Arquivar 14/08/2019

CVE-2019-1125

A empresa de segurança BitDefender divulgou no início do mês uma vulnerabilidade em chips Intel que permite acessar áreas privilegiadas da memória utilizadas pelo núcleo dos sistemas operacionais (kernel) do Windows e Linux.

Andrei Vlad Lutas descobriu a vulnerabilidade realizando pesquisas na CPU e reportou o problema para a INTEL em Agosto de 2018. Para a solução do problema a Intel decidiu mitigar a falha em nível do sistema operacional. Trabalhando junto à Microsoft foi realizado a correção foi realizada no Patch Tuesday de Julho.

Semelhante às falhas do Spectre e Meltdown, as mitigações relacionadas a estes não protegem contra SWAPGS. Existem alguns fatores que tornam a exploração mais difícil, principalmente em relação ao tempo demandado para a localização das informações do kernel na memória, horas segundo alguns cálculos.

Para as empresas que fazem atualizações mensais do ambiente Microsoft já se encontram protegidas. Além da Microsoft, a Red Hat (Linux) e a Google (ChromeOS e Android) entre outros já lançaram informações a respeito.

Mais informações nos links:

https://www.forbes.com/sites/daveywinder/2019/08/06/microsoft-confirms-new-windows-cpu-attack-vulnerability–advises-all-users-to-update-now/#741877bf73f8

https://www.bleepingcomputer.com/news/security/swapgs-vulnerability-in-modern-cpus-fixed-in-windows-linux-chromeos/

https://www.pcmag.com/news/369990/spectre-meltdown-patches-wont-fix-new-swapgs-intel-flaw

Uma vulnerabilidade descoberta no mês de Junho (2019) no kernel do Linux, apelidada de “SACK Panic“, está movimentando todos os ambientes de TI que utilizam o Linux: CVE-2019-11477.

O Vcenter da VMware também é afetado e precisa ser atualizado. Além deste gigante fornecedor de TI outros estão se movimentando para disponibilizar atualizações e manter os ambientes seguros e livres de problemas de performance.

Já está amplamente disponível na Internet informações de fabricantes diversos a respeito do problema, como o mesmo afeta seus produtos e o que deve ser feito para resolver ou mitigar.

VMware: https://www.vmware.com/security/advisories/VMSA-2019-0010.html

Seguem abaixo alguns links de distribuições Linux:

Red Hat: https://access.redhat.com/security/cve/cve-2019-11477

Debian: https://security-tracker.debian.org/tracker/CVE-2019-11477

Suse: https://www.suse.com/pt-br/security/cve/CVE-2019-11477/

Ubuntu: https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-11477.html

O problema foi reportado por um engenheiro da Netflix, Jonathan Looney (Netflix Information Security) em um comunicado no dia 17/06/2019, e além desta vulnerabilidade importante que também afeta servidores com FreeBSD, outras 3 vulnerabilidades são informadas.

Pelo fato do Linux ser amplamente utilizado em servidores da Internet e principalmente em serviços de nuvem, a atenção dos sysadmins deve ser redobrada em sua infraestrutura “fora de casa”, pois o risco ao ambiente pode vir de todo o mundo.

Comunicado dos principais provedores de nuvem:

AWS: https://aws.amazon.com/pt/security/security-bulletins/AWS-2019-005/

Google Cloud Plataform: https://cloud.google.com/compute/docs/security-bulletins

Microsoft Azure: https://azure.microsoft.com/pt-br/updates/security-advisory-on-linux-kernel-tcp-vulnerabilities-for-hdinsight-clusters/

VMware: https://kb.vmware.com/s/article/70900

Outra atenção fundamental deve ser dedicada aos firewalls. Muitos deles são baseados no kernel do Linux, e os fabricantes também estão reportando atualizações e implementando proteção aos ambientes com recursos existentes em firewall de nova geração (next generation firewall). A conclusão de um relatório da PaloAlto é que não seria surpresa ataques de DDoS.

Em comunicado recente umas das maiores “Exchanges” de criptomoedas informou que crackers utilizaram várias técnicas para sacar 7.000 Bitcoins de sua hot wallet.

O valor equivale a mais ou menos 160 milhões de reais ou mais de 40 milhões de dólares.

Não é o maior da história, ocorrido em janeiro de cerca de 1,7 bilhão de reais, mas é um valor expressivo, e as técnicas utilizadas pelos crackers foram phishing e vírus de computador, dentre outras.

Os cibercriminosos não tem fronteiras físicas e miram suas ações nas empresas onde podem obter os maiores ganhos com roubos ou sequestro de dados. A necessidade de implementação de segurança avançada para proteger os negócios em nosso mundo cada vez mais digital.

