CVE -2015-3456 JUNOS - VULNERABILIDADE DE BUFFER OVERFLOW

Em produtos que utilizam tecnologias de virtualização, uma vulnerabilidade de buffer overflow no componente QEMU dos hipervisores KVM, QEMU e Xen podendo permitir que usuários convidados privilegiados, como um usuário administrativo em uma máquina virtual, travem o S.O convidado. Esse problema pode permitir a execução de código arbitrário no sistema operacional host. Se uma VM não confiável estiver sendo executada, isso poderá levar ao comprometimento completo da máquina host e de outras VMs.

Esta vulnerabilidade é denominada 'VENOM' e atribuída CVE-2015-3456.

O Juniper SIRT não tem conhecimento de nenhuma exploração maliciosa dessa vulnerabilidade nos produtos Juniper.


Os seguintes produtos Juniper fazem uso das tecnologias de virtualização afetadas:

• EX Series device EX4600
• QFX Series devices QFX5100 and QFX10002

Os seguintes produtos não estão vulneráveis:

• Dispositivos da série EX e QFX 
• Virtual Route Reflector 
• QFabric Director 
• Junos Space não é vulnerável: embora o Junos Space inclua uma versão vulnerável do QEMU, ele não permite acesso root em um sistema operacional convidado e, portanto, não é afetado por esse problema. O QEMU será atualizado na próxima versão possível como precaução.

Os produtos que não incluem nenhuma tecnologia de virtualização como SRX Series e ScreenOS não são afetados por esta vulnerabilidade. Esse problema foi resolvido no Junos OS 13.2X51-D40 (versão pendente) e no Junos OS 14.1X53-D30 (versão pendente) e em todas as versões subsequentes.

Produtos Afetados

Dispositivos das séries EX e QFX com suporte à virtualização; especificamente EX4600, QFX5100 e QFX10002.

----------------------

É iniciante na área de Segurança da Informação? 

Não perca todos os cursos HPC Treinamentos - Marcos Pitanga - em único pacote

1 - Segurança em Linux

2 - Linux OpenLdap

3 - Redes de Armazenamento de Dados em Linux

4 - Construindo Supercomputadores com Linux

5 - Segurança em Redes sem Fio

6 - Aprendendo Big Data com Hadoop Cluster

*Use o cupom:  itjobspe  e ganhe 15%*

Parcelamos no cartão de crédito

Link para Inscrição -> Clique Aqui

AS 10 MELHORES DISTRO PARA PENTEST E ETHICAL HACKING

Uma distribuição Linux já pronta com as ferramentas mais utilizadas por ethical hacking  e na execução de um pentest pode agilizar a análise de vulnerabilidades. Abaixo, segue uma lista com as 10 distribuições linux mais usadas para essa finalidade.

1. Kali Linux 

O Kali Linux foi desenvolvido em 2006 após o Backtrack ter sido descontinuado.  Baseado em Debian e desenvolvido e mantido pela Offensive Security, está é uma das distribuições mais usadas e até possui uma certificação voltada para esse sistema.

Site oficial para Download -> Kali Linux
Livro Kali Linux Revelado -> Download 
Certificação KLCP -> Visitar o Site


2.  Parrot Security OS

O sistema operacional Parrot também contribui com a comunidade de segurança, como o kali linux, com ferramentas de hackers e excelente interface GUI. Possui um grande repositório que coleta muitas ferramentas de hackers incríveis para iniciantes e especialistas. Desenvolvido por FrozenBox. O primeiro lançamento foi em junho de 2013.

Site oficial para Download -> Parrot Security OS

3. BackBox Linux

O ackbox costumava usar o XFCE como ambiente de área de trabalho e as versões Ubuntu LTS como base. Ele contém as ferramentas mais profissionais, famosas e usadas no campo PenTesting, como MSF, NMAP, BurpSuite, Armitage, SQLMap e assim por diante. Seu primeiro lançamento foi em 9 de setembro de 2010.

Site oficial para Download -> BackBox Linux


4. BlackArch Linux

O Black Arch contém cerca de 2500 ferramentas de hackers e quase abrange todas as fases da segurança cibernética. Em sua GUI pode ser usado o Fluxbox e o OpenBox como um ambiente de desktop. O primeiro lançamento foi em 2013.

