Sign in Subscribe
Newsletter

PacificNews#190: Modern Warfare

PacificNews#190: Modern Warfare

Nova atualização do Android irá trazer mais segurança contra torres de celular falsas

O Android 16 trará recursos aprimorados de segurança para proteger os usuários contra a interceptação de dados por simuladores de torres de celular, também conhecidos como stingrays ou IMSI catchers, e redes celulares não criptografadas. A principal novidade é a capacidade de os dispositivos identificarem quando as redes solicitam identificadores como IDs de dispositivo ou SIM, e emitirem alertas ao se conectar a uma rede celular não criptografada. 

Stingrays são ferramentas de vigilância usadas por criminosos e até mesmo autoridades policiais e de imigração. Eles operam imitando torres de celular legítimas, enganando dispositivos móveis próximos para que se conectem a eles. Uma vez conectado, o stingray pode: (i) coletar identificadores únicos, como o IMEI, que permitem aos invasores direcionar dispositivos específicos; e (ii) forçar o dispositivo a usar protocolos de comunicação mais antigos e inseguros, facilitando a interceptação de mensagens de texto e chamadas telefônicas não criptografadas. 

Esses equipamentos interceptam comunicações, coletam metadados de chamadas, informações de localização e outros dados sobre as atividades do usuário no dispositivo. O objetivo dos novos alertas é notificar o usuário com avisos como "chamadas, mensagens e dados são vulneráveis à interceptação" ao se conectar a redes inseguras. Haverá também notificações ao retornar a uma rede criptografada.

Essas opções de notificação estarão disponíveis na página de configurações de segurança da rede móvel. Além disso, o Android 16 oferecerá a opção de evitar redes 2G, o que pode ajudar a bloquear a conexão de alguns receptores IMSI ao seu dispositivo, uma vez que muitas dessas ferramentas exploram vulnerabilidades em redes mais antigas.

Leia mais

Call of Duty: jogadores relatam que tiveram seus computadores invadidos durante partidas

No início da semana passada, Call of Duty: World War II (2017) foi adicionado ao catálogo do Xbox Game Pass, serviço de assinatura da Microsoft que permite aos usuários jogarem centenas de títulos sem comprá-los individualmente. No entanto, o retorno do game à popularidade trouxe um alerta de segurança pouco esperado.

Ao longo da semana, diversos jogadores relataram em redes sociais que suas máquinas foram comprometidas durante partidas online. Os relatos apontam para uma vulnerabilidade crítica de execução remota de código (RCE), que permite a um atacante executar comandos diretamente no sistema da vítima, sem autorização.

Vídeos divulgados por usuários mostram janelas do Bloco de Notas e da Calculadora abrindo sozinhas durante o jogo, além de computadores sendo desligados remotamente. Alguns jogadores também relatam que estas execuções eram seguidas de mensagens deixadas pelos atacantes no Prompt de Comando (CMD). 

Segundo a empresa de cibersegurança MalwareBytes, o problema estaria relacionado à arquitetura do próprio jogo. Ao invés de utilizar servidores dedicados para hospedar as partidas online, o Call of Duty: World War 2  permite que os próprios jogadores usem suas máquinas como servidores, o que possibilita ações maliciosas de terceiros, abusando da conexão. 

Esta não é a primeira vez que um jogo da série Call of Duty foi alvo de atacantes cibernéticos. Seis anos atrás algumas provas de conceito foram publicadas (e geraram CVEs) com execução remota de código em jogos da série através da plataforma de jogos para computador, Steam. 

Até o momento, nem a Microsoft, nem a equipe do Xbox ou os desenvolvedores do jogo se pronunciaram oficialmente sobre o caso. Contudo, o título foi retirado do ar no fim de semana sob a justificativa de manutenção.

Leia mais

Patches & Updates

CISA:
Quatro novas vulnerabilidades foram adicionadas ao catálogo de Vulnerabilidades Conhecidas e Exploráveis, ou KEV, com evidências de exploração na vida real. A primeira delas, CVE-2014-3931, trata-se de um buffer overflow no roteador Looking Glass (MRLG) que permite corrupção de memória e escrita arbitrária em memória; a segunda delas, CVE-201-10033, uma falha que permite injeção de comando no PHPMailer; também há uma vulnerabilidade no Action View no Ruby on Rails, conhecida como CVE-2019-5418, que permite travessia de diretórios e leitura de arquivos arbitrários no sistema. Finalmente, a quarta vulnerabilidade adicionada é a CVE-2019-9621, um SSRF no Zimbra Collaboration Suite, que pode resultar em acesso não autorizado a recursos internos e execução remota de código (RCE). 

