Categoria: vulnerabilidade

Falha no HTTP/2 pode bloquear um servidor com apenas um pedido

Foi recentemente descoberta uma nova vulnerabilidade no protocolo de ligações HTTP/2, que pode permitir bloquear servidores com apenas um simples pedido enviado para os mesmos.

A falha foi apelidada de “CONTINUATION Flood”, e se explorada, pode permitir ataques DoS a sistemas, com o potencial de bloquear os web servers usando apenas uma ligação TCP – dependendo do sistema e da sua implementação.

O HTTP/2 é uma atualização do protocolo regular HTTP, lançado em 2015, e que pretende melhorar a velocidade e desempenho das ligações na internet. Um dos grandes destaques desta nova variante será a de permitir que uma ligação apenas possa conter vários pedidos ao mesmo tempo, aumentando consideravelmente o desempenho final da ligação.

A falha foi descoberta pelos investigadores da empresa Barket Nowotarski, sendo que, em certos sistemas ou configurações de rede, um simples pedido usando HTTP/2 pode fazer com que todo o sistema web de um servidor seja bloqueado.

O grave desta falha encontra-se no facto de a mesma poder ser explorada com uma simples ligação. Não será necessário muito poder de processamento para enviar um simples pacote TCP, que pode ter o potencial de bloquear por completo um sistema.

A investigação aponta que esta falha afeta uma larga quantidade de servidores web no mercado, e alguns analistas apontam que pode mesmo ser uma falha mais grave do que a “HTTP/2 Rapid Reset” revelada em Outubro do ano passado. Na altura, esta falha estaria a ser ativamente explorada desde agosto de 2023.

De acordo com os dados do Cloudflare Radar, atualmente 62.2% das ligações na internet são feitas usando HTTP/2, o que deixa um largo número de sistemas abertos a possíveis ataques.

Os investigadores apontam ainda que a falha pode ser complicada para administradores de sistemas resolverem por completo, tendo em conta a complexidade do HTTP/2 e o desconhecimento de algumas das suas tarefas.

A recomendação atual passa por manter os sistemas atualizados para as versões mais recentes existentes, as quais podem contar com medidas de proteção contra este género de ataques.

04/04/2024
Vulnerabilidade grave descoberta em pacote importante dos sistemas Linux

A Red Hat encontra-se a alertar para uma grave vulnerabilidade que se encontra a afetar algumas versões de desenvolvimento do Fedora, onde um backdoor foi encontrado no pacote XZ, bastante usado para a compressão de dados no sistema.

O alerta surge depois de ter sido descoberto que conteúdo malicioso estaria a ser colocado num pacote importante e base do sistema, que poderia permitir a terceiros obterem acesso a qualquer sistema Linux através de um backdoor.

A mensagem de alerta indica que os utilizadores devem, imediatamente, deixar de usar qualquer versão recente do Fedora 41 ou variantes, o que inclui o Debian unstable ou outras distribuições derivadas.

Embora esta vulnerabilidade e tentativa de ataque tenha sido identificada na sua fase inicial, poderia ter causado graves problemas se tivesse passado despercebida e chegasse ao formato de lançamento oficial para todos.

O engenheiro Andres Freund, da Microsoft, revelou ter descoberto inicialmente a falha quando estaria a analisar o motivo para ligações SSH estarem consideravelmente lentas num dos seus sistemas Linux com o Debian Sid, uma versão ainda em desenvolvimento ativo do sistema Debian.

Segundo o mesmo, código malicioso foi integrado nas versões 5.6.0 e 5.6.1 do XZ, uma ferramenta básica do sistema, usada para a compressão de dados. Esta continha código que permitia o acesso remoto ao SSH de qualquer sistema onde estas versões se encontrassem. Isto poderia permitir a qualquer utilizador remotamente aceder ao sistema SSH da máquina, e eventualmente, ter o controlo da mesma e dos dados nela existentes.

Acredita-se que o código malicioso terá sido colocado no código do pacote principal, ofuscado, por um ativo participante da comunidade de desenvolvimento do mesmo, embora as motivações para tal ainda sejam desconhecidas.

A falha foi classificada com o código CVE-2024-3094 e com uma gravidade de 10/10, a mais elevada da escala. Todos os utilizadores são aconselhados a verificarem se possuem instalado nos seus sistemas Linux uma versão anterior à 5.6.0 e 5.6.1.

Para tal, via a linha de comandos do sistema, deve-se correr o comando “xz -V”, o que deve apresentar a versão instalada.

01/04/2024
Edge corrige vulnerabilidade zero-day no navegador

A Microsoft lançou recentemente uma atualização do Edge, para o canal estável, com a versão 123. No entanto, poucas horas depois de a disponibilizar, a empresa decidiu suspender o processo de atualização de forma inesperada.

Agora conhecem-se mais detalhes do motivo para tal. A empresa voltou recentemente a lançar a atualização do Edge 123, sendo que esta nova versão agora conta com uma correção para uma falha zero-day, que se acredita estaria a ser ativamente explorada para ataques.

A nova versão 123.0.2420.65 do Edge destaca uma correção para a falha CVE-2024-2883, que afetava a versão estável do navegador, e que terá sido reportada pela equipa do Chromium. A falha estaria a ser ativamente explorada para ataques, pelo que os detalhes da mesma ainda são alvo incertos de momento.

No entanto, tendo em conta a correção importante, os utilizadores são aconselhados a verificarem se as suas versões do Edge se encontram atualizadas para a versão mais recente. Isso pode ser feito acedendo diretamente a edge://settings/help e verificando se a versão final está na 123.0.2420.65 ou superior.

Esta página permite também pesquisar por atualizações mais recentes, no caso de as mesmas ainda não terem sido instaladas. Portanto, aceder à mesma pode ajudar a acelerar o processo de atualização.

29/03/2024
GitHub agora usa IA para corrigir vulnerabilidades automaticamente

O GitHub encontra-se a revelar uma nova funcionalidade para a sua plataforma, que vai ajudar os programadores a corrigirem automaticamente erros e vulnerabilidades nos seus códigos, usando IA no processo.

A plataforma revelou a nova funcionalidade Code Scanning Autofix, que se encontra baseada no GitHub Copilot e CodeQL, sendo capaz de analisar o código fonte dos programadores, identificando e corrigindo potenciais vulnerabilidades no mesmo. Este sistema encontra-se adaptado para JavaScript, Typescript, Java e Python.

Depois de ser ativado, a funcionalidade permite corrigir automaticamente a grande maioria das vulnerabilidades conhecidas nestas linguagens de programação, evitando que tais possam ser exploradas para ataques. Este processo é realizado de forma automática, com pouca ou nenhuma interação dos programadores para tal – embora estes sejam sempre alertados quando são feitas mudanças.

Ao mesmo tempo, o sistema informa dos passos para corrigir a vulnerabilidade. O GitHub acredita que esta nova funcionalidade pode ajudar a reduzir o trabalho das equipas de segurança a analisarem o código fonte das suas aplicações.

Embora a funcionalidade use IA para ajudar a corrigir os problemas, a plataforma continua a recomendar que os programadores verifiquem as falhas e sugestões para correção, visto que o sistema pode corrigir apenas uma parte do problema.

A empresa espera que, tal como o GitHub Copilot ajuda no desenvolvimento, esta nova funcionalidade possa ajudar a nível da segurança do código enviado para a plataforma.

20/03/2024
Hacker de Apex Legends afirma ter atacado torneio “por diversão”

Durante o final da semana passada, o mundo gaming ficou chocado com o caso de um hacker, que terá conseguido atacar um evento de Apex Legends, injetando código nos clientes do jogadores presentes no mesmo.

Durante o evento, o hacker terá conseguido injetar dois programas usados para obter vantagens injustas no jogo em dois dos maiores jogadores de Apex Legends, realizando este ataque a meio da partida oficial.

O incidente levou mesmo os organizadores do evento Apex Legends Global Series a terem de adiar o mesmo, por tempo indeterminado, por não se encontrarem reunidas condições para realizar o mesmo de forma segura.

Enquanto o ataque ocorria, no chat da partida foram deixadas as mensagens “Apex hacking global series, by Destroyer2009 &R4andom”. E agora sabe-se mais detalhes sobre os motivos do ataque.

Em entrevista ao portal TechCrunch, o hacker Destroyer2009 afirma que terá realizado o ataque durante o evento “apenas por diversão”, e como forma de dar destaque para a vulnerabilidade que o mesmo descobriu, para que os criadores do jogo resolvam o problema.

A comunidade rapidamente entrou em modo de emergência, com alegações que o cliente de Apex Legends estaria com uma falha que permitia a execução remota de código. A falha, no entanto, foi negada pela EA.

Apesar disso, Destroyer2009 negou fornecer detalhes sobre qual a falha explorada para o ataque e como realizou a proeza. O mesmo afirma que não pretende deixar detalhes até que o patch da falha seja disponibilizado, e o cliente não esteja ativamente aberto a possíveis ataques. O mesmo afirma, porém, que o ataque não envolve os servidores do jogo, e não é realizado qualquer alteração diretamente nos sistemas dos jogadores, sendo apenas afeto ao processo do jogo.

Esta indicação levanta ainda mais suspeitas que a falha pode envolver o cliente do jogo, e afetar qualquer jogador do mesmo. Destroyer2009 afirma que não reportou a falha tanto à Respawn, os criadores de Apex Legends, como também para a EA, derivado de ambas não oferecerem qualquer recompensa quando são encontradas falhas nos seus programas.

No entanto, o mesmo afirma que ambas sabem como corrigir a falha sem que seja necessária uma intervenção externa para tal.

O hacker afirma ainda que colocou algumas piadas na imagem do programa, frisando que o objetivo seria chamar à atenção para a existência da falha, e não para ativamente ser prejudicial para os jogadores.

O mesmo afirma ainda que realizou o ataque contra os dois jogadores Geburten e ImperialHal por considerar os mesmos como “boas pessoas”, e para chamar à atenção dos mesmos.

Entretanto, Conor Ford, que trabalha na equipa de segurança de Apex Legends, publicou uma mensagem na X confirmando que a equipa já se encontra a trabalhar na solução para este problema, o que indica que o patch para a vulnerabilidade pode ser brevemente disponibilizado. No entanto, tanto diretamente a Respawn como a Eletronic Games não deixaram comentários sobre os ataques.

Alguns especialistas apontam que a falha encontra-se localizada no cliente Easy Anti-Cheat, usado como sistema de segurança contra cheats no jogo, e que estaria vulnerável a ataques de código remoto – o que permitiria aos atacantes enviarem comandos remotamente para qualquer sistema onde este programa se encontrasse.

