Brecha no Windows e novo ransomware acendem alerta para especialistas em cibersegurança
Redação, Infra News Telecom
A ISH Tecnologia, empresa de capital 100% nacional focada em cibersegurança, infraestrutura crítica e nuvens blindadas, divulgou um relatório mensal com principais vulnerabilidades e ameaças digitais encontradas pela sua equipe de pesquisa e avaliação de riscos no mês de julho.
Entre as ameaças encontradas estão o mau uso de um protocolo do Windows que pode gerar invasões de rede, um ransomware cuja defesa está sendo cobrada em US$ 70 milhões e um suposto grupo chinês que ataca alvos estratégicos ao país.
Ataque a controladores de domínio do Windows
Atingindo o Microsoft Windows e descoberto pelo pesquisador francês Gilles Lionel e chamado de PetitPotam, trata-se de uma vulnerabilidade que permite ao invasor assumir a identidade da máquina e todos seus privilégios. Ele ocorre por meio de um abuso do protocolo do Windows MS-EFSRPC, que permite que os dispositivos executem operações em dados criptografados armazenados em sistemas remotos.
A ISH ainda alerta que essas invasões podem ser feitas para coleta de dados, permitindo um ataque futuro que compromete toda a rede interna de uma empresa.
A Microsoft liberou procedimentos de mitigação contra o ataque. O método mais simples está em desabilitar a autenticação NLTM, explicada aqui . Porém, isso pode quebrar qualquer aplicação que utilize essa autenticação. Neste caso, recomenda-se seguir esses procedimentos.
Kaseya com problemas de ransomware
A empresa de soluções de TI Kaseya apresentou um sério problema no seu VSA, programa base de monitoramento de endpoints e resolução de problemas. O grupo REvil Ransomware as a Service identificou uma brecha zero day que permitia que um script malicioso fosse enviado a todos os computadores do servidor, atingindo todos os clientes finais.
Por meio do ataque, diversas funções do Microsoft Defender são desativadas, deixando o aparelho desprotegido contra os mais variados tipos de ataque. Ao anunciar o golpe, o REvil exigiu um pagamento de 70 milhões de dólares para um decifrador que resolvesse o problema.
Por se tratar de uma brecha zero-day, a Kaseya recomendou no início que todos os dispositivos que usassem o VSA desativassem-no imediatamente, até que uma atualização fosse feita. Algumas correções foram disponibilizadas , e a Kaseya também divulgou uma nota com outras dicas, encontradas aqui . Já a lista com todos as atualizações já oferecidas pelo serviço é encontrada neste link.
Grupo hacker chinês supostamente estatal
Este é um ataque que envolve também geopolítica. Ele parte do grupo baseado na China APT40, que nos seus mais de dez anos de operação já teve como alvo organizações governamentais, empresas, universidades e indústrias de países como EUA, Canadá e lugares como Europa e Oriente Médio.
O APT40 foi observado utilizando uma variedade de técnicas para comprometimento inicial, incluindo exploração de servidor web, campanhas de phishing e uso de malwares de mais de 51 famílias de código diferentes.
Em dicas listadas pelo próprio FBI e a CISA, agência de cibersegurança e infraestrutura dos EUA, os passos incluem uma profunda robusta defesa de rede, monitoramento constante do servidor, fazer regularmente manutenção de senhas e varredura de aplicativos e sempre instalar atualizações de sistemas mais críticos.
PrintNightmare
Atingindo o Print Spooler, serviço nativo do Windows de comunicação entre impressoras, trata-se de uma exploração de falhas que permite ao invasor acessar remotamente a máquina, instalar programas e até mesmo modificar dados. Como o Print Spooler é executado no mais alto nível de privilégio do sistema operacional, é um ataque preocupante.
A ISH recomenda o monitoramento dos eventos 808 (A security event source has attempted to register) e 4909 (The local policy settings for the TBS were changed). Como a atualização disponibilizada pela Microsoft não corrigiu o problema, a recomendação da empresa no momento é a desativação do serviço.