Lenovo:
O pesquisador da TrustedSec, Oddvar Moe, descobriu uma forma de contornar o AppLocker em laptops da Lenovo por meio do arquivo MFGSTAT.zip, localizado no diretório C:\Windows\. Esse arquivo apresenta permissões incorretas, permitindo que qualquer usuário autenticado grave e execute conteúdo a partir desse local. O problema afeta todas as variantes de máquinas Lenovo com instalações padrão do Windows e representa uma séria vulnerabilidade em ambientes corporativos, especialmente no contexto da segurança empresarial. O AppLocker mencionado refere-se ao recurso de controle de execução de aplicativos utilizado pelo serviço Lenovo Smart Lock, que oferece funcionalidades como localização, bloqueio, apagamento remoto de dados e recuperação do dispositivo em caso de perda ou roubo. A Lenovo publicou um guia oficial para correção da falha, disponível em: https://support.lenovo.com/us/en/product_security/HT517812. A principal recomendação é a exclusão do arquivo C:\Windows\MFGSTAT.zip, utilizando um dos três métodos descritos no documento. Em ambientes corporativos, a remoção também pode ser realizada via Group Policy Preferences (GPP), SCCM ou outras ferramentas de gerenciamento de sistemas.

Chrome:
A Google está promovendo um spyware sofisticado capaz de sequestrar sessões de browser em sua loja do Chrome. Tudo isso escondido atrás de uma extensão aparentemente legítima, conhecida como “Color Picker, Eyedropper”. Com mais de 100 mil downloads até o momento, esta extensão tem um selo de verificado na loja do Chrome e, até o dia 26 de junho, exercia funções legítimas no navegador. Entretanto, no dia 27 de junho, uma atualização maliciosa afetou esta extensão e, de acordo com pesquisadores da Koi Security, ela se tornou um risco à privacidade e segurança cibernética dos usuário, tornando-se um spyware que  pode sequestrar a sessão dos usuários, rastreia todos os sites visitados e mantém uma conexão persistente a um servidor de comando e controle (C2). Até o momento da publicação, esta extensão segue disponível na loja do Chrome.

Destaques pelo mundo

Moda:
Uma violação de sistemas na Louis Vuitton Coreia, ocorrida em junho, resultou no vazamento de dados de clientes, incluindo informações de contato. A empresa tomou conhecimento do ciberataque na última quarta-feira e notificou as autoridades governamentais. As unidades sul-coreanas de outras duas marcas pertencentes ao maior grupo de luxo do mundo (Christian Dior Couture e Tiffany) já estão sob investigação do governo desde maio, em razão de vazamentos de dados de clientes relatados no início do ano, segundo a Comissão de Proteção de Informações Pessoais do país.

Rússia:
Um novo spyware, até então não-documentado, está atingindo grandes empresas em solo russo. Nomeado “Batavia”, este malware chega até suas vítimas através de phishing. Apesar de ser uma campanha em andamento há cerca de um ano, ganhou muita tração a partir de março deste ano. Segundo pesquisadores da Kaspersky, o fluxo de ataque é o seguinte: primeiro, um email é enviado contendo um link disfarçado de um contrato em anexo e, ao clicar no link, um arquivo é baixado com um script VBE (Visual Basic Encoded). Ao executar esse arquivo, é feito um perfilamento do computador da vítima e os detalhes são enviados pelo servidor de comando e controle (C2), acionando o gatilho do próximo payload, conhecido como “WebView.exe”, um malware baseado em Delphi que personifica um contrato e, no fundo, coleta logs de sistema, documentos e capturas de tela. Finalmente, um payload de terceiro estágio é executado, baixando um programa em C++ conhecido como “javav.exe”, um infostealer que será executado junto com o boot do sistema e irá coletar ainda mais arquivos do sistema da vítima. 

Taiwan:
A Agência Nacional de Inteligência de Taiwan alertou os cidadãos sobre os riscos de instalar aplicativos móveis chineses em seus dispositivos. De acordo com a agência, uma auditoria recente realizada em cinco aplicativos (RedNote, Weibo, TikTok, WeChat e Baidu Cloud) identificou diversos problemas de segurança, coleta excessiva de dados pessoais e abuso de permissões do sistema. As violações incluem acesso não autorizado a dados de reconhecimento facial, capturas de tela, conteúdo da área de transferência, listas de contatos e informações de localização. No que se refere à extração de informações do sistema, todos os aplicativos analisados coletaram dados como listas de aplicativos instalados e parâmetros do dispositivo. Além disso, em relação a dados biométricos, as características faciais dos usuários podem ser coletadas e armazenadas deliberadamente por esses aplicativos.

Quer saber mais? Siga-nos nas redes sociais: LinkedinInstagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!

Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!

Escrito por: Thaís Hudari Abib e Murilo Lopes
Arte: George Lopes e Anselmo Costa

Read more