Site oficial para Download -> BlackArch Linux


5. Pentoo

Baseada no Gentoo contêm um grande conjunto de ferramentas de hackers. O primeiro lançamento foi em junho de 2005. De alguma forma, é uma distribuição antiga. Podemos dizer que está desatualizado.

Site oficial para Download -> Pentoo

6. Samurai -WTF

Ele contém apenas as Ferramentas WebApp Pentest, como Burpsuite, SQLMap ... e assim por diante. Baseado no Ubuntu. O primeiro lançamento foi em 2008.

Site oficial para Download -> Samurai -WTF


7. Network Security Toolkit (NST)

Baseado no Fedora. Ele contém as ferramentas mais profissionais e usadas no campo Network PenTest. O primeiro lançamento foi em 2003.

Site oficial para Download -> Network Security Toolkit


8. WiFiSlax

Ele contém muitas ferramentas Wifi Cracking / Hacking / PenTesting. Desenvolvido por uma equipe de segurança italiana.

Site oficial para Download -> WiFiSlax


9. Bugtraq

Distribuição profissional de testes de penetração da Bugtraq, projetada para operações de teste de penetração e missões de engenharia reversa e análise de malware. Baseado no Debian, contém muitas ferramentas de hackers. Desenvolvido pela Bugtraq-Team, o primeiro lançamento foi em 2012.

Site oficial para Download -> Bugtraq


10. Cyborg Hawk

Cyborg Hawk, o melhor sistema operacional baseado no Ubuntu para hackers éticos e testes de penetração. Contêm mais de 700 ferramentas de hackers. Distro incrível para fins de hackers. Desenvolvido pela Cyborg Hawk Team da Austrália.

Site oficial para Download -> Cyborg Hawk


------------------------
É iniciante na área de Segurança da Informação? 
Não perca todos os cursos HPC Treinamentos - Marcos Pitanga - em único pacote

1 - Segurança em Linux
2 - Linux OpenLdap
3 - Redes de Armazenamento de Dados em Linux
4 - Construindo Supercomputadores com Linux
5 - Segurança em Redes sem Fio
6 - Aprendendo Big Data com Hadoop Cluster

*Use o cupom:  itjobspe  e ganhe 15%*
Parcelamos no cartão de crédito



Link para Inscrição -> Clique Aqui 

O LINUX PROFESSIONAL INSTITUTE LANÇA A CERTIFICAÇÃO BSD SPECIALIST

O Linux Professional Institute estende sua faixa de certificação Open Technology com a BSD Specialist Certification. A partir de 30 de outubro de 2019, os exames BSD Specialist estarão disponíveis globalmente. A certificação foi desenvolvida em colaboração com o BSD Certification Group,  o qual se fundiu com o Linux Professional Institute em 2018.

G. Matthew Rice, diretor executivo do Linux Professional Institute, afirma que "o lançamento da certificação BSD Specialist representa um marco importante para o Linux Professional Institute. Com essa nova credencial, estamos reafirmando nossa crença no valor e suporte para, todas as tecnologias de código aberto. Tanto quanto possível, credenciais futuras e programas educacionais incluirão a cobertura do BSD. ”

“O certificado de especialista BSD exige aprovação em um único exame. Este exame testa habilidades na administração de sistemas FreeBSD, NetBSD e OpenBSD. A cobertura dos três principais sistemas BSD garante que o detentor da certificação se sinta confortável trabalhando em ambientes baseados em BSD de qualquer tipo ”, afirma Fabian Thorns, diretor de desenvolvimento de produtos.

Dru Lavigne, presidente do BSD Certification Group acrescenta: “Estamos entusiasmados com o fato de a parceria com o Linux Professional Institute destacar a demanda por habilidades de administração do BSD para um público maior. O exame BSD Specialist segue os mesmos padrões rigorosos do antigo exame BSD Associate, garantindo que a certificação demonstre competência nas habilidades essenciais que os empregadores exigem em um ambiente BSD. ”

Não há pré-requisito para fazer o exame BSD Specialist Engineer, no entanto, o candidato deve ter mais de um ano de experiência na administração de sistemas BSD de vários tipos.