Por fim, Destroyer2009 afirma que os jogadores de Apex Legends não se devem preocupar com a segurança, sendo que o mesmo acredita que a vulnerabilidade não será facilmente explorada até ser corrigida.

20/03/2024
Ataque hacker em evento de Apex Legends leva a suspensão do mesmo

A Electronic Arts terá adiado o torneio Apex Legends Global Series (ALGS), depois de um grupo de hackers ter conseguido comprometer os sistemas dos jogadores durante o evento.

O ALGS é um dos mais reconhecidos torneios do jogo Apex Legends, onde competem alguns dos melhores jogadores do título, na tentativa de obterem o título de “melhores jogadores” e os respetivos prémios.

Durante a terceira partida do evento, entre as equipas DarkZero e Luminosity, o sistema de um dos jogadores, Genburten, subitamente apresentou a janela de uma ferramenta usada para cheats no jogo, e conhecida como “TSM HALAL HOOK”. Esta ferramenta permite obter vantagens injustas no jogo, como ver os inimigos pelas paredes e realizar a mira automática aos mesmos.

A janela da ferramenta surgiu durante o torneio sem aviso, e sem interação do jogadores em questão, e incluía algumas opções fora do comum, como uma de “Vote Putin”. Com isto, o jogador conseguiu em direto ver todos os participantes na campanha que se encontrava a decorrer.

Quando o incidente aconteceu, na janela de chat do jogador era ainda visível as mensagens a indicar que o “hack” tinha sido realizado por dois utilizadores com o nick “Destroyer2009” e “R4ndom”.

Na altura, a partida continuou, mesmo com o incidente. Mas o caso voltou a acontecer com outro jogador na partida seguinte, o que indicava que algo estaria a levar ao ataque.

Eventualmente, os administradores do evento cancelaram o mesmo, com a EA a confirmar que o torneio seria adiado devido ao ataque.

Eventualmente, o utilizador que se identificava como “Destroyer 2009” terá indicado ao utilizador “Anti-Cheat Police Department” na X que o mesmo usou uma falha de execução remota de código, presente no cliente de Apex Legends e no Easy Anti-Cheat, software usado para prevenir cheats no jogo. Esta falha teria permitido executar o cliente de cheats e interferir no evento.

Uma falha deste género seria considerada bastante grave, ainda mais tendo em conta que permite a execução de código nos sistemas afetados – com o potencial de levar à execução de conteúdo malicioso.

Pouco depois destas declarações, a EA divulgou igualmente uma mensagem, a indicar que não existem indícios de uma vulnerabilidade no seu software, embora a investigação de como o ataque ocorreu ainda se encontra a ser realizada.

Ainda assim, esta é a primeira vez na história do evento que um hack a meio do torneio leva à suspensão do mesmo, independentemente da forma como o ataque tenha sido realizado.

18/03/2024
Falha do Windows SmartScreen explorada por malware DarkGate

Uma nova onda de malware encontra-se agora a explorar uma falha nos sistemas de segurança do Windows, mais concretamente o Windows Defender SmartScreen, levando à instalação de malware.

Esta campanha encontra-se a ser explorada pelo malware DarkGate, sendo que o mesmo encontra-se a explorar uma vulnerabilidade – entretanto corrigida – no SmartScreen do Windows. O SmartScreen é uma funcionalidade de segurança existente no Windows, que alerta os utilizadores quando estes tentam executar programas desconhecidos e de fontes externas.

No entanto, o Windows Defender SmartScreen possuía uma falha que, com ficheiros especialmente criados para explorar a mesma, poderia contornar o alerta e executar diretamente os ficheiros.

Usando atalhos de .URL no sistema, era possível colocar o malware a executar qualquer ficheiro, sem que o Windows Defender SmartScreen fosse notificado para verificar o mesmo. Isto poderia levar ao malware instalar-se no sistema sem controlo do utilizador.

Agora, de acordo com os investigadores da empresa de segurança Trend Micro, os operadores do malware DarkGate encontram-se agora a explorar esta falha, com o objetivo de terem mais sucesso na instalação do malware. De notar que a Microsoft já corrigiu esta falha com as recentes atualizações do Windows, portanto a mesma apenas afeta quem ainda não tenha atualizado os sistemas.

A melhor proteção para os utilizadores será garantir que possuem os seus sistemas atualizados para as versões mais recentes disponíveis, o que deve corrigir não apenas a falha explorada por este malware, mas eventualmente outras que tenham sido identificadas nos últimos tempos.

Além disso, usar um software de segurança eficaz no sistema é também recomendado, e ter práticas de segurança para evitar a instalação de malware no mesmo.

14/03/2024
Falha em máquinas virtuais da VMware permite escapar do ambiente virtualizado

Uma nova falha foi descoberta em vários produtos de virtualização da VMWare, que pode permitir a malware escapar do ambiente isolado e infetar o sistema hospedeiro.

A VMWare é uma popular empresa no mercado, responsável por diversos softwares de virtualização. Por norma, os ambientes virtualizados devem ser isolados do ambiente do sistema hospedeiro dos mesmos, o que permite manter os mesmos separados entre si.

No entanto, foi recentemente descoberta uma vulnerabilidade em vários produtos da VMware, que caso sejam exploradas, podem permitir que código malicioso escape deste ambiente virtual e venha a ser executado nos sistemas hospedeiros.

A falha parece encontrar-se derivada do controlador USB das máquinas virtuais, que quando se encontra ativo para fazer a passagem dos mesmos, pode levar a que sejam abertas portas para a exploração.

A falha afeta vários produtos da VMWare, nomeadamente o VMware ESXi, VMware Workstation Pro / Player, VMware Workstation Pro / Player e VMware Cloud Foundation.

Os utilizadores destes programas são aconselhados a atualizarem para as versões mais recentes, disponíveis no site da plataforma. Uma das medidas temporárias para prevenir a exploração da falha passa também por desativar o passthrough do USB em todas as máquinas virtuais criadas.

08/03/2024
Vulnerabilidade afeta popular tema do WordPress

Uma falha identificada num popular plugin e tema do WordPress encontra-se a ser ativamente explorado para ataques, com o potencial de ser executado código PHP malicioso nos sites afetados pelo mesmo.

A falha afeta o tema Brick Builder, e os plugins usados com o mesmo, sendo que pode permitir que atacantes executem código PHP no site das vítimas – sem terem permissões para tal.

O Bricks Builder Theme é um tema considerado como “premium”, que conta com mais de 25.000 instalações ativas. O tema promove-se como sendo fácil de usar, personalizável e bastante simples de editar.

No entanto, a 10 de Fevereiro, um investigador de segurança conhecido como “snicco” terá revelado a descoberta de uma falha, que quando explorada, permite que código PHP potencialmente maliciosos seja executado nos sites com este tema.

A falha de segurança foi reportada aos criadores do tema, que a corrigiram a 13 de Fevereiro, com a versão 1.9.6.1. No entanto, muitos utilizadores podem ainda não ter realizado a atualização para a versão mais recente do mesmo, deixando em aberto o potencial para ataques.

De acordo com a entidade, de momento não existem relatos da falha ter sido explorada, mas uma vez que se encontra agora do conhecimento público, é bastante provável que comece a ser ativamente explorada para ataques.

A entidade responsável pelo tema recomenda que todos os clientes do mesmo atualizem para a versão mais recente o mais rapidamente possível, de forma a garantirem que se encontram protegidos deste potencial ataque.

19/02/2024
Ataque KeyTrap pode causar falhas DNS com apenas um pacote

Uma nova vulnerabilidade grave foi descoberta sobre o sistema de DNS, mais concretamente sobre a tecnologia Domain Name System Security Extensions (DNSSEC), que pode levar a que um domínio fique inacessível durante longos períodos de tempo.

A falha foi apelidada de “KeyTrap “, e afeta o próprio funcionamento dos sistemas DNSSEC em servidores DNS à escala global. Se explorada, esta falha pode levar a que um sistema de DNS fique totalmente inacessível em ataques DoS, bastando para tal o envio de um simples pacote para os mesmos.

Os servidores DNS são, basicamente, sistemas que permite converter os domínios na Internet – como tugatech.com.pt – para endereços IPs, que são usados para “ligar” os mesmos aos servidores corretos. Estes são uma parte bastante importante da internet, e servem como plataforma para permitir o correto funcionamento de vários sistemas.

O sistema DNSSEC, por usa vez, garante uma camada adicional de segurança para pedidos DNS, encriptando os conteúdos de forma a garantir que os mesmos não são alterados entre a origem e o servidor DNS de destino. Desta forma, os utilizadores podem garantir que se encontram a aceder ao local correto e que não foi maliciosamente modificado.

A falha KeyTrap encontra-se presente no DNSSEC faz mais de 20 anos, e foi descoberto por investigadores da National Research Center for Applied Cybersecurity ATHENE. Explorando a falha, um atacante pode realizar largos ataques contra sistemas DNS, causando atrasos na resolução de domínios ou até a sua indisponibilidade, bastando para tal um simples pacote.

Os investigadores demonstraram como é possível explorar esta falha para realizar longos e simples ataques, que podem causar graves problemas para sistemas de DNS em geral.

Um dos investigadores afirma que a falha é de tal forma grave que a mesma pode levar a que partes da internet fiquem completamente inacessíveis. Os investigadores afirmam ter trabalhado com empresas como a Google e Cloudflare para mitigar este problema desde Novembro de 2023.

De acordo com os investigadores, a falha estaria na própria implementação do DNSSEC, e acredita-se que esteja presente no mesmo desde meados de 1999. Portanto, a confirmar-se, a falha terá sido desconhecida durante mais de 25 anos.

Embora várias entidades gestoras dos maiores DNS a nível global tenham confirmado que estão a desenvolver correções para esta falha, a completa mitigação do mesmo pode levar a uma restruturação completa do DNSSEC .

19/02/2024
Zoom corrige vulnerabilidade crítica no cliente para Windows

A Zoom confirmou ter corrigido uma grave falha nas suas aplicações, que afetam sobretudo as versões da app para ambientes Windows, e que poderiam permitir aos atacantes obterem permissões administrativas nos sistemas.

O Zoom é uma popular aplicação de reuniões online, que ganhou bastante notoriedade no mercado no período da pandemia. A mesma é usada para realizar reuniões virtuais a partir de diferentes dispositivos. Em abril de 2020, a app contava com mais de 300 milhões de utilizadores diários.

A falha agora revelada afeta o cliente do Zoom para Windows, Zoom VDI, Rooms e Meeting SDK. De forma a evitar que a falha possa ser ativamente explorada para ataques, não foram para já revelados detalhes concretos sobre as mesmas, mas do que foi indicado, a mesma é classificada como “crítica”, e pode permitir que os atacantes consigam executar comandos para obterem privilégios mais elevados no sistema.

