigiu o problema.
Relatos do bug surgiram nos últimos dias, à medida que administradores de sistemas relatavam congelamento e reinicialização de sistemas Windows Server. Desde então, a Microsoft confirmou que o problema está relacionado ao processo do serviço de subsistema da autoridade de segurança local no Windows Server 2012 R2 (não mais com suporte), 2016, 2019 e 2022.
O problema está sendo desencadeado “quando os controladores de domínio do Active Directory locais e baseados na nuvem atendem às solicitações de autenticação Kerberos”, observou a Microsoft em postagens detalhando problemas conhecidos com seu sistema operacional de servidor, incluindo KB5035849, KB5035855 e KB505857.
“Vazamentos extremos de memória podem causar falha no LSASS, o que desencadeia uma reinicialização não programada dos controladores de domínio subjacentes”, observou Redmond, acrescentando que a causa raiz foi identificada e um patch será lançado nos próximos dias.
Um patch já foi entregue.
Até você instalar essa correção, a única maneira de evitar que um controlador de domínio trave é monitorar o uso de memória e ficar atento a vazamentos. Claro, se você não tem paciência ou equipe para se dedicar a tal empreendimento, existe outra opção: desinstalar os patches que apresentaram o problema.
Como apontou um usuário do Reddit em r/sysadmin, a correção é relativamente simples. Em um prompt de comando executado como administrador, basta inserir um dos seguintes itens, dependendo da versão do Windows Server:
wusa /uninstall /kb:5035849 wusa /uninstall /kb:5035855 wusa /uninstall /kb:5035857
Os usuários domésticos não precisam se preocupar – este é apenas um problema de servidor de nível empresarial.
Vulnerabilidades críticas: Mais links Atlassian mortos
Atlassian lidera a lista esta semana com uma vulnerabilidade CVSS 10.0 (CVE-2024-1597) bug de injeção de SQL no Bamboo Data Center e Server. Embora a Atlassian tenha corrigido o problema, o problema não se deve ao próprio código da Atlassian, mas a uma “dependência não-Atlassian Bamboo”.
Dito isso, a Atlassian enviou e-mails aos clientes para alertá-los sobre o problema antes que os links que oferecem informações sobre a vulnerabilidade fossem publicados – um erro que observamos que já foi cometido antes. Alguém precisa de algum treinamento corretivo de agendamento de e-mail.
Em outro lugar:
- CVSS 9.9 – CVE-2023-46808: Ivanti Neurons para ITSM versões 2023.1, 2023.2 e 2023.3 são vulneráveis a gravações remotas de arquivos em diretórios confidenciais. Patches estão disponíveis.
- CVSS 9.6 – CVE-2023-41724: Todas as versões suportadas do Ivanti Standalone Sentry, e também as versões fora de banda, são vulneráveis à execução remota de código. Patches estão disponíveis.
- CVSS 8.7 – CVE-2024-2442: Os medidores de tanque Franklin Fueling System EVO 550 e 5000 contêm uma vulnerabilidade de passagem de caminho que pode permitir que um invasor leia arquivos arbitrários.
O limpador usado no hack da Viasat está de volta e pior do que antes
Pesquisadores de segurança detectaram uma variante nova e mais perigosa do AcidRain – o malware limpador usado como parte do hack da Viasat que levou ao bloqueio de milhares de modems na Ucrânia e em outros lugares da Europa.
Os pesquisadores do SentinelLabs apelidaram a variante de AcidPour e a vincularam – como seu antecessor – a atores de ameaças russos.
Enquanto a variante AcidRain original foi projetada para atingir apenas a arquitetura MIPS usada em sistemas embarcados, como os modems destruídos no início da invasão da Ucrânia pela Rússia, o AcidPour foi estendido para atingir sistemas Linux adicionais. Incluído nesta variante está a capacidade de destruir imagens de bloco não classificadas do Linux e lógica de mapeador de dispositivos, sugerindo que pode ter como objetivo interromper matrizes RAID e grandes sistemas de armazenamento.
Não está claro se alguém foi alvo do AcidPour ainda, embora o SentinelLabs observe que a descoberta da variante coincidiu com a interrupção de várias redes de telecomunicações ucranianas na semana passada, e as partes ligadas ao GRU assumiram a responsabilidade.
“Esta é uma ameaça a ser observada”, disse o diretor de segurança cibernética da NSA, Rob Joyce, sobre a variante. “Minha preocupação é maior porque esta variante é uma variante AcidRain mais poderosa, cobrindo mais tipos de hardware e sistemas operacionais.”
Só você pode evitar a perda de dados
Claro, os cibercriminosos podem ser a causa de incidentes de perda de dados, mas de acordo com a Proofpoint é muito mais provável que você acabe em uma situação de perda de dados devido a funcionários negligentes.
A Proofpoint divulgou seu relatório inaugural sobre o cenário de perda de dados esta semana, que descobriu que 85% das empresas sofreram alguma forma de perda de dados no ano passado. Dos 600 profissionais de segurança que responderam à pesquisa, 71% disseram que a principal causa da perda de dados foram usuários descuidados.
Listadas como causas comuns de perda de dados estão e-mails mal direcionados, usuários visitando sites de phishing, instalação de software não autorizado e pessoas enviando dados confidenciais para suas contas de e-mail pessoais.
A maior ameaça interna supostamente vem de usuários privilegiados – como profissionais de RH e finanças, que foram citados por 63% dos entrevistados como seus maiores riscos. Porém, não é como se todos fossem negligentes – a Proofpoint observou que seus dados sugerem que apenas 1% dos usuários foram responsáveis por 88% dos eventos de perda de dados.
Em outras palavras, certifique-se de ter medidas de prevenção contra perda de dados em vigor, mas ainda assim fique de olho naquele contador distraído que adora clicar em links suspeitos. ®
.
