Além dessas ameaças, a empresa capixaba de cibersegurança, ISH Tecnologia, também relata um suposto grupo hacker chinês com interesses geopolíticos
Por Munik Vieira
Um relatório mensal com as principais vulnerabilidades e ameaças digitais encontradas no mês de julho foi divulgada pela empresa capixaba ISH Tecnologia.
Entre as principais ameaças encontradas, estão: mau uso de um protocolo do Windows que pode gerar invasões de rede, um ransomware cuja defesa está sendo cobrada em 70 milhões de dólares e um suposto grupo chinês que ataca alvos estratégicos ao país.
- Redes sociais seguem crescendo: como empresas podem conquistar seguidores
- Acesse nossas redes sociais Instagram e Twitter
Confira a lista das vulnerabilidades encontradas e como se defender delas
Ataque a controladores de domínio do Windows
Atingindo o Microsoft Windows e descoberto pelo pesquisador francês Gilles Lionel e chamado de PetitPotam, trata-se de uma vulnerabilidade que permite ao invasor assumir a identidade da máquina e todos seus privilégios. Ele ocorre por meio de um abuso do protocolo do Windows MS-EFSRPC, que permite que os dispositivos executem operações em dados criptografados armazenados em sistemas remotos.
A ISH ainda alerta que essas invasões podem ser feitas para coleta de dados, permitindo um ataque futuro que compromete toda a rede interna de uma empresa.
Como se defender? A Microsoft liberou procedimentos de mitigação contra o ataque. O método mais simples está em desabilitar a autenticação NLTM, explicada aqui . Porém, isso pode quebrar qualquer aplicação que utilize essa autenticação. Neste caso, recomenda-se seguir esses procedimentos .
Kaseya com problemas de Ransomware
A empresa de soluções de TI Kaseya apresentou um sério problema no seu VSA, programa base de monitoramento de endpoints e resolução de problemas. O grupo REvil Ransomware as a Service identificou uma brecha zero day (nome dado àquelas geralmente desconhecidas para o público e desenvolvedores) que permitia que um script malicioso fosse enviado a todos os computadores do servidor, atingindo todos os clientes finais.
Por meio do ataque, diversas funções do Microsoft Defender são desativadas, deixando o aparelho desprotegido contra os mais variados tipos de ataque. Ao anunciar o golpe, o REvil exigiu um pagamento de 70 milhões de dólares para um decifrador que resolvesse o problema.
Como se defender? Por se tratar de uma brecha zero-day, a Kaseya recomendou no início que todos os dispositivos que usassem o VSA desativassem-no imediatamente, até que uma atualização fosse feita. Algumas correções foram disponibilizadas , e a Kaseya também divulgou uma nota com outras dicas, encontradas aqui . Já a lista com todos as atualizações já oferecidas pelo serviço é encontrada neste link.
Grupo hacker chinês supostamente estatal
Este é um ataque que envolve também geopolítica. Ele parte do grupo baseado na China APT40, que nos seus mais de dez anos de operação já teve como alvo organizações governamentais, empresas, universidades e indústrias de países como Estados Unidos, Canadá e lugares como Europa e Oriente Médio. De acordo com a empresa norte-americana FireEye, trata-se de um grupo patrocinado pelo governo da China, pois os alvos do grupo são consistentes com os interesses do estado chinês e há vários artefatos técnicos indicando que o grupo está baseado lá.
O APT40 foi observado utilizando uma variedade de técnicas para comprometimento inicial, incluindo exploração de servidor web, campanhas de phishing e uso de malwares de mais de 51 famílias de código diferentes.
Como se defender? Em dicas listadas pelo próprio FBI e a CISA (Agência de Cibersegurança e Infraestrutura dos EUA), os passos incluem uma profunda robusta defesa de rede, monitoramento constante do servidor, fazer regularmente manutenção de senhas e varredura de aplicativos e sempre instalar atualizações de sistemas mais críticos.
PrintNightmare
Atingindo o Print Spooler, serviço nativo do Windows de comunicação entre impressoras, trata-se de uma exploração de falhas que permite ao invasor acessar remotamente a máquina, instalar programas e até mesmo modificar dados. Como o Print Spooler é executado no mais alto nível de privilégio do sistema operacional, é um ataque preocupante.
Como se defender? A ISH recomenda o monitoramento dos eventos 808 (A security event source has attempted to register) e 4909 (The local policy settings for the TBS were changed). Como a atualização disponibilizada pela Microsoft não corrigiu o problema, a recomendação da empresa no momento é a desativação do serviço.