A falha apenas necessita que as vítimas realizem certas ações nos clientes para Windows, como carregar num link ou descarregar certos ficheiros, de forma a ser explorada.

Esta aparenta apenas afetar os clientes para Windows, sendo focada também para este sistema. A correção da falha já terá sido lançada pela empresa, pelo que se recomenda que os utilizadores que necessitam de ativamente usar o Zoom atualizem as suas aplicações o mais rapidamente possível.

14/02/2024
Falha crítica em pequeno programa afeta dezenas de distribuições Linux

Foi recentemente descoberta uma vulnerabilidade grave no Shim Linux bootloader, que pode afetar um vasto número de distribuições do Linux, e causar com que as mesmas possam ser comprometidas por atacantes.

O ataque explora uma falha no bootloader, que pode permitir a execução de código ainda antes do kernel carregar totalmente, o que contorna também algumas das medidas de segurança implementadas nos sistemas.

O Shim é um pequeno programa, usado para permitir a execução correta do Secure Boot em computadores com Unified Extensible Firmware Interface (UEFI). Este é fundamental para o correto arranque do sistema.

No entanto, o engenheiro da Microsoft, Bill Demirkapi, terá recentemente descoberto uma falha que, quando explorada, pode permitir que este pequeno programa seja usado para carregar código potencialmente malicioso, com o potencial de comprometer vários distros do Linux no mercado. A falha foi originalmente descoberta a 24 de Janeiro de 2024, com mais detalhes revelados publicamente a 2 de Fevereiro de 2024.

A correção do problema foi, entretanto, lançada, mas ainda pode demorar algum tempo para que seja implementada em todas as distribuições no mercado, o que pode deixar alguns sistemas vulneráveis durante algum tempo.

Os investigadores acreditam que a falha dificilmente será explorada de forma maliciosa em massa, tendo em conta que requer algumas configurações especificas de serem aplicadas. No entanto, como sempre, é recomendado que os utilizadores de distribuições Linux realizem a atualização dos seus sistemas o mais rapidamente possível.

07/02/2024
Falha grave permite tomar controlo de contas do Mastodon

O Mastodon é um sistema de rede social descentralizada, que permite a qualquer um iniciar a sua própria plataforma, baseada no protocolo ActivityPub. Esta rede é considerada uma das principais alternativas ao antigo Twitter, tendo ganho reputação depois de Elon Musk confirmar a compra da plataforma.

O facto de ser uma rede open source permite que qualquer um possa analisar o seu código fonte. E de acordo com uma recente descoberta, foi identificada uma vulnerabilidade na mesma, que pode permitir a atacantes obterem acesso a contas na plataforma.

As instâncias de Mastodon encontram-se separadas entre si, embora possam ser interligadas para comunicarem com os diferentes utilizadores nas mesmas. Estas instâncias são administradas por utilizadores variados, que são os administradores das mesmas.

Recentemente foi descoberta a falha CVE-2024-23832, que quando explorada, pode permitir aos atacantes terem controlo de contas dentro da plataforma, ou assumir o perfil das mesmas, enviando mensagens diretamente.

A vulnerabilidade afeta todas as instâncias com as versões anteriores à 3.5.17, 4.0.13, 4.1.13, e 4.2.5. A falha foi corrigida com a versão 4.2.5, que foi lançada durante o fim de semana, e será recomendado que todos os administradores de instâncias atualizem o mais rapidamente possível.

Os detalhes da falha não foram inteiramente revelados, para evitar que a mesma possa ser ativamente explorada, mas ficou indicado que os mesmos devem ser revelados a 15 de Fevereiro.

Os utilizadores do Mastodon e das instâncias da mesma não podem realizar nada para corrigir esta falha, além de incentivarem os administradores das instâncias a atualizarem o mais rapidamente possível. Felizmente, uma notificação de emergências foi enviada para todas as instâncias, pelo que os administradores das mesmas devem receber o alerta.

Caso a instância não seja atualizada, esta pode permitir aos atacantes tomarem controlo de praticamente qualquer conta na mesma, o que pode ter consequências graves se usada de forma incorreta, sobretudo tendo em conta que existem algumas contas importantes dentro do universo do Mastodon.

05/02/2024
Vulnerabilidade em sistemas Linux pode permitir acesso root

Foi recentemente descoberta uma falha que pode afetar vários sistemas Linux, e que poderá permitir a utilizadores sem permissões elevadas de obterem acesso root ao sistema.

A falha foi recentemente descoberta sobre o GNU C Library (glibc), que se encontra em praticamente todas as mais recentes distribuições do Linux. A falha foi introduzida com a atualização glibc 2.37, lançada em Agosto de 2022, e tem vindo a manter-se deste então, embora apenas recentemente tenha sido descoberta.

De acordo com os investigadores da empresa de segurança Qualys, a falha, se explorada, pode permitir que um utilizador sem privilégios elevados no sistema possa obter acesso root, e eventualmente, obter acesso completo ao sistema operativo e aos seus dados.

A falha possui algumas características bastante específicas para ser explorada, mas existe o potencial de se obter aceso root no sistema se todas as condições forem reunidas para tal.

Quando se encontrava a analisar a falha, a Qualys confirmou que a vulnerabilidade encontra-se em praticamente todas as distribuições mais recentes do Debian, Ubuntu e Fedora. Outras distribuições baseadas nestes sistemas podem igualmente encontrar-se afetadas.

Os investigadores recomendam que os administradores destes sistemas atualizem os seus pacotes o mais rapidamente possível, para garantir que se encontram com as versões mais recentes dos mesmos, e onde a falha possa encontrar-se resolvida.

31/01/2024
Vulnerabilidade em plugin do WordPress pode afetar um milhão de sites

Os utilizadores do WordPress devem ficar atentos aos plugins que possuem ativos nos seus sites e por vulnerabilidades nos mesmos, e recentemente, foi descoberto um que se encontra instalado em mais de um milhão de sites.

O plugin “Better Search Replace” é usado para facilitar a migração de domínios em sites WordPress, ajudando a alterar os registos da base de dados do site para o novo endereço. No entanto, uma falha recentemente descoberta pode colocar em risco a instalação dos sites.

Este plugin encontra-se atualmente ativo em mais de um milhão de sites, pelo que o potencial de ataque é bastante elevado. A empresa responsável pelo desenvolvimento do mesmo, a WP Engine, revelou ter lançado uma atualização na semana passada – a versão 1.4.5 – que corrige uma grave falha de segurança no mesmo.

Esta falha, se explorada, pode permitir a execução de código malicioso nas instalações do site, e consequentemente, pode levar a que o site fique comprometido, juntamente com as suas informações.

De acordo com a empresa de segurança Wordfence, desde que a falha foi confirmada publicamente, já foram identificados mais de 2500 ataques a sites WordPress para tentar explorar a mesma.

O problema encontra-se em todas as versões anteriores à 1.4.4, sendo que os administradores são aconselhados a atualizarem para a versão mais recente o mais rapidamente possível.

Atualmente, de acordo com os dados do site da WordPress, o plugin encontra-se ativo na versão 1.4 em 81% das suas instalações, deixando assim um elevado número de sites potencialmente vulneráveis.

25/01/2024
Apple corrige primeira vulnerabilidade zero-day de 2024

A Apple encontra-se a lançar uma nova atualização para os seus sistemas, com vista a corrigir uma vulnerabilidade zero day recentemente descoberta, que afeta iPhones, Macs e a Apple TV.

A falha, identificada como CVE-2024-23222, encontra-se a afetar o iOS, macOS e tvOS, podendo levar a que os atacantes consigam executar código malicioso no sistema afetado. Além disso, os utilizadores não necessitam de realizar nenhuma tarefa especifica para serem afetados, bastante aceder a um site maliciosamente criado para explorar a falha.

De acordo com a Apple, existem indícios de que a falha encontra-se a ser ativamente explorada para ataques. Apesar disso, a empresa não revelou detalhes sobre o mesmo ou o impacto a nível dos utilizadores atualmente.

A falha foi corrigida com a versão do iOS 16.7.5, iPadOS 16.7.5 e macOS Monterey 12.7.3, bem como o tvOS 17.3. os utilizadores que tenham um dispositivo afetado são aconselhados a atualizarem os seus sistemas para a versão mais recente disponível.

A atualização encontra-se desde já disponível, mas ainda pode demorar algumas horas a chegar a todos os utilizadores. Acredita-se que a falha pode ter sido explorada para ataques direcionados, mas ainda assim recomenda-se que os utilizadores instalem a mais recente atualização para os seus sistemas o quanto antes.

Esta é a primeira falha zero day que a Apple se encontra a corrigir em 2024.

22/01/2024
Falha zero-day em software da VMware explorada durante quase dois anos

Um grupo de hackers na China terão, durante mais de dois anos, explorado uma vulnerabilidade existente no vCenter Server da VMware, que seria classificada como uma falha zero-day desde meados de 2021.

A falha foi corrigida em Outubro, com a VMware a confirmar esta semana que a falha estaria a ser ativamente explorada para ataques. No entanto, não deixou mais detalhes sobre os mesmos ou a sua origem.

Apesar disso, a empresa de segurança Mandiant, revelou que a falha estaria a ser explorada por um grupo de hackers conhecido como UNC3886, e que possui ligações à China. Os atacantes terão usado a falha para explorar sistemas vCenter vulneráveis, e obterem acesso aos mesmos.

Apesar de a falha ter sido corrigida em Outubro de 2023, os investigadores acreditam que existem razões para acreditar que a falha estaria a ser explorada muito antes disso, pelo menos desde meados de 2021.

Não se conhecem exatamente as motivações do grupo para os ataques, mas acredita-se que poderão ter sido para espionagem, tendo em conta que outras atividades do grupo foram realizadas neste sentido.

19/01/2024
Nova vulnerabilidade permite recolher dados de VRAM em gráficas

Uma nova vulnerabilidade foi descoberta que pode afetar as placas gráficas de várias fabricantes, entre as quais a AMD, Apple, Qualcomm e Imagination Technologies. A falha foi apelidada de LeftoverLocals, e se explorada, pode permitir a recolha de dados da memória – contendo informação potencialmente sensível.

A falha permite que os atacantes possam recolher dados da memória da placa gráfica, sobretudo em sistemas usados para o tratamento de dados de modelos LLM e ML. De acordo com a empresa de segurança Trail of Bits, e dos investigadores Tyler Sorensen e Heidy Khlaaf, a falha foi reportada aos fabricantes afetados antes de ter sido publicamente divulgada.

A falha explora a framework usada em algumas gráficas, que não protege devidamente os dados da memória interna da mesma. Isto permite que os atacantes possam obter acesso aos conteúdos das mesmas, e recolher dados potencialmente sensíveis que estejam a ser usados.