Segundo a empresa os clientes não serão afetados e utilizará um seguro para cobrir as despesas referente ao roubo.

Mesmo com o valor expressivo o mercado não foi afetado e a tendência das criptomoedas permanece. O que muda é o risco cada vez maior no meio digital e a necessidade de investimento em proteção e segurança digital.

Comunicado da Binance: https://binance.zendesk.com/hc/en-us/articles/360028031711-Binance-Security-Breach-Update

Maior roubo da história: https://www.infomoney.com.br/mercados/bitcoin/noticia/7233970/exchange-japonesa-perde-bilhao-maior-roubo-criptomoedas-historia

Vulnerabilidade no browser Google Chrome, na plataforma Microsoft Windows, Linux e Apple MacOS já está sendo explorada ativamente, o que coloca a necessidade de atualização do browser como urgente e crítica.

Pelas informações do comunicado da Google a correção já está feita na versão 72.0.3626.121 já disponível nas atualizações automáticas do Google Chrome.Para atualizar o usuário deve ir em Ajuda > Sobre o Google Chrome e verificar a versão. Caso não esteja atualizado o Chrome fará a atualização e solicitará reinicio do browser.

A recomendação para empresas é utilizar um inventário de ativos para verificar a versão do Chrome nos computadores. O ambiente de segurança de TI deve possuir como solução um antivírus com inteligência artificial e um firewall, ambos tecnologias de nova geração.

Caso precise de uma consultoria entre em contato com a Evolin Tecnologia.

Pesquisadores da empresa CheckPoint identificam falha em popular programa compactador de arquivos na plataforma Microsoft Windows. Segundos dados no site do próprio WinRAR são mais de 500 milhões de usuários do programa.

O WinRAR é muito popular entre usuários da plataforma Windows / PC pois no passado, primórdios de Internet e até mesmo antes, em tempos de BBS, meados da década de 90, quando as conexões eram lentas e havia necessidade de compactar arquivos. Nas plataformas Linux era comum a utilização de arquivos no formato ARJ ou ZIP. No Windows o programa mais popular era o WinZip.

O WinRAR foi um competidor do WinZip e começou no mundo dos nerds da TI pois ele apresentava taxas de compactação melhores, para os arquivos utilizando o formato RAR. Do mundo Nerd aos usuários comuns o WinRAR foi sendo difundido pois toda vez que um suporte técnico atendia um chamado para descompactar um arquivo RAR ou ZIP ele instalava o WinRAR.

Localizando a falha em uma DLL compilada em 2006 a CheckPoint conseguiu demonstrar a grave falha de segurança. Detalhes extremamente técnicos sobre a pesquisa e identificação da falha podem ser encontrados aqui no site da CheckPoint.

Segundo a desenvolvedora do WinRAR a partir da versão 5.70 a DLL com problema não será mais utilizada. Um grande favor que os técnicos de suporte podem fazer aos usuários de computadores é ensinar a utilizar o recurso interno do próprio Windows para compactar e descompactar arquivos compactados no formato ZIP, que representam a quase totalidade de arquivos compactados. Assim os RAR podem ser tratados como exceção e atendidos pontualmente pelos departamentos de TI das empresas ou pelas empresas terceirizadas, sem a necessidade de se instalar um programa que raramente é utilizado

Também fica demonstrado a importância de utilização de antivírus e firewall de nova geração para proteger usuários e ambientes de TI de pequenas, médias e grandes empresas. A segurança digital exige uma proteção completa com diversas ferramentas.

Na primeira Patch Tuesday (segunda terça-feira do mês que a Microsoft libera atualizações de segurança mensalmente) de 2019, foram liberadas algumas correções críticas. A recomendação é que as empresas realizem as atualizações dentro de sua programação normal, pois nenhuma destas, apesar de críticas, possui exploit em circulação.

Destacamos uma atualização do Microsoft Exchange, correspondente ao
CVE-2019-0586 (detalhes no link do site da MS). Esta vulnerabilidade pode ser explorada simplesmente com o envio de um e-mail mal formado com essa finalidade.

Essa atualização do Exchange está disponível no Windows Update, marcando a opção para “atualizar outros produtos Microsoft). A recomendação é estar com as atualizações cumulativas do Exchange em dia para em seguida atualizar o patch para a vulnerabilidade deste mês.

Para verificar as atualizações cumulativas disponíveis para o Exchange acesse o site da Microsoft: https://docs.microsoft.com/pt-br/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019