O típico detentor de certificação BSD Specialist é um administrador de sistemas de sistemas operacionais BSD e tem um entendimento da arquitetura dos sistemas operacionais BSD. Isso inclui a capacidade de gerenciar vários aspectos de uma instalação BSD, incluindo o gerenciamento de contas e grupos de usuários, processos, sistemas de arquivos, software instalado e configuração de rede do cliente. O candidato tem experiência no uso de ferramentas padrão BSD e Unix na linha de comando. De acordo com a política de LPI relacionada à neutralidade de software, as habilidades testadas serão aplicáveis a várias variantes do BSD.

Página oficial do Exame BSD Specialist
Tópicos requeridos no Exame BSD Specialist

Fonte.: lpi.org

------------------------------
É iniciante na área de Segurança da Informação? 
Não perca todos os cursos HPC Treinamentos - Marcos Pitanga - em único pacote

1 - Segurança em Linux
2 - Linux OpenLdap
3 - Redes de Armazenamento de Dados em Linux
4 - Construindo Supercomputadores com Linux
5 - Segurança em Redes sem Fio
6 - Aprendendo Big Data com Hadoop Cluster

*Use o cupom:  itjobspe  e ganhe 15%*
Parcelamos no cartão de crédito


Link para Inscrição -> Clique Aqui

FALHA NO SUDO PERMITE QUE USUÁRIOS SEM PRIVILÉGIOS EXECUTEM COMANDOS COMO ROOT

Uma vulnerabilidade foi descoberta no Sudo - um dos utilitários mais importantes, poderosos e comumente usados, que vem como um comando principal instalado em quase todos os sistemas operacionais baseados em UNIX e Linux.

A vulnerabilidade em questão é um problema de desvio da política de segurança no sudo que pode permitir que um usuário ou programa mal-intencionado execute comandos arbitrários como root em um sistema Linuxdo, mesmo quando a "configuração de sudoers" desabilita explicitamente o acesso root.

Sudo, sigla para "superuser do," é um comando do sistema que permite que um usuário execute aplicativos ou comandos com os privilégios de um usuário diferente sem alternar ambientes - na maioria das vezes, para executar comandos como usuário root.

Por padrão, na maioria das distribuições Linux, a palavra-chave ALL na especificação RunAs no arquivo / etc / sudoers, conforme mostrado na captura de tela, permite que todos os usuários nos grupos admin ou sudo executem qualquer comando como qualquer usuário válido no sistema.

No entanto, como a separação de privilégios é um dos paradigmas fundamentais de segurança no Linux, os administradores podem configurar um arquivo sudoers para definir quais usuários podem executar quais comandos e quais usuários.


Portanto, mesmo que um usuário tenha sido restrito a executar um comando específico, como root, a vulnerabilidade pode permitir que o usuário ignore essa política de segurança e assuma o controle completo do sistema.

Como explorar essa vulnerabilidade?

A vulnerabilidade, identificada no CVE-2019-14287 e descoberta por Joe Vennix, da Apple Information Security, é mais preocupante porque o utilitário sudo foi projetado para permitir que os usuários usem sua própria senha de login para executar comandos como um usuário diferente sem exigir sua senha.

O mais interessante é que essa falha pode ser explorada por um invasor para executar comandos como root, especificando o ID do usuário "-1" ou "4294967295".

Isso ocorre porque a função que converte o ID do usuário em seu nome de usuário trata incorretamente -1 ou seu equivalente não assinado 4294967295, como 0, que é sempre o ID do usuário root.

A vulnerabilidade afeta todas as versões do Sudo anteriores à versão 1.8.28 mais recente, É altamente recomendado fazer a atualização deste pacote.

Fonte.: The Hacker News

------------------------


É iniciante na área de Segurança da Informação? Recomendamos o curso de Segurança em Redes de Computadores do Marcos Cavinato. Nele você terá toda a base necessária  para entender os conceitos e melhores práticas de Segurança da Informação. Para mais detalhes, clique aqui ou na imagem abaixo. Bons estudos! :)

ATAQUE SYN FLOOD: ENTENDO SEU FUNCIONAMENTO E MITIGAÇÃO

Antes de mais nada, quero esclarecer que este artigo não vai trazer uma fórmula mágica para mitigação de um ataque do tipo SYN Flood. Vou abordar boas práticas que vão permitir dificultar o ataque de obter êxito em determinadas situações. Prometer algo infalível não condiz com a realidade atual onde, a cada dia, surgem novas vertentes de ataques.