Esta informação será particularmente perigosa em gráficas usadas para tratamento de dados de IA, como modelos LLM e de machine learning.

A falha foi inicialmente descoberta em Setembro de 2023, sendo que as fabricantes afetadas foram informadas da falha na mesma altura. Alguns dos fabricantes já lançaram o patch para corrigir o problema, enquanto que outros ainda se encontram a desenvolver os mesmos, e espera-se que estejam disponíveis durante os próximos dias.

No caso da Apple, por exemplo, a correção foi implementada no iPhone 15, e foram lançadas correções para os chips A17 e M3, mas ainda se encontra presente no M2.

As gráficas da Intel, NVIDIA e ARM não são afetadas por estas falhas, e portanto, não tiveram de lançar correções.

17/01/2024
Chrome corrige primeira falha zero-day de 2024

A Google confirmou ter lançado uma nova atualização para o Chrome, focada em corrigir uma vulnerabilidade zero-day no mesmo – a primeira de 2024.

De acordo com a empresa, a falha encontra-se classificada com a CVE-2024-0519, sendo que a empresa refere que existem indícios que se encontra a ser ativamente explorada para ataques.

A Google lançou a correção para todas as versões mais recentes do Chrome no canal estável, nomeadamente para Windows (120.0.6099.224/225), Mac (120.0.6099.234), e Linux (120.0.6099.224).

A empresa começou a disponibilizar o patch cerca de uma semana depois de a falha ter sido reportada à empresa. No entanto, a empresa afirma que ainda pode demorar vários dias ou semanas até que as novas versões estejam inteiramente disponíveis para todos os utilizadores.

O Chrome deverá atualizar-se automaticamente, mas quem pretenda pode pesquisar por a versão mais recente diretamente do menu de “Acerca” do navegador.

A falha em si encontra-se associada com o Chrome V8 JavaScript, e pode permitir que os atacantes obtenham acesso a dados da memória do sistema, eventualmente contendo informação sensível que tenha sido usada no navegador ou levando ao bloqueio do mesmo.

Além disso a falha pode ainda ser explorada para ativamente levar a que os atacantes possam executar códigos remotamente no navegador, ou explorar outras falhas existentes no mesmo. Portanto, tendo em conta o potencial de ataque, a atualização do navegador é recomendada o mais rapidamente possível.

Ao mesmo tempo, tratando-se de uma falha zero-day, a Google acredita que a falha pode encontrar-se a ser ativamente explorada para ataques, o que agrava a mesma consideravelmente. Para evitar uma exploração mais alargada, a empresa não revelou detalhes sobre a falha.

16/01/2024
150 mil sites WordPress podem estar vulneráveis devido a falha em plugin

Os utilizadores de sites WordPress devem ficar atentos a uma nova vulnerabilidade, existente no plugin POST SMTP Mailer. Este encontra-se instalado em mais de 300.000 websites, que podem agora encontrar-se vulneráveis a ataques caso não tenham realizado a atualização.

Os investigadores Ulysses Saicha e Sean Murphy, da empresa Wordfence, confirmaram a descoberta de duas novas vulnerabilidades sobre o plugin. Se exploradas, estas podem permitir aos atacantes realizar várias tarefas administrativas no site, incluindo aceder a informação potencialmente sensível.

A primeira falha foi classificada como critica, e permite usar o acesso REST do plugin para obter acesso a dados sensíveis de utilizadores do site, incluindo dados sobre o reset das senhas, que pode permitir acessos indevidos ao site. A falha encontra-se presente em todas as versões do plugin até à 2.8.7.

Com acesso administrativo, o atacante pode realizar praticamente qualquer ação sobre o site, incluindo modificar conteúdos e aplicar outros scripts e plugins maliciosos na instalação, que podem comprometer a segurança de utilizadores e de visitantes do site.

A segunda vulnerabilidade identificada será de cross-site scripting (XSS), e ocorre devido a uma falha no código existente no plugin.

A Wordfence afirma ter contactado os criadores do plugin a 8 de Dezembro de 2023, seguindo-se uma prova de conceito da exploração das falhas a 15 de dezembro.

Os criadores do plugin lançaram a correção para esta falha com a versão 2.8.8, lançada no dia 1 de Janeiro de 2024.

Tendo em conta as estatísticas do portal do WordPress, ainda existem cerca de 150.000 sites potencialmente vulneráveis a ataques, com versões antigas do plugin que ainda não foram atualizados. Aos administradores que tenham este plugin, recomenda-se a sua atualização imediata.

11/01/2024
Windows 10 falha na instalação do recente Patch Tuesday em alguns sistemas

Os utilizadores do Windows 10 que, recentemente, instalaram o Patch Tuesday de Janeiro de 2024 podem verificar alguns problemas com o mesmo. Isto porque foi confirmado que a atualização parece estar a causar algumas falhas em determinados sistemas.

As falhas parecem estar associadas com a atualização KB5034441, que foi lançada com a correção de uma falha de segurança, associada ao BitLocker. No entanto, os utilizadores encontram-se a reportar o erro 0x80070643 quando tentam instalar a versão mais recente.

Depois do sistema ser reiniciado, é apresentada a mensagem que ocorreu um erro na instalação da atualização, e para os utilizadores tentarem novamente mais tarde. No entanto, o erro persiste mesmo quando se tenta atualizar novamente.

A Microsoft alertou ainda que, com esta atualização, alguns utilizadores também podem verificar a mensagem de erro “Windows Recovery Environment servicing failed, (CBS_E_INSUFFICIENT_DISK_SPACE)” no registo de eventos do Windows, que normalmente indica que o espaço para a partição do Windows Recovery não é suficiente para instalar a atualização.

Isto ocorre porque a atualização também instala uma nova versão do Windows Recovery Environment (WinRE), como forma de corrigir a vulnerabilidade do BitLocker. No entanto, a menos que os utilizadores tenham alterado manualmente esta partição, a mesma deve contar com cerca de 500 MB, o que é insuficiente para instalar o novo sistema.

Até agora, a única solução oficial da Microsoft passa por os utilizadores aumentarem o tamanho das suas partições de recuperação, o que nem todos podem ter conhecimentos para realizar. No entanto, é possível que a Microsoft venha a fornecer uma atualização para corrigir este problema no futuro, que seja aplicada de forma automática.

10/01/2024
Falha no Chrome pode permitir roubo persistente de contas da Google

Um grupo de investigadores revelaram ter descoberto uma nova vulnerabilidade grave no Google Chrome, que pode permitir que sejam roubados conteúdos sensíveis do mesmo que podem permitir acesso às contas dos utilizadores.

Os investigadores da empresa de segurança CloudSEK revelaram ter descoberto uma nova vulnerabilidade no Google Chrome, que pode permitir a terceiros obterem acesso às contas da Google das vítimas. Esta falha explora uma nova vulnerabilidade descoberta no protocolo de autenticação OAuth2.

A falha exige que o sistema operativo já se encontre comprometido com malware, mas basicamente esta pode permitir que os atacantes consigam regenerar cookies de autenticação via o Chrome, que podem permitir um acesso consistente às contas das vítimas, mesmo se o IP e senhas de acesso forem modificadas.

A Google também confirmou a falha, mas esta encontra-se associada com a própria forma como o navegador funciona, e exige que o sistema já se encontre comprometidos por outros meios. Para já, a empresa apenas recomenda que os utilizadores ativem o Enhanced Safe Browsing no navegador para prevenir o download de malware e outros conteúdos maliciosos no sistema.

03/01/2024
Vulnerabilidade zero-day descoberta no ERP Apache OFBiz

Os investigadores de segurança da empresa SonicWall revelaram uma nova falha de segurança no Apache OFBiz, um sistema open source Enterprise Resource Planning (ERP).

A falha foi identificada como CVE-2023-51467, e conta com a classificação CVSS de 9.8, que será uma das classificações mais graves da escala. Se explorada, a falha pode permitir o acesso a dados sensíveis da instalação, ou em alguns casos, a capacidade de correr código diretamente no sistema.

A equipa da SonicWall terá informado os responsáveis pelo Apache OFBiz sobre a vulnerabilidade, juntamente com tempo suficiente para que os patches e correções fossem lançados.

Para os utilizadores que usem o Apache OFBiz, é recomendado que o mesmo seja atualizado para a versão 18.12.11 ou mais recente, que serão as versões consideradas como “seguras”.

28/12/2023
Google corrige nova vulnerabilidade zero-day no Chrome

A Google lançou uma nova atualização para o Chrome, focada em corrigir uma nova falha zero-day descoberta no navegador. Esta é a oitava correção aplicada neste formato durante o ano.

A empresa afirma que a falha CVE-2023-7024 encontra-se a ser ativamente explorada para ataques, tendo lançado uma atualização de emergência para o navegador, com vista a corrigir a mesma.

Na maioria dos sistemas, a atualização deve ser automaticamente instalada, via o sistema de atualizações do Chrome. No caso do Windows, a versão com a correção será a 120.0.6099.129/130, enquanto que em Linux e macOS será 120.0.6099.129.

A falha foi descoberta por Clément Lecigne e Vlad Stolyarov da Threat Analysis Group (TAG) da Google, um grupo de investigadores de segurança focados em descobrir falhas em software popular no mercado que pode ser usado para ataques de espionagem.

Apesar de não terem sido revelados detalhes concretos sobre a falha, tendo em conta que foi feita a descoberta pelo grupo TAG, isto indica que a mesma poderia estar a ser explorada para ataques de espionagem com suporte de entidades governamentais.

A atualização ainda pode demorar algumas horas a chegar a todos os sistemas, mas os utilizadores são aconselhados a reiniciarem os seus navegadores, para garantir que a atualização fica disponível.

21/12/2023
Ledger confirma ataque com código malicioso que afeta todas as dApps

A plataforma Ledger encontra-se a alertar os utilizadores para não usarem dApps web3, tendo em conta a recente descoberta de uma vulnerabilidade, que pode levar a que as carteiras dos utilizadores sejam comprometidas.

Em causa encontra-se o javascript “Ledger dApp Connect Kit”, usado como forma de integração em plataformas dApps, que permite a integração das mesmas com as carteiras físicas da Ledger.

No entanto, foi hoje descoberto que o código desta distribuição terá sido comprometido, tendo integrado uma secção focada em roubar os fundos das carteiras dos utilizadores. Até ao momento estima-se que o ataque tenha levado ao roubo de 600.000 dólares em criptomoedas e NFTs.

A versão 1.1.8 foi rapidamente lançada durante o dia de hoje para corrigir este problema, mas ainda pode demorar várias horas a propagar-se a todos os projetos que fazem uso do código. Além disso, pode não chegar para plataformas que não usam a versão mais recente automaticamente.

