.
Infosec em resumo O senador norte-americano Ron Wyden (D-OR) acha que é culpa da Microsoft que os hackers chineses invadiram o Exchange Online e ele quer que três agências governamentais separadas iniciem investigações e “responsabilizem a Microsoft por suas práticas negligentes de segurança cibernética”.
Em um carta [PDF] enviado ao Departamento de Justiça, Agência de Segurança Cibersegurança e Infraestrutura e à Comissão Federal de Comércio na quinta-feira, Wyden argumentou que a Microsoft permitiu o ataque por meio de quatro falhas de segurança distintas.
O hack chinês do serviço de e-mail hospedado da Microsoft, você deve se lembrar, ocorreu porque supostos hackers chineses conseguiram roubar uma chave de criptografia usado para serviços de conta Microsoft (MSA).
Wyden afirma que a Microsoft falhou com seus clientes ao empregar apenas uma única chave de criptografia com o poder de forjar o acesso às contas dos clientes – incluindo aquelas pertencentes a agências governamentais dos EUA. Ele também diz que a Microsoft foi negligente em não armazenar chaves de criptografia de alto valor em um módulo de segurança de hardware e está preocupada com o fato de as auditorias de segurança, tanto internas quanto externas, não terem encontrado pontos fracos de segurança que permitiram o hack.
O mais flagrante é que a chave de segurança roubada expirou em 2021, mas ainda pode ser usada, acusou Wyden na carta. “Tokens de autenticação assinados por uma chave expirada nunca deveriam ter sido aceitos como válidos”, o senador se irritou.
Wyden também culpou o governo Biden pelo ataque vinculado à China à Microsoft, que ele disse não ter estudado adequadamente o hack da SolarWinds. Tal esforço, disse ele, poderia ter evitado essa última confusão.
Wyden quer que a CISA crie um conselho de revisão para investigar o hack e acha que o DoJ deveria usar ferramentas de execução civil para determinar se a Microsoft pode ter violado a lei federal de contratos por negligência. Wyden também pediu à FTC para descobrir se a Microsoft violou algum de seus regulamentos e se o hack coloca a Microsoft em risco de violar um decreto de consentimento de 2002 que possui com a FTC sobre segurança. falhas em seu serviço da Web Passport.
Nada do que Wyden pede na carta é obrigatório.
Não se esqueça: o hacking de estado-nação não é uma via de mão única
Caso você pense que foram apenas hackers chineses atingindo alvos nos EUA, ou russos fazendo DDoS na Ucrânia, as autoridades chinesas querem que você saiba que os EUA também os hackeam.
De acordo com fontes de notícias estatais chinesas, o Centro de Monitoramento de Terremotos de Wuhan foi “submetido a um ataque cibernético por uma organização estrangeira” que as autoridades chinesas identificaram preliminarmente como o escritório de Operações de Acesso Personalizado da Agência de Segurança Nacional dos EUA. Os hackers da NSA TAO, dizem as autoridades chinesas, carregaram um software Trojan nos sistemas do WEMC, permitindo-lhes bisbilhotar os dados coletados pela organização.
Um especialista não identificado que falou com a agência chinesa The Global Times reivindicado que tais dados podem ser usados para inferir a localização de bases militares subterrâneas e outras características subterrâneas e, como tal, é uma questão de segurança nacional.
Esta não é a primeira vez que o escritório TAO da NSA é acusado por autoridades chinesas de ataques cibernéticos. Em junho do ano passado, Hackers da NSA supostamente atacados a Northwestern Polytechnical University em Xi’an, supostamente exfiltrando dados e sequestrando milhares de dispositivos. A Universidade é conhecida por realizar pesquisas aeroespaciais para o governo chinês.
Vulnerabilidades críticas: Time-to-update-Ubuntu edition
As vulnerabilidades críticas desta semana são lideradas por um par de CVEs identificados no módulo Ubuntu OverlayFS – um popular sistema de arquivos de sobreposição do Linux.
Apelidado de “GameOver(lay)” pelos pesquisadores da empresa de segurança em nuvem Wiz que o descobriu, o par de vulnerabilidades resultam de modificações anteriores feitas pelo Ubuntu no OverlayFS que podem permitir que um invasor use um executável especialmente criado para escalar para privilégios de root nas máquinas afetadas.
Múltiplo kernels recentes do Ubuntu são afetados, mas patches estão disponíveis. Se o patch não for imediatamente possível, o Ubuntu sugere desabilitar a capacidade de usuários sem privilégios de criar namespaces.
Várias vulnerabilidades críticas do ICS também foram identificadas esta semana:
- CVS 9.8 – CVE-2023-3346: Um monte de máquinas CNC da Mitsubishi Electric são vulneráveis a um estouro de buffer clássico que pode permitir que um invasor execute código malicioso em máquinas vulneráveis.
- CVS 9.4 – CVE-2023-1935: Vários modelos de unidades terminais remotas da série Emerson ROC800 são vulneráveis ao desvio de autenticação.
- CVS 8.3 – CVE-2023-3548: O firmware IQ Wifi 6 AP da Johnson Controls anterior às versões 2.0.2 não restringe adequadamente as tentativas excessivas de login, que podem permitir ataques de força bruta.
Quanto aos exploits conhecidos, os pesquisadores da VulnCheck estão relatando que mais de 900.000 dos mais recentes sistemas MikroTik RouterOS de longo prazo ainda são vulneráveis a CVE-2023-30799uma exploração de escalonamento de privilégios.
Apesar do CVE ser novo, o MikroTik já sabia sobre o problema desde o final do ano passado, quando corrigiu o problema no RouterOS estável. O patch nunca chegou ao RouterOS a longo prazo, portanto, se você estiver executando roteadores MikroTik com esse tipo de sistema operacional, obtenha o patch.
Usuários do BreachForums: Você foi pwned?
Usuários do notório fórum de hackers BreachForums, que foi desligar em março deste ano, após sua fundador foi presopode querer começar a se preocupar – parece que suas informações estão à venda online.
Isso está de acordo com o site de notificação de violação de dados Fui sacaneadoque na quarta-feira adicionado dados pertencentes a 212.156 usuários do BreachForums em seu banco de dados de credenciais comprometidas. Incluídos no hack estavam endereços de e-mail, endereços IP, senhas, nomes de usuários e – o mais preocupante para os usuários – mensagens privadas trocadas entre hackers no site.
De acordo com Fui sacaneadoBreachForums foi violado em novembro de 2022 e os dados foram fornecidos por uma fonte que se referiu apenas a si mesma como “breached_db_person”.
Os dados do BreachForums original juntam-se aos dados roubados de um clone do BreachForum que apareceu em junho, que foi comprometido dentro de dias devido a um backup de banco de dados exposto que incluía dados de usuário e hashes de senha. ®
.