Os ataques TCP SYN Flood são os mais populares entre os ataques DDOS. Aqui vamos discutir em detalhes a base do ataque TCP SYN e possibilidades de mitigação antes que ele atinja seus servidores servidores.

Já se passaram mais de duas décadas quando o primeiro ataque DDOS foi tentado na Universidade de Minnesota, que derrubou seuse servidores por dois dias. Muitos se seguiram, incluindo um dos maiores da história do DDOS, que era contra o Github e envolvia um ataque de 1,35 TBps contra o site. Os ataques de DDOS representam sérias ameaças a servidores e sites, inundando os servidores alvo com tráfego falso e, portanto, negando o acesso a tráfego legítimo.



Como funcionada a comunicação TCP/IP entre um cliente e um servidor?

De uma maneira bem simples, a comunicação é feita da seguinte forma:

1. O cliente envia um pacote com a flag SYN(Synchronize - Sincronizar) ativa
2. O servidor responde com um pacote com as flags SYN + ACK(Acknowledgement - Reconhecimento)
3. O cliente reponde com um pacote ACK

Este método é conhecido como aperto de mão em três etapas. O problema é quando essa última mensagem (ACK) não é enviada em confirmação do fechamento da conexão com o servidor gerando assim uma conexão semi-aberta e fazendo com que o servidor fique aguardando o fechamento desta.

No ataque Syn flood, várias conexões semi-abertas podem ser geradas no servidor e isso gera um alto consumo de memória. Dependendo da quantidade de requisições dessa natureza, pode acarretar uma negação de serviço indisponibilizando o servidor. Dessa forma, conexões legítimas não serão concretizadas.

O que pode ser feito?

Uma possibilidade a ser utilizada para mitigar um ataque syn flood seria ativar o recurso de syn cookies no kernel do Linux. O syn cookies é uma implementação para a pilha TCP/IP, em vez de armazenar na memória RAM a requisição de um cliente, o servidor responde ao cliente com um cookie(pacote de dados). Quando o servidor cria o número sequencial de início da conexão, não gerado de forma aleatória, onde este contem o "hash" composto pelo timestamp, porta de origem e destino bem como o endereço de IP e o tamanho máximo do segmento. Desta maneira o servidor não precisa armazenar a solicitação na memória e quando o cliente enviar o ACK para o servidor onde este já terá o cookie numerado acrescido de um. Isso permite recalcular o cookie fazendo a operação inversa de checagem afim de determinar a verdadeira idoneidade do pacote legitimando a conexão. Essa sincronização de cookies só vai ocorrer quando a fila de requisições estiver cheia.

Para ativar o syn cookies no Linux, execute o comando:

# sysctl -w net.ipv4.tcp_syncookies=1

Acrescente os comandos abaixo:

# sysctl -w net.ipv4.tcp_max_syn_backlog=2048
# sysctl -w net.ipv4.tcp_synack_retries=3

A fila de backlog é uma estrutura de memória grande usada para manipular pacotes de entrada com o sinalizador SYN definido até o momento em que o processo de handshake de três vias é concluído. Um sistema operacional aloca parte da memória do sistema para cada conexão de entrada. Sabemos que cada porta TCP pode lidar com um número definido de pedidos de entrada. A fila de backlog controla quantas conexões semi-abertas podem ser tratadas pelo sistema operacional ao mesmo tempo. Quando um número máximo de conexões de entrada é atingido, solicitações subseqüentes são ignoradas silenciosamente pelo sistema operacional.