O código malicioso foi descoberto entre as versões 1.1.5 e 1.1.7, e terá sido injetado por uma conta NPMJS comprometida, que terá enviado os códigos maliciosos para as versões silenciosamente. Os utilizadores são aconselhados a evitarem todas as interações com plataformas dApps até que se garanta que as mesmas estão atualizadas para a versão mais recente.

A entidade afirma que o script terá estado disponível apenas durante 5 horas, e que a versão maliciosa foi removida 40 minutos depois do ataque ter sido identificado. A investigação do incidente, no entanto, ainda se encontra a decorrer.

Para os utilizadores finais, estes são aconselhados a evitarem todas as dApps durante os próximos tempos, e a ficarem atentos a transações suspeitas das suas carteiras.

14/12/2023
50 mil sites WordPress expostos a falha grave de plugin de backup

O plugin do WordPress Backup Migration é bastante conhecido por facilitar a migração de conteúdos entre sites, mas recentemente foi também descoberta uma falha no mesmo que pode permitir o controlo total dos sites.

De acordo com a empresa de segurança Wordfence, foi recentemente descoberta uma nova vulnerabilidade no plugin Backup Migration, que quando explorada, permite a execução remota de código no mesmo. Esta falha foi classificada como sendo grave, e pode permitir que os atacantes tenham total controlo do site e da sua área de administração.

A falha é relativamente simples de ser explorada, e afeta praticamente todas as versões existentes do plugin, portanto existe um elevado potencial de afetar largas dezenas de sites pela internet.

Ao enviarem um pedido específico para determinados ficheiros do plugin, os atacantes podem executar código remotamente no site, com o potencial de comprometer informações do mesmo ou de obterem acesso ao painel de administração.

A falha foi reportada aos programadores da entidade BackupBliss, responsáveis pelo plugin, que em apenas algumas horas lançaram a correção. A falha foi originalmente reportada a 6 de Dezembro.

Apesar de a atualização do Backup Migration 1.3.8 ter sido lançada para corrigir esta falha, cerca de uma semana depois ainda existem mais de 50.000 websites com versões desatualizadas e vulneráveis do plugin.

Tendo em conta a gravidade da falha, e o simples da mesma ser explorada, recomenda-se que os administradores de sites WordPress com este plugin garantam que se encontram com a versão mais recente.

12/12/2023
Falha 5Ghoul afeta praticamente todos os dispositivos com 5G

Foi recentemente descoberta uma nova vulnerabilidade, que afeta todos os dispositivos com chips 5G que tenham sido fabricados pela Qualcomm ou MediaTek. A vulnerabilidade ficou conhecida como “5Ghoul”, e afeta vários dispositivos no mercado que suportam a nova tecnologia de redes sem fios.

De acordo com os investigadores, a falha foi identificada em pelo menos 710 dispositivos de parceiros da Google, Apple, routers e modens USB. A falha 5Ghoul foi descoberta por um grupo de investigadores em Singapura, e afeta pelo menos 14 vulnerabilidades sobre o sistema de comunicações sem fios, 10 das quais foram publicamente reveladas e 4 ainda se encontram pendentes, devido a serem mais graves do ponto de vista da segurança.

Os atacantes podem usar a 5Ghoul para realizar vários formatos de ataques contra dispositivos que possuem estes modens. A falha pode ainda ser rapidamente explorada, caso os atacantes tenham acesso a um sistema que permita criar falsas redes 5G, das quais os dispositivos móveis podem ligar-se.

O mais grave encontra-se no facto das falhas poderem ser facilmente exploradas com hardware que se encontra acessível de forma relativamente simples. Um atacante pode suar este meio para atacar dispositivos de alvos específicos, o que a torna uma ferramenta bastante importante para espionagem.

Apesar de os investigadores terem confirmado a falha em 714 dispositivos de 24 marcas diferentes, é importante ter em conta que o número de dispositivos afetados pode ser consideravelmente superior, tendo em conta que as mesmas afetam a base das ligações 5G e a forma como os modems nestes dispositivos funcionam.

Os investigadores deixaram mais detalhes sobre a falha no artigo publico das mesmas, juntamente com uma prova de conceito que demonstra como a falha pode ser explorada.

Tanto a Qualcomm como a MediaTek já lançara correções para a falha 5Ghoul, que começaram a ser distribuídas faz cerca de dois meses, quando estas tiveram conhecimento das mesmas. No entanto, a disponibilização das correções para os dispositivos afetados pode demorar bastante mais tempo, isto se chegar a todos os modelos – tendo em conta que muitos podem já nem encontrar-se a ser suportados pelas empresas.

Não existe uma forma de prevenir ataques deste género, exceto deixar de usar redes 5G por completo.

08/12/2023
WordPress 6.4.2 corrige vulnerabilidade de segurança grave

Os utilizadores de sites em WordPress talvez queiram certificar-se que os mesmos estão atualizados. Foi durante o dia de hoje lançada a nova atualização do WordPress 6.4.2, que corrige algumas falhas de segurança importantes para o mesmo.

Esta versão veio corrigir uma falha que poderia permitir a execução remota de código, o que eventualmente poderia levar a que conteúdos PHP fossem executados nos sites afetados.

O WordPress é um popular sistema de gestão e criação de sites, sendo usado em mais de 800 milhões de sites pela internet – cerca de 45% de todos os sites na internet. Portanto, uma falha de segurança grave será certamente algo que pode ter um grande impacto.

A falha, apesar de ainda necessitar de alguma complexidade a nível de plugins e temas, pode permitir que, nas condições certas, um site possa ser comprometido ou tenha conteúdos potencialmente sensíveis obtidos pela mesma.

A atualização deve ser automaticamente instalada para quem tenha esse sistema ativo – por padrão deve encontrar-se ativo. Os restantes devem aceder ao painel de administração, e instalar manualmente a nova versão, que deve surgir na área de atualizações do site.

07/12/2023
Nova falha SLAM afeta processadores AMD e futuros Intel e ARM

De tempos a tempos surgem algumas falhas que afetam a base das arquiteturas dos processadores no mercado, seja da AMD ou da Intel. E recentemente, um grupo de investigadores revelou ter descoberto um novo formato de ataque, apelidado de SLAM.

Este ataque pode afetar os processadores mais recentes da AMD e futuros modelos da Intel, permitindo obter dados sensíveis que passam pelo mesmo. A falha foi descoberta pelos investigadores da Systems and Network Security Group (VUSec Group) na Vrije Universiteit Amsterdam.

A falha explora uma vulnerabilidade no formato de como os processadores recolhem informações da memória interna, e permite que os atacantes possam obter essa informação.

Se explorada, os atacantes podem obter dados sensíveis que se encontram na memória do processador, o que pode incluir informações como detalhes de login, chaves de encriptação e outras informações sensíveis enviadas pelo sistema.

Para explorar a falha, os atacantes necessitam de possuir acesso físico ao sistema, de forma a executarem o código necessário para essa tarefa. No entanto, mesmo que o acesso físico seja necessário, este ainda abre portas para possíveis ataques e roubos de dados em diversos equipamentos.

Os investigadores acreditam que esta falha pode explorar uma vasta linha de processadores da Intel, AMD e até mesmo sistemas ARM. Os processadores da AMD serão os mais afetados, tendo em conta que aplica-se a praticamente todos os modelos lançados até agora.

No caso de processadores Intel, apenas alguns modelos que estão previstos para o futuro serão vulneráveis, assim como processadores da ARM. Existe ainda a possibilidade de futuros processadores da AMD estarem vulneráveis, caso a fabricante não aplique medidas corretivas.

Felizmente, os fabricantes indicam que as atuais medidas de proteção contra o Spectre serão suficientes para garantir que os sistemas se encontram protegidos – mas ainda assim será necessário que os utilizadores apliquem essas medidas nos seus sistemas.

07/12/2023
Atualização de Dezembro do Android corrige vulnerabilidade grave no sistema

A Google revelou que a atualização de Dezembro de 2023 para o Android encontra-se oficialmente disponível, e esta será particularmente importante, visto contar com uma correção para uma vulnerabilidade grave no sistema.

A falha encontra-se classificada como CVE-2023-40088, e afeta a base do Android. Esta permite que código remoto possa ser executado no sistema sem a interação dos utilizadores, que é uma das mais graves vulnerabilidades que pode existir para o sistema operativo.

Basicamente, esta falha pode ser explorada no sistema sem que os utilizadores tenham de realizar qualquer tarefa concreta, abrindo portas para que código remoto possa ser executado no Android. Se o código for executado num processo com permissões elevadas, pode levar a que dados sensíveis possam ser recolhidos.

Tendo em conta a gravidade da falha, a Google não revelou mais detalhes sobre a mesma, sendo que deverá realizar essa tarefa apenas quando um elevado número de dispositivos estiverem atualizados com o patch mais recente.

Além desta correção, o patch de segurança do Android de Dezembro conta ainda com correções para 84 vulnerabilidades de segurança no sistema. Três das mesmas são consideradas críticas, com capacidade de elevar os privilégios no sistema.

De notar que, apesar de a atualização encontrar-se disponível a partir de hoje, ainda pode demorar bastante tempo a chegar a todos os dispositivos no mercado. Isto porque a atualização necessita de ser integrada pelos próprios fabricantes, processo que pode demorar algum tempo a ser realizado em todos os dispositivos.

E isto não inclui dispositivos que se encontram fora do suporte oficial, que possivelmente não irão receber a atualização.

04/12/2023
Falso alerta de vulnerabilidade afeta administradores de sites WordPress

Os utilizadores de sites baseados em WordPress encontram-se a ser alvo de uma nova campanha de malware, que pretende levar os mesmos a instalar um plugin malicioso nos seus sites.

O esquema começa quando os administradores dos sites WordPress recebem um email, alegadamente da equipa de segurança do WordPress, a informar da existência de uma falha de segurança no site. A mensagem indica a existência de uma falha conhecida com o código CVE-2023-45124 – que não existe – mas que é o pretexto usado para levar os utilizadores a instalar um plugin, alegadamente para corrigir o problema.

De acordo com a empresa de segurança Wordfence, a mensagem de email possui um design que pode enganar os utilizadores mais atentos, com texto convincente. Um dos pontos de falha encontra-se no facto da mensagem ser enviada de um email aleatório, e não diretamente dos sistemas da WordPress.

Se os utilizadores carregarem no link para instalar o suporte plugin, são reencaminhados para um falso site que se faz passar com a imagem do diretório de plugins do WordPress. Este apresenta uma página falsa com o plugin que, alegadamente, iria resolver a falha.

