A ISH Tecnologia , empresa de capital 100% nacional, líder nos segmentos de cibersegurança, infraestrutura crítica e nuvens blindadas, divulgou um relatório mensal onde aponta as principais vulnerabilidades e ameaças digitais encontradas pela sua equipe de pesquisa e avaliação de riscos no mês de julho.
Entre as principais ameaças encontradas, temos um perigoso mau uso de um protocolo do Windows que pode gerar invasões de rede, um ransomware cuja defesa está sendo cobrada em 70 milhões de dólares e um suposto grupo chinês que ataca alvos estratégicos ao país.
Confira a lista das vulnerabilidades encontradas pela ISH, e como se defender delas:
Ataque a controladores de domínio do Windows
Atingindo o Microsoft Windows e descoberto pelo pesquisador francês Gilles Lionel e chamado de PetitPotam, trata-se de uma vulnerabilidade que permite ao invasor assumir a identidade da máquina e todos seus privilégios. Ele ocorre por meio de um abuso do protocolo do Windows MS-EFSRPC, que permite que os dispositivos executem operações em dados criptografados armazenados em sistemas remotos.
A ISH ainda alerta que essas invasões podem ser feitas para coleta de dados, permitindo um ataque futuro que compromete toda a rede interna de uma empresa.
Como se defender? A Microsoft liberou procedimentos de mitigação contra o ataque. O método mais simples está em desabilitar a autenticação NLTM, explicada aqui . Porém, isso pode quebrar qualquer aplicação que utilize essa autenticação. Neste caso, recomenda-se seguir esses procedimentos .
Kaseya com problemas de Ransomware
A empresa de soluções de TI Kaseya apresentou um sério problema no seu VSA, programa base de monitoramento de endpoints e resolução de problemas. O grupo REvil Ransomware as a Service identificou uma brecha zero day (nome dado àquelas geralmente desconhecidas para o público e desenvolvedores) que permitia que um script malicioso fosse enviado a todos os computadores do servidor, atingindo todos os clientes finais.
Por meio do ataque, diversas funções do Microsoft Defender são desativadas, deixando o aparelho desprotegido contra os mais variados tipos de ataque. Ao anunciar o golpe, o REvil exigiu um pagamento de 70 milhões de dólares para um decifrador que resolvesse o problema.
Como se defender? Por se tratar de uma brecha zero-day, a Kaseya recomendou no início que todos os dispositivos que usassem o VSA desativassem-no imediatamente, até que uma atualização fosse feita. Algumas correções foram disponibilizadas , e a Kaseya também divulgou uma nota com outras dicas, encontradas aqui . Já a lista com todos as atualizações já oferecidas pelo serviço é encontrada neste link.
Grupo hacker chinês supostamente estatal
Este é um ataque que envolve também geopolítica. Ele parte do grupo baseado na China APT40, que nos seus mais de dez anos de operação já teve como alvo organizações governamentais, empresas, universidades e indústrias de países como Estados Unidos, Canadá e lugares como Europa e Oriente Médio. De acordo com a empresa norte-americana FireEye, trata-se de um grupo patrocinado pelo governo da China, pois os alvos do grupo são consistentes com os interesses do estado chinês e há vários artefatos técnicos indicando que o grupo está baseado lá.
O APT40 foi observado utilizando uma variedade de técnicas para comprometimento inicial, incluindo exploração de servidor web, campanhas de phishing e uso de malwares de mais de 51 famílias de código diferentes.
Como se defender? Em dicas listadas pelo próprio FBI e a CISA (Agência de Cibersegurança e Infraestrutura dos EUA), os passos incluem uma profunda robusta defesa de rede, monitoramento constante do servidor, fazer regularmente manutenção de senhas e varredura de aplicativos e sempre instalar atualizações de sistemas mais críticos.
PrintNightmare
Atingindo o Print Spooler, serviço nativo do Windows de comunicação entre impressoras, trata-se de uma exploração de falhas que permite ao invasor acessar remotamente a máquina, instalar programas e até mesmo modificar dados. Como o Print Spooler é executado no mais alto nível de privilégio do sistema operacional, é um ataque preocupante.
Como se defender? A ISH recomenda o monitoramento dos eventos 808 (A security event source has attempted to register) e 4909 (The local policy settings for the TBS were changed). Como a atualização disponibilizada pela Microsoft não corrigiu o problema, a recomendação da empresa no momento é a desativação do serviço.