Por causa do 3 way handshake (aperto de mão em três etapas) usado para a realização de uma conexão TCP, uma conexão de entrada passa por um estado intermediário chamado de Syn RECEIVED antes de alcançar o estado de ESTABLISHED e assim poder retornar a aceitar a chamada de sistema de uma aplicação. Há duas implantações para a fila de backlog:

1. Implementação de fila única, cujo tamanho é determinado pelo argumento backlog do syscall(chamada de sistema) de escuta. Quando um pacote SYN é recebido, envia de volta um pacote SYN / ACK e adiciona a conexão à fila. Quando o ACK correspondente é recebido, a conexão muda seu estado para ESTABLISHED e torna-se elegível para handover para o aplicativo. Isso significa que a fila pode conter conexões em dois estados diferentes: SYN RECEIVED e ESTABLISHED. Somente conexões no último estado podem ser retornadas para o aplicativo que realizou a chamada de sistema.
2. Implementação usando duas filas, uma fila SYN (ou fila de conexão incompleta) e uma fila de aceitação (ou fila de conexão completa). As conexões no estado SYN RECEIVED são adicionadas à fila SYN e mais tarde movidas para a fila de aceitação quando seu estado muda para ESTABLISHED, ou seja, quando o pacote ACK no handshake de 3 vias é recebido. Como o nome indica, a chamada de aceitação é então implementada simplesmente para consumir conexões da fila de aceitação. Nesse caso, o argumento backlog do syscall de escuta determina o tamanho da fila de aceitação.

Sob um ataque SYN, podemos modificar a fila de backlog para suportar mais conexões no estado semi-aberto sem negar o acesso a clientes legítimos. Em alguns sistemas operacionais, o valor da fila de backlog é muito baixo e seguindo as boas práticas para mitigação desse ataque, geralmente recomenda-se aumentar a fila SYN quando um sistema está sob ataque.

E o último comando apresentado, syn/ack_retries, representa o número de vezes que uma resposta SYN / ACK para um SYN é repetida. Um valor menor significa menos uso de memória e menor impacto de ataques de inundação SYN. O intervalo de tempo entre cada reenvio é de 3 segundos, e dobrando a cada espera. Como foi configurado para o valor de 3, ficaria assim: 3segundos depois passaria para 6 segundos e por fim para 12 segundos. Somando teríamos 21 segundos e aí seria encerrada uma conexão semi-aberta.


Para tornar esses comandos permanentes, mesmo após uma reinicialização do sistema, inclua-os no arquivo /etc/sysctl.conf.  Para quem usa Mikrotik em sua borda, seguem alguns comandos para mitigação desse ataque:

/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes

/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new action=accept comment="" disabled=no


/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new action=drop comment="" disabled=no

/ip settings set tcp-syncookies=yes

 Dúvidas, críticas ou sugestões é só postar nos comentários. Se gostou curte e compartilha. Até a próxima!

------------------------

É iniciante na área de Segurança da Informação? Recomendamos o curso de Segurança em Redes de Computadores do Marcos Cavinato. Nele você terá toda a base necessária  para entender os conceitos e melhores práticas de Segurança da Informação. Para mais detalhes, clique aqui ou na imagem abaixo. Bons estudos! :)

DESCOBERTA FALHA DE 0 DAY NO INTERNET EXPLORER E WINDOWS DEFENDER

A Microsoft tem por costume lançar seus patches de correção de segurança toda segunda terça-feira de cada mês, porém, ontem, foi disponibilizado um patch para correção de uma falha de zero day que afeta o navegador internet explorer e o windows defender.

Descoberta por Clément Lecigne, do Threat Analysis Group do Google e identificada como CVE-2019-1367. A vulnerabilidade é um problema de corrupção de memória que poderia permitir que um invasor remoto sequestrar um PC com Windows apenas convencendo o usuário a exibir uma página da Web hospedada on-line, especialmente criada como armadilhada, usando o Internet Explorer.

A vulnerabilidade afeta as versões 9, 10, 11 do Internet Explorer e, embora os usuários devam sempre implantar atualizações para todos os softwares instalados quando disponíveis, é altamente recomendável usar navegadores alternativos e mais seguros, como Google Chrome ou Mozilla Firefox.

A Microsoft também lançou uma segunda atualização de segurança para corrigir uma vulnerabilidade de negação de serviço (DoS) no Microsoft Qindows Defender, um mecanismo antimalware que acompanha o Windows 8 e versões posteriores do sistema operacional.