Para dar legitimidade ao plugin, a página apresenta ainda uma elevada votação no mesmo, juntamente com falsos reviews deixados por contas desconhecidas.

Se os administradores realmente instalarem o plugin, estarão a dar acesso aos seus sites e servidores, uma vez que o mesmo instala um administrador escondido no site, que pode realizar qualquer tarefa dentro do mesmo. Além disso, o plugin também instala um ficheiro de controlo remoto, que permite aos atacantes acederem ao sistema e recolherem informação sensível do mesmo.

Como sempre, é recomendado que os utilizadores evitem instalar plugins de fontes desconhecidas, ainda mais quando estes partem de sites que não são os fidedignos das entidades.

04/12/2023
Google alerta para nova vulnerabilidade zero-day no Chrome

A Google encontra-se a disponibilizar uma nova atualização de emergência para o Chrome, focada em corrigir uma nova vulnerabilidade zero-day no navegador. Esta é a quinta correção de vulnerabilidades do género que a empresa fornece para o navegador este ano.

De acordo com a empresa, a falha encontra-se registada como CVE-2023-6345, sendo que a Google acredita que a falha encontra-se a ser ativamente explorada para ataques. A atualização encontra-se agora a ser disponibilizada para os utilizadores no canal Estável do Chrome para o Windows (119.0.6045.199/.200), macOS e Linux (119.0.6045.199).

A atualização deve ser automaticamente instalada no navegador, embora a Google indique que ainda pode demorar alguns dias a chegar a todos os sistemas.

A falha encontra-se relacionada com o motor gráfico 2D Skia, que é usado no navegador para a apresentação de conteúdos. A falha foi originalmente descoberta em 24 de Novembro, por um investigador da Google Threat Analysis Group (TAG).

Acredita-se que a falha esteja a ser explorada para ataques de spyware, focada em recolher informações de potenciais vítimas. Tendo em conta que a Google acredita que a falha se encontra ativamente a ser explorada, para já não foram revelados mais detalhes sobre a mesma.

Se utiliza o Google Chrome, recomenda-se que atualize o mais rapidamente possível o navegador. Isso pode ser feito acedendo diretamente a chrome://settings/help , onde a atualização deve ser automaticamente transferida e instalada.

28/11/2023
Plugin do WordPress WP Fastest Cache com vulnerabilidade crítica de SQL

O plugin do WordPress WP Fastest Cache é conhecido como um dos mais populares plugins de cache no sistema, contando com milhares de utilizadores ativos. Os dados do portal do WordPress indicam que o mesmo encontra-se instalado em mais de 600.000 websites atualmente.

No entanto, foi recentemente descoberta uma vulnerabilidade no mesmo, a qual pode ser explorada para permitir a leitura de conteúdos das bases de dados dos sites. A falha foi descoberta pela equipa WPScan da Automattic, e encontra-se classificada com a gravidade de 8.6 em 10. A falha, se explorada, pode permitir que os atacantes enviem comandos SQL para o sistema, com o objetivo de lerem conteúdos da base de dados onde o site se encontre. Esta informação pode permitira recolha de dados potencialmente sensíveis ou a execução de comandos maliciosos.

O mais grave encontra-se no facto que a falha pode ser explorada praticamente sem qualquer permissão administrativa, pelo que um utilizador não autenticado pode realizar a tarefa. Através da manipulação dos valores dos cookies do site, um atacante pode teoricamente obter acesso aos conteúdos das bases de dados, através da leitura dos mesmos.

Tendo em conta que a base de dados tende a possuir informação relativamente sensível dos utilizadores e das configurações do site, esta falha pode ser explorada para a recolha de informação potencialmente sensível dos sites. Os investigadores vão revelar uma prova de conceito da falha no dia 27 de Novembro de 2023, mas tendo em conta que a falha não é difícil de ser explorada, é possível que os atacantes a comecem a tentar explorar antes disso.

Os utilizadores que tenham sites WordPress com este plugin são aconselhados a atualizarem para a versão 1.2.2, que foi lançada durante o dia de ontem e conta com as respetivas correções para a vulnerabilidade, evitando a sua exploração.

15/11/2023
Processadores AMD EPYC alvo de uma nova vulnerabilidade

Os utilizadores de sistemas com processadores AMD encontram-se agora abertos a uma nova vulnerabilidade, conhecida como “CacheWarp”, que pode permitir ataques diretos a sistemas em máquinas virtuais, permitindo que se escape do ambiente virtualizado para executar comandos remotos no sistema hospedeiro.

A falha agora descoberta explora vulnerabilidades nas tecnologias AMD Secure Encrypted Virtualization-Encrypted State (SEV-ES) e Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP), que foram criadas com foco em ambientes virtualizados. A ideia das duas tecnologias será proteger os sistemas em ambientes virtuais, reduzindo o potencial de ataque e encriptando dados transmitidos diretamente pelos processadores.

De acordo com a descoberta dos investigadores de segurança, esta falha pode ser explorada para permitir que atacantes obtenham acesso a ambientes virtualizados, até mesmo os que se encontrem encriptados, e eventualmente podem ganhar acesso administrativo aos mesmos, com a capacidade de correr comandos remotos no sistema e contornando os meios tradicionais de autenticação.

Os investigadores demonstraram a falha ao contornarem a encriptação aplicada numa máquina virtual, e ao terem conseguido aceder à sessão OpenSSH desse sistema sem autenticação, eventualmente correndo dados sensíveis e comandos remotos via root.

Se explorada com sucesso, os atacantes podem obter praticamente acesso completo ao sistema virtual, contornando as tradicionais técnicas de encriptação de dados e proteção do ambiente virtual. Podem ainda obter permissões root nos sistemas, com o potencial de envio de códigos remotamente para os mesmos e para as suas aplicações.

A AMD já terá confirmado esta falha, indicando que a mesma afeta processadores EPYC que conta com suporte SEV, entre os quais a 1ª, 2ª e 3ª geração dos processadores AMD EPYC. A empresa afirma que a quarta geração de processadores da linha não se encontra vulnerável a esta falha. De momento ainda não existe uma mitigação da falha para sistemas na primeira e segunda geração de processadores. Para os sistemas com processadores de terceira geração, a AMD lançou uma atualização de firmware que deverá corrigir o problema, e não afeta o desempenho do chip.

14/11/2023
Samsung lança o seu novo modelo de IA generativa “Gauss”

A Samsung confirmou hoje a chegada do seu primeiro modelo de IA generativa, que vai ser apelidado de Gauss. Durante o evento Samsung AI Fórum, que se realizou em Seul, a empresa revelou o seu primeiro modelo de IA que vai ser, futuramente, usado em novos produtos e serviços.

De acordo com a empresa, o Gauss foi desenvolvido pela Samsung Research, e encontra-se focado em usar a IA para melhorar a vida e o dia a dia dos utilizadores. O modelo encontra-se dividido em três sub-modelos importantes: Samsung Gauss Language, Samsung Gauss Code, e Samsung Gauss Image. Estes conjugam-se para criar os resultados finais da IA generativa.

O Gauss Language é usado para ajudar em tarefas envolvendo escrita e conteúdos, como é o caso de escrever emails ou documentos, criar resumos, entre outras atividades voltadas para texto. Por sua vez, o Gauss Code encontra-se focado para tarefas relacionadas com programação, usando o software de desenvolvimento da empresa “code.i”. Este deverá ajudar a fornecer código para os programadores, de forma eficiente e rápida, bem como a melhorar o existente em diferentes linguagens de programação.

Por fim, o Gauss Image será focado para conteúdos relacionados com imagens, tendo a capacidade de criar ou editar os conteúdos. Este sistema pode ainda usar a IA para melhorar fotos de baixa resolução e aumentar a sua qualidade final – algo que certamente poderemos vir a ter em futuros dispositivos da empresa.

A empresa encontra-se ainda focada em que o uso da sua IA seja feita de forma segura, tendo criado uma equipa dedicada para analisar e encontrar possíveis falhas e vulnerabilidade nos seus modelos de IA, bem como identificar possíveis pontos que violem a privacidade. Com o Gauss, a Samsung junta-se assim na lista de empresas que vão começar a usar as suas próprias soluções de IA para melhorar futuros produtos e serviços que forneçam.

De momento, o Gauss encontra-se focado apenas para uso interno da Samsung, mas a empresa espera brevemente começar os testes junto da comunidade, e para um leque mais alargado de utilizadores.

08/11/2023
Vulnerabilidade nos drivers do Windows pode permitir total controlo do sistema

O Windows é um dos sistemas mais usados a nível mundial, e como tal, é também um dos que recebe mais destaque pelos atacantes, que pagam largas quantias por falhas que possam afetar o sistema de alguma forma. E recentemente, um investigador da empresa VMware Carbon Black revelou ter descoberto uma vasta lista de vulnerabilidades, que afetam o sistema e dispositivos ligados ao mesmo, nomeadamente via os drivers.

O investigador afirma ter descoberto um total de 34 falhas, que afetam os drivers do sistema, e que podem permitir aos atacantes terem total controlo do sistema operativo e dos seus dados. As falhas afetam os drivers de empresas como a Intel, AMD, Nvidia, Dell e Phoenix Technologies.

Em causa encontra-se falhas associadas com drivers de dispositivos antigos, que podem ainda permanecer no sistema, e abrir portas para possíveis explorações maliciosas. Explorando as falhas, os atacantes podem rapidamente obter controlo do sistema para os mais variados fins.

Num dos exemplos, o investigador demonstrou como é possível usar o Terminal do Windows, com um utilizador do sistema sem privilégios administrativos, e explorando a falha é possível executar recursos que apenas seriam possíveis com permissões de Administrador. Isto ocorre até mesmo em sistemas do Windows 11 com HVCI (Hypervisor-protected Code Integrity), que deveria fornecer proteção adicional contra este género de ataques.

A ter em conta que as falhas não se encontram diretamente no Windows, mas sim nos drivers que se encontram no sistema, associados com diferentes entidades. Estes podem ser instalados como parte do hardware que o utilizador tenha ou que tenha usado no passado, mas onde os conteúdos ainda permanecem na instalação do sistema.

Estas falhas foram reportadas às respetivas empresas, mas até ao momento apenas a Phoenix Technologies e a AMD confirmaram as mesmas, com as respetivas correções lançadas.

04/11/2023
Flipper Zero pode causar ataques DoS a iPhones

Os novos dispositivos da Apple contam com uma vulnerabilidade que pode ser rapidamente explorada usando o conhecido Flipper Zero. A falha foi descoberta pelo investigador Jeroen van der Ham, e afeta praticamente todos os dispositivos com iOS 17 mais recentes da Apple.