Descoberta por Charalampos Billinis do F-Secure e Wenxu Wu do Tencent Security Lab e notificadaa como CVE-2019-1255, a vulnerabilidade reside na maneira como o Microsoft Windows Defender lida com arquivos e afeta as versões do Microsoft Malware Protection Engine até 1.1.16300.1.

É importante manter o sistema atualizado e antes de aplicar qualquer nova atualização, é altamente recomendável fazer um ponto de restauração do sistema para facilitar um troubleshooting.

--------------------

É iniciante na área de Segurança da Informação? Recomendamos o curso de Segurança em Redes de Computadores do Marcos Cavinato. Nele você terá toda a base necessária  para entender os conceitos e melhores práticas de Segurança da Informação. Para mais detalhes, clique aqui ou na imagem abaixo. Bons estudos! :)

CVE-2019-15055 - VULNERABILIDADE EM ROTEADORES MIKROTIK

O MikroTik RouterOS, nas versões 6.44.5 e 6.45.x a 6.45.3 manipula incorretamente o nome do disco, o que permite que usuários autenticados excluam arquivos de forma arbitrária. Os invasores podem explorar essa vulnerabilidade para redefinir o armazenamento de credenciais, o que lhes permite acessar a interface de gerenciamento como administrador sem autenticação.

Veja abaixo as versões do RouterOS afetadas por essa vulnerabilidade:

Ainda não há confirmação de exploit para exploração dessa vulnerabilidade, contudo, é importante ficar atento aos updates de segurança disponibilizados pela Mikrotik e sempre manter as melhores práticas de segurança em seu roteador afim de mitigar os ataques.

----------------------

É iniciante na área de Segurança da Informação? Recomendamos o curso de Segurança em Redes de Computadores do Marcos Cavinato. Nele você terá toda a base necessária  para entender os conceitos e melhores práticas de Segurança da Informação. Para mais detalhes, clique aqui ou na imagem abaixo. Bons estudos! :)

BHACKER 2019

Desde 2012, a BHack tem como objetivo atender às necessidades do público mineiro quando se trata de Segurança da Informação (SI).

E neste ano, a 8ª edição da conferência, que já se consolidou no cenário nacional como um dos eventos anuais de maior importância no circuito, está com formato ainda mais interessante e direcionado.

Serão dois dias de evento, com duas trilhas distintas e muita interação. E ao longo desta jornada proporcionaremos aos participantes palestras repletas de conteúdos atuais e relevantes para todos aqueles que lidam com Segurança da Informação, agregando conhecimento e promovendo integração entre gestores e técnicos.

Local.: Dayrell Hotel & Centro de convenções
Cidade.: Belo Horizonte - MG
Data.: 30/11 - 01/12 
Para mais informações.: https://bhack.com.br/

--------------------
É iniciante na área de Segurança da Informação? Recomendamos o curso de Segurança em Redes de Computadores do Marcos Cavinato. Nele você terá toda a base necessária  para entender os conceitos e melhores práticas de Segurança da Informação. Para mais detalhes, clique aqui ou na imagem abaixo. Bons estudos! :)

HACKBAHIA 2019

Em sua 4ª edição, o HackBahia busca fortalecer ainda mais a comunidade de segurança da informação no estado, trazendo palestrantes locais e reunindo profissionais e entusiastas da área. Abaixo, os palestrantes do evento:

Confira as palestras que serão ministradas no evento:

Gestão de Equipes Remotas - Desafios e Aprendizados
Será apresentada na palestra os desafios da gestão de times remotos, aproveitando a experência adquirida na IBLISS Digital Security, demonstrando os prós e contras e como trabalhamos para minimizar o impacto causado pelo trabalho remoto, principalmente na gestão de equipes.

Android 101 - How to start the game!
Ao perceber que muitas pessoas ainda tem um certo receio de pesquisar em ambiente Android, penso em ajudar com os primeiros passos sobre o assunto. A ideia é fazer com que cada pessoa que assista a talk saia com uma noção melhor, de como montar o ambiente de testes e como procurar por falhas para esse tipo de ambiente.

Backdooring PE File
Será demonstrado como é possível adulterar o comportamento de um arquivo executável para realizar operações não projetadas originalmente.

A prática da LGPD e um mercado de trabalho muito além do DPO
A tecnologia faz parte da estratégia de negócio de qualquer organização e com uma infraestrutura cada vez mais complexa, gerenciar riscos e incidentes de segurança da informação é um grande desafio. Nessa palestra iremos falar sobre o projeto de implantação da LGPD e as oportunidades para profissionais.

Local.: Cubos Tecnologia
Endereço.: Av. Tancredo Neves, ed. Salvador Prime, 3° andar, Caminho das Árvores, Salvador/BA
Site oficial.: https://hackbahia.github.io/

--------------------

É iniciante na área de Segurança da Informação? Recomendamos o curso de Segurança em Redes de Computadores do Marcos Cavinato. Nele você terá toda a base necessária  para entender os conceitos e melhores práticas de Segurança da Informação. Para mais detalhes, clique aqui ou na imagem abaixo. Bons estudos! :)

DESCOBERTO VULNERABILIDADES NA EXECUÇÃO DE CÓDIGOS EM PHP

Os mantenedores da linguagem de programação PHP lançaram recentemente as versões mais recentes do PHP para corrigir várias vulnerabilidades de alta gravidade em suas bibliotecaalvoss principais e agrupadas, a mais grave das quais poderia permitir que atacantes remotos executassem códigos arbitrários e comprometessem servidores de destino.

O pré-processador de hipertexto, vulgarmente conhecido como PHP, é a linguagem de programação Web mais popular em servidores WEB, que atualmente hospeda mais de 78% dos sites na Internet. As versões mais recentes em várias ramificações mantidas incluem o PHP versão 7.3.9, 7.2.22 e 7.1.32, abordando várias vulnerabilidades de segurança.

Dependendo do tipo, ocorrência e uso da base de código afetada em um aplicativo PHP, a exploração bem-sucedida de algumas das vulnerabilidades mais graves pode permitir que um invasor execute código arbitrário no contexto do aplicativo afetado com privilégios associados.

Por outro lado, tentativas fracassadas de exploração provavelmente resultarão em uma condição de negação de serviço (DoS) nos sistemas afetados.


As vulnerabilidades podem deixar centenas de milhares de aplicativos da Web que dependem do PHP abertos a ataques de execução de código, incluindo sites equipados com alguns sistemas populares de gerenciamento de conteúdo como WordPress, Drupal e Typo3.

Dessas, uma vulnerabilidade de execução de código 'use-after-free', atribuída como CVE-2019-13224, reside no Oniguruma, uma popular biblioteca de expressões regulares que acompanha o PHP, além de muitas outras linguagens de programação.

Um invasor remoto pode explorar essa falha inserindo uma expressão regular especialmente criada em um aplicativo da web afetado, potencialmente levando à execução do código ou causando a divulgação de informações.

"O invasor fornece um par de um padrão regex e uma cadeia de caracteres, com uma codificação de vários bytes manipulada por onig_new_deluxe ()", diz a Red Hat em seu comunicado de segurança que descreve a vulnerabilidade.

Outras falhas corrigidas afetam a extensão do cURL, a função Exif, o FastCGI Process Manager (FPM), o recurso Opcache e muito mais.

A boa notícia é que, até o momento, não há relatos de que qualquer uma dessas vulnerabilidades de segurança foi explorada.


A equipe de segurança do PHP abordou as vulnerabilidades nas versões mais recentes. Portanto, é altamente recomendável que usuários e provedores de hospedagem atualizem seus servidores para a versão mais recente do PHP 7.3.9, 7.2.22 ou 7.1.32.

--------------------
É iniciante na área de Segurança da Informação? Recomendamos o curso de Segurança em Redes de Computadores do Marcos Cavinato. Nele você terá toda a base necessária  para entender os conceitos e melhores práticas de Segurança da Informação. Para mais detalhes, clique aqui ou na imagem abaixo. Bons estudos! :)

LANÇADO MÓDULO PÚBLICO DO METAEXPLOIT PARA A VULNERABILIDADE BLUKEEP (CVE-2019-0708)

O Metaexploit, framework utilizado para análise e exploração em Pentest, lançou recentemente um exploit público o qual permite explorar a vulnerabilidade BlueKeep (CVE-2019-0708). 