O investigador notou que o seu dispositivo, durante uma viagem para a Alemanha, estaria a mostrar notificações de se encontrar a ligar a uma Apple TV, e que em certos momentos reiniciava sozinho. Nem mesmo ativando o modo lockdown, que a Apple criou para emergências no sistema, resolvia o problema. Este problema aconteceu enquanto o mesmo se encontrava num comboio no pais, e saindo do mesmo, o problema parava. No entanto, neste cenário, o investigador reparou que um jovem estaria a usar um computador portátil próximo de si, dentro da carruagem, e onde também teria um Flipper Zero ativo.

Face ao problema que teria verificado, o investigador tentou replicar a situação depois de chegar a casa, tendo descoberto uma falha que pode ser explorada pelo Flipper Zero, para enganar o sistema como se estivesse a ligar a um dispositivo da Apple TV, quando na verdade estaria a ligar ao Flipper Zero. Com isto, o dispositivo pode apresentar notificações repetidas de ligação, que acabam por causar problemas na gestão do sistema e da sua memória, eventualmente levando ao bloqueio do mesmo e reinicio.

A falha não parece causar danos de maior, além do incómodo de ter as notificações constantemente a ser enviadas e o dispositivo a reiniciar, mas ainda assim, parece ser mais uma falha que se encontra sobre o sistema da Apple, e que pode ser explorada para certos ataques.

04/11/2023
CCleaner com dados de clientes roubados devido a incidente da MOVEit

A CCleaner, popular aplicação de limpeza de sistemas Windows, confirmou que foi uma das vítimas de ataques do incidente com o MOVEit, de onde dados de clientes da empresa podem ter sido comprometidos.

De acordo com o comunicado da empresa esta confirma que foi um dos alvos do incidente que recentemente afetou a MOVEit, e onde dados sensíveis de alguns clientes podem ter sido acedidos e roubados. Entre os dados encontram-se nomes, informações de contacto como email e número de telefone, e informações usadas no momento do pagamento. A empresa mãe responsável pela CCleaner, a Gen Digital, afirma que todos os clientes afetados terão sido notificados via email, com mais detalhes do incidente.

Na investigação do incidente, foi identificado que o roubo teria ocorrido derivado da falha com o MOVEit, que recentemente foi alvo de ataques em larga escala depois da descoberta de uma vulnerabilidade no software – que estaria a ser explorada desde Maio de 2023. Esta falha terá afetado centenas de empresas que usaram as plataformas da MOVEit para a transferência de dados. Os dados mais recentes apontam que cerca de 2000 empresas podem ter sido afetadas, com dados de 65 milhões de individuais comprometidos.

A Gen Digital não deixou detalhes sobre o número exato de clientes afetados, mas indica que cerca de 2% dos cerca de 65 milhões de clientes da empresa terão sido afetados.

30/10/2023
Nova vulnerabilidade no Safari pode permitir roubo de dados do navegador

Se utiliza dispositivos da Apple, talvez seja boa ideia ter em atenção a forma como usa o navegador Safari da empresa. Recentemente foi descoberta uma nova falha, que pode ser explorada pelo navegador da Apple para roubar dados sensíveis do sistema.

Apelidada de iLeakage, esta falha foi descoberta por um grupo de investigadores da Georgia Tech, University of Michigan e Ruhr University Bochum, e afeta o Safari dentro dos sistemas da Apple. Se explorada, a falha permite recolher dados sensíveis do navegador, contornando algumas medidas de segurança que o navegador implementa exatamente para prevenir essa recolha. A falha também pode ser explorada para navegadores de terceiros, como o Firefox, Tor e Edge no iOS, e encontra-se com raízes no que foi em tempos descoberto com os ataques Spectre.

Explorando a falha, os investigadores conseguiram contornar as medidas de proteção e isolamento de sites que o Safari implementa, e que se focam em evitar que os mesmos recolham dados sensíveis, para aceder aos mesmos. Os investigadores afirmam que a falha pode ser explorada através do simples acesso a um site que tenha sido maliciosamente criado para o efeito. Ao mesmo tempo, se essas páginas forem integradas em outros conteúdos ou sites, podem também roubar dados que sejam introduzidos nos mesmos – como é o caso de senhas ou emails e outra informação dos utilizadores.

Tudo o que as vítimas necessitam de realizar é interagir com o site usado para explorar a falha, e a partir dai o mesmo pode recolher dados do navegador – mesmo que se encontre em outra janela ou aba do mesmo. Os investigadores usaram a falha para recolher dados do Gmail, usando a exploração pelo site maliciosamente criado para esse fim.

Os investigadores também aplicaram o mesmo conceito para roubarem informação mais sensível, como as senhas do Instagram que foram automaticamente preenchidas por um gestor de senhas (LastPass) no navegador.

De notar que a falha afeta sistemas que tenham processadores da Apple (M1 e M2, bem como a linha A). Com isto, a falha pode afetar praticamente todos os dispositivos mais recentes da empresa, que tenham sido lançados depois de 2020 e contem com um processador das linhas A ou M.

Além disso, o ataque é realizado de forma silenciosa, sendo que os dados podem ser roubados sem praticamente qualquer identificação de tal no sistema das vítimas – mesmo posteriormente ao roubo.

Os investigadores reportaram esta falha à Apple em Setembro de 2022, sendo que a Apple aplicou medidas para mitigar o problema em vários sistemas afetados.

26/10/2023
Dispositivos vulneráveis por falhas no Cisco IOS XE cai misteriosamente

Recentemente foi descoberta uma falha sobre o sistema Cisco IOS XE, que as análises iniciais apontavam que poderia afetar mais de 50.000 dispositivos ativos no mercado. No entanto, sem razão aparente, o número de dispositivos afetados agora parece ter caído consideravelmente.

A Cisco revelou esta semana duas vulnerabilidades no seu sistema, que poderiam ser exploradas para instalar um backdoor em dispositivos da empresa. Numa análise feita pelos investigadores, estimava-se que cerca de 50,000 dispositivos da empresa pudessem ser comprometidos, estando ligados à Internet e com vertentes de acesso públicas e com o backdoor ativo. Felizmente, a ameaça pode ser rapidamente removida com o reboot, no entanto esta cria um utilizador secundário nos dispositivos que, teoricamente, ainda poderia ser acedido.

Apesar disso, de forma repentina, o número de dispositivos que agora foram confirmados como estando infetados caiu consideravelmente. Sem razão aparente, o número passou de 50.000 dispositivos para cerca de 100 a 1200, dependendo do sistema usado para analisar. Não existe uma razão especifica que justifique esta queda abrupta de dispositivos afetados. No entanto, alguns investigadores apontam que o atacante que estaria a usar a vulnerabilidade para infetar os dispositivos, agora pode ter atualizado o código da mesma, integrando uma funcionalidade que impede a identificação dos dispositivos infetados.

Isto não quer dizer que os problemas tenham sido resolvidos. Apenas a forma como o backdoor se instala foi atualizada, para ocultar ainda mais as suas atividades, e tornar mais difícil a identificação dos dispositivos que se encontram verdadeiramente comprometidos.

Existe ainda a teoria de que o atacante pode ter reiniciado todos os dispositivos infetados para tentar ocultar as suas atividades, mas as razões concretas são para já desconhecidas.

22/10/2023
VLC 3.0.19 oficialmente disponível para download

O VLC é, possivelmente, um dos leitores multimédia mais reconhecidos da atualidade. E o mesmo acaba agora de receber uma nova atualização, com melhorias e várias implementações de correções.

A nova versão 3.0.19 do VLC encontra-se oficialmente disponível, sendo a primeira grande atualização do programa desde Novembro de 2022. Uma das novidades encontra-se nas melhorias no suporte a conteúdos AV1 HDR, suporte a tags RIFF INFO para ficheiros WAV e várias melhorias no suporte a ficheiros AVI.

Foi ainda adicionado suporte para Super Resolution nas placas da NVIDIA e Intel suportadas, sendo que estas devem ter também melhorias de estabilidade em geral.

Foram ainda corrigidas duas falhas de segurança, existentes em bibliotecas usadas pelo leitor multimédia, e foram identificadas nos últimos meses. Dentro deste campo, foi também corrigida uma vulnerabilidade com os ficheiros DLL de desinstalação do mesmo.

Obviamente, a lista de correções implementadas no VLC 3.0.19 é bastante mais extensa, com centenas de pequenas correções que foram sendo integradas no programa durante os últimos meses, e agora chegam aos utilizadores em geral.

Os utilizadores do VLC podem atualizar o mesmo usando o sistema de atualização integrado – pode demorar ainda algumas horas para a nova versão ficar disponível para todos.

16/10/2023
Patch de Outubro de 2023 encontra-se disponível para Android

A Google encontra-se a disponibilizar a nova atualização de Outubro de 2023 para o Android, focada em corrigir 54 vulnerabilidades no sistema, sendo que duas a empresa considera que se encontram a ser ativamente exploradas.

De acordo com a investigação da Google, as falhas CVE-2023-4863 e CVE-2023-4211 encontram-se a ser ativamente exploradas por determinados grupos, e focadas para certos indivíduos. A primeira diz respeito a uma falha que afeta também vários navegadores, associada com o componente de imagens webp. A falha afeta navegadores como o Chrome, Firefox, Vivaldi, entre outros. Já a CVE-2023-4211 diz respeito a uma vulnerabilidade recentemente descoberta sobre GPUs Mali da ARM, e que pode permitir a execução de código na memória do sistema e potencial roubo de dados sensíveis.

As restantes falhas encontram-se classificadas entre normais e críticas, sendo que afetam o sistema desde a versão do Android 11 até à Android 13. Duas pode permitir a execução remota de código malicioso, enquanto cinco são classificadas como críticas, mas a Google acredita que não se encontram a ser ativamente exploradas para ataques.

A atualização encontra-se agora disponível para fabricantes, e deve eventualmente começar a chegar aos dispositivos dos utilizadores conforme as atualizações dos mesmos sejam fornecidas. No entanto, este processo pode ainda demorar algum tempo, e nem todos os dispositivos tendem a receber os patches mais recentes, sobretudo dispositivos mais antigos no mercado.

03/10/2023
Chips ARM com vulnerabilidade a ser ativamente explorada

A ARM, fabricante responsável por chips de GPUs Mali, revelou uma nova vulnerabilidade nos mesmos que pode permitir a atacantes realizarem ações maliciosas no sistema.

A falha, classificada como CVE-2023-4211, pode permitir que os atacantes executem ações maliciosas no sistema, através da exploração dos blocos de memória da GPU. Este problema pode afetar todos os dispositivos que tenham GPUs Mali da ARM, o que inclui vários dispositivos Android, Chromebooks e outros sistemas portáteis. A empresa sublinha ter identificado que a falha pode encontrar-se a ser ativamente explorada para ataques, sendo recomendado que os fabricantes forneçam os patches de correção dos drivers o mais rapidamente possível.

Para os consumidores em geral existe pouco que possa ser feito para além de esperar pela atualização dos fabricantes. Isto deixa, no entanto, vários dispositivos potencialmente vulneráveis, sobretudo dispositivos mais antigos que já deixaram de receber atualizações.

A ter em conta, no entanto, que a exploração da falha apenas pode ser realizada de forma local, normalmente via apps com conteúdo malicioso ou focadas em explorar diretamente a falha.

03/10/2023
Snap Store suspende registo de novos snaps após falha de segurança

A Snapcraft, loja de aplicações de Linux gerida pela Canonical, suspendeu temporariamente todos os registos automáticos de Snap. Esta medida surge depois de a entidade ter sido notificada de uma possível vulnerabilidade na plataforma.

A falha foi partilhada pelo programador Igor Ljubuncic nos fóruns de suporte da Canonical, faz cerca de três dias, mas apenas agora foram aplicadas medidas para corrigir a mesma. A 28 de Setembro, o programador revelou uma falha na Snap Store, que poderia permitir o envio de Snaps maliciosas para a mesma. Esta falha foi usada para o envio de conteúdos malicioso, mas depois de identificada, as apps foram rapidamente removidas. Para corrigir a situação, a equipa decidiu suspender temporariamente o envio automático de snaps para a Store, enquanto se encontra a resolver a falha.

Uma verificação manual vai ser implementada para todos os novos registos de snaps na plataforma. Isto pode levar a que demore mais tempo para estas ficarem oficialmente disponíveis, mas esta medida não vai afetar as Snaps já existentes no serviço – que podem continuar a enviar os conteúdos normalmente e sem restrições diretas. A medida aplica-se, portanto, apenas a novos registos.

A equipa afirma que o objetivo será analisar como esta falha pode ter sido explorada, e se existem ainda snaps maliciosas na plataforma, bem como para corrigir a falha. Eventualmente os registos devem ser novamente abertos.

02/10/2023
CVE-2023-5129: a temida falha escondida no Libwebp

Nos últimos dias vários navegadores foram atualizados, depois de ter sido descoberta uma grave falha sobre alguns componentes base dos mesmos. Esta falha era considerada como sendo de gravidade elevada, e poderia permitir aos atacantes realizarem atividades maliciosas nos sistemas apenas com o uso de uma imagem.

A falha encontrava-se presente no Libwebp, uma biblioteca usada na maioria dos navegadores atuais para apresentar conteúdos WebP, um formato de imagens bastante popular na internet. Na altura que a falha foi revelada, a Google não deixou detalhes sobre a mesma, embora tenha indicado que esta encontrava-se a ser ativamente explorada. Mas agora conhecem-se finalmente mais detalhes… e são graves.

Mas o que é exatamente a falha CVE-2023-5129?

Na realidade, não é apenas a CVE-2023-5129, mas um conjunto de falhas que foram sendo descobertas. A CVE-2023-5129 foi originalmente identificada pela Google. No entanto, esta foi posteriormente rejeitada para receber uma classificação de vulnerabilidade, tendo em conta que era um duplicado de outra falha, a CVE-2023-4863. Esta falha encontrava-se relacionado com a biblioteca libwebp, que é usada para apresentar corretamente imagens webp nos navegadores e em diversas aplicações.

A falha encontra-se sobre o algoritmo de codificação Huffman, que pode permitir aos atacantes usarem uma imagem WebP para executar código malicioso nos sistemas das vítimas. E tudo o que é necessário é abrir a imagem no navegador. A falha recebeu uma classificação de gravidade 10.0, a mais elevada que existe. A mesma afeta as versões 0.5.0 a 1.3.1 da libwebp.

O número do CVE encontra-se, no entanto, a ser relacionado entre outras falhas – dai que a CVE-2023-5129 foi inicialmente rejeitada como sendo uma duplicação. Esta encontra-se associada com a CVE-2023-41064 e a CVE-2023-4863. Isto indica também que a falha encontra-se a ser ativamente explorada por várias frentes, o que eleva ainda mais o potencial de ataque. Tendo em conta que o libwebp é fortemente usado em várias aplicações atualmente, e em vários sistemas, isto eleva a gravidade da falha, visto que pode afetar um elevado número de sistemas.

No final, o importante a reter encontra-se no facto que a falha possui a capacidade de ser explorada de forma simples, e pode causar graves problemas para os utilizadores. A abertura de uma imagem é o suficiente para explorar a falha, e isto será relativamente vulgar de ocorrer em qualquer site atual.

Como tal, é importante que todas as aplicações que usem o Libwebp tenham as suas versões atualizadas. As versões mais recentes disponíveis da biblioteca devem encontrar-se protegidas, e esta encontra-se a ser integrada em praticamente todos os navegadores atuais.

Independentemente do navegador que use, é recomendado que verifique se existe uma atualização para o mesmo. Isto aplica-se também a aplicações que fazem uso do componente, como apps em Electron. A falha também pode afetar qualquer sistema, seja Windows, macOS, Linux ou sistemas operativos de dispositivos móveis.

28/09/2023
Mozilla corrige vulnerabilidade zero-day no Firefox e Thunderbird

A Mozilla lançou uma atualização importante para os utilizadores do Firefox, focada em corrigir uma falha zero-day descoberta sobre o navegador, e que também afeta o cliente de email Thunderbird.

A falha afeta o libwebp, normalmente usado para apresentar conteúdos WebP, e pode permitir que atores maliciosos possam executar código que leve ao bloqueio do navegador ou à execução de código no sistema.

Segundo a Mozilla, a abertura de conteúdos WebP maliciosamente criados para explorar a falha é o suficiente para explorar a mesma, sendo que existem indícios que a falha já se encontra a ser ativamente explorada pela Internet.

Apesar dos detalhes da falha não terem sido revelados, possivelmente para evitar uma exploração em maior escala, acredita-se que a mesma já se encontre a ser ativamente explorada para ataques, portanto a atualização é recomendada.

A Mozilla corrigiu a falha com as atualizações Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1, e Thunderbird 115.2.2.

De notar que esta falha não se aplica apenas ao Firefox e Thunderbird, tendo em conta que afeta um módulo de carregamento de conteúdos WebP que se encontra em utilização também noutros navegadores, como o Chrome. Neste caso, a Google já começou recentemente a lançar a atualização para a falha, e deve chegar a todos os utilizadores durante os próximos dias.

13/09/2023
Apple lança correção de falha zero-day para dispositivos antigos

A Apple encontra-se a disponibilizar uma atualização de software para alguns dos seus dispositivos mais antigos, para resolver uma vulnerabilidade zero-day, a qual estaria a ser explorada pelo grupo NOS para instalar o spyware Pegasus.

A falha já tinha sido corrigida para modelos mais recentes da empresa, mas tendo em conta a gravidade, a Apple decidiu lançar a atualização também para modelos mais antigos do iPhone. A falha permite que atores maliciosos possam instalar spyware no sistema através de mensagens do iMessage, criadas especificamente para explorar a falha.

A falha tinha sido corrigida nas versões mais recentes dos sistemas da empresa no dia 2 de Outubro, com o macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1, e watchOS 9.6.2. No entanto, a empresa decidiu agora lançar a atualização também para modelos mais antigos, com o iOS 15.7.9 e iPadOS 15.7.9, macOS Monterey 12.6.9, e macOS Big Sur 11.7.10.

Desta forma, modelos como o iPhone 6s e 7 podem ser atualizados para corrigir a falha, e evitarem a exploração. De notar que a falha tem sido ativamente explorada para sistemas macOS, mas encontra-se também em outros dispositivos da empresa, portanto pode ser teoricamente explorada nos mesmos.

Recomenda-se que os utilizadores com modelos mais antigos da empresa atualizem para a mais recente versão do software, de forma a garantirem a proteção contra esta falha zero-day.

12/09/2023
Android recebe novo patch de segurança de Setembro de 2023

A Google encontra-se a lançar uma nova atualização para o Android, com o seu patch de Setembro de 2023. Este corrige 33 vulnerabilidades, incluindo uma falha zero-day que se encontra a ser ativamente explorada.

A falha zero-day que foi identificada afeta o Android Framework, e pode permitir que os atacantes obtenham acesso administrativo ao sistema sem que os utilizadores tenham de realizar qualquer ação.

Segundo a Google, acredita-se que a falha esteja a ser ativamente explorada para ataques direcionados. Como tal, a empresa recomenda que a atualização do Android seja realizada o mais rapidamente possível.

Além desta vulnerabilidade, o patch de setembro de 2023 também corrige uma falha classificada como crítica nos componentes de sistema do Android, além de uma falha no código fonte da Qualcomm. As falhas classificadas como críticas podem permitir a execução remota de código no sistema.

Como sempre, o patch ainda necessita de ser aprovado pelos fabricantes dos dispositivos antes de começar a chegar aos utilizadores em geral. Com isto em conta, pode demorar alguns dias para chegar a todos os dispositivos no mercado, dependendo da aprovação.

06/09/2023
Microsoft deixa de recomendar desativar proteções do “Downfall” em processadores Intel

Faz cerca de um mês que foi descoberta uma vulnerabilidade em vários processadores Intel, conhecida como “Downfall”. Esta vulnerabilidade poderia permitir aos atacantes roubarem dados sensíveis diretamente do processador.

Esta vulnerabilidade afeta praticamente todos os chips mais antigos da empresa, sendo que apenas as gerações do Intel Alder Lake e Raptor Lake encontram-se atualizadas para prevenir a exploração da mesma. De resto, todas as gerações anteriores podem ser exploradas.

A Intel encontra-se a trabalhar com a Microsoft para fornecer uma atualização, com vista a corrigir o problema, bem como um patch para os fabricantes de motherboards poderem aplicar diretamente nos sistemas.

Na altura em que a falha foi identificada, a Microsoft deixava a opção de permitir que os utilizadores desativem as proteções, visto que estas podem ter impacto no desempenho do sistema. Isto estaria disponível porque a Intel e a Microsoft consideravam que a falha não seria simples de se explorar, e os utilizadores que consideravam não estar afetados, poderiam optar por remover as proteções e obter o desempenho adicional.

No entanto, a Microsoft recentemente atualizou o artigo respeitante à vulnerabilidade, e agora, a desativação das proteções é algo que a empresa não recomenda. No artigo, anteriormente, encontravam-se os passos necessários para desativar a proteção, mas com a recente atualização esses passos foram removidos.

Com isto, claramente a Microsoft não pretende agora que os utilizadores optem por desativar a proteção.

06/09/2023