O BlueKeep é uma vulnerabilidade de alto risco descoberta em maio deste ano. É um worm que pode explorar o Windows Remote Desktop Services (RDS) para espalhar programas maliciosos de maneira semelhante a 2017 com o ransomware WannaCry. Um invasor pode explorar a vulnerabilidade para executar código arbitrário e enviar uma solicitação especialmente criada via RDP (Remote Desktop Protocol) para controlar o computador sem a interação do usuário.

Atualmente, de acordo com a verificação do BinaryEdge, ainda existem 700.000 dispositivos em risco. O Metasploit, agora libera seu código de exploração BlueKeep, o que significa que, com este módulo de código, a pessoa comum também pode explorar a vulnerabilidade do BlueKeep. O módulo BlueKeep do Metasploit é diferente de dezenas de PoCs do BlueKeep que já foram divulgados anteriormente. No momento, o módulo BlueKeep Metasploit está disponível apenas para Windows 7 e Windows 2008 R2 de 64 bits. 

Para atualizar esse módulo, basta carregar o metaexploit a partir de sua distribuição Linux e executar os comandos abaixo:

$ msfconsole> use exploit/rdp/cve_2019_0708_bluekeep_rce> set RHOSTS > set PAYLOAD > set TARGET

É iniciante na área de Segurança da Informação? Recomendamos o curso de Segurança em Redes de Computadores do Marcos Cavinato. Nele você terá toda a base necessária  para entender os conceitos e melhores práticas de Segurança da Informação. Para mais detalhes, clique aqui ou na imagem abaixo. Bons estudos! :)

CIBERCRIMINOSOS COMPROMETEM OS COMPUTADORES DA CIDADE DE MASSACHUSSETS EUA

Cibercriminosos comprometem os computadores da cidade de New Bedford, Massachusetts com o Ryuk Ransomware e exigem US $ 5,3 milhões para desbloquear os computadores comprometidos.

Em 5 de julho de 2019, o MIS (Sistema de Informações de Gerenciamento) da cidade de New Bedford identificou o ransomware que infectou vários computadores.

Logo após a detecção, a equipe do MIS desconectou os servidores e computadores da cidade e desligou os sistemas.Mas o ransomware já infecta 158 estações de trabalho, que são 4% dos 3.532 computadores usados pelos funcionários da cidade em todos os departamentos.

O prefeito de New Bedford, Jon Mitchell, disse em uma entrevista coletiva “os atores por trás do Ryuk Ransomware exigindo resgate de US $ 5,3 milhões em Bitcoin para fornecer uma chave de descriptografia para desbloquear os computadores infectados.


Ele diz que "decidi fazer uma contraproposta usando recursos de seguros no valor de US $ 400.000, que eu considerei consistentes com resgates pagos recentemente por outros municípios".

Ryuk apareceu pela primeira vez em agosto de 2018 e, embora não seja incrivelmente ativo em todo o mundo.


Inicialmente, o Ryuk é distribuído através de campanhas massivas de spam e kits de exploração, e há algumas operações específicas, como mapeamento de rede extensivo, hackers e coleta de credenciais necessárias antes de cada operação.

NOVA FUNCIONALIDADE DO GOOGLE CHROME DETECTA SE SUA SENHA FOI VAZADA

O Google adicionou um novo recurso embutido no navegador Google Chrome que avisa quando você faz login em local diferente do habitual e se sua senha já foi invadida ou se foi uma violação de dados.

No início deste ano, o Google Chrome introduziu uma extensão de verificação de senha na Chrome Web Store. Agora, o Google integrou esse recurso de extensão no Chrome e o nomeou como "Password Leak Detection". 

Recentemente, a Mozilla adicionou esse mesmo recurso ao seu navegador com o nome de  Firefox monitor integrado ao banco de dados de violação haveibeenpwned que informava se o seu endereço de e-mail foi comprometido ou não. Digitando seu e-mail no campo de busca desse site, é possível fazer essa verificação.

Esse novo recurso no Chrome não apenas o alerta, mas também sugere e salva senhas fortes em sites específicos. Essa funcionalidade só está disponível na versão 78 do Google Chrome.

Para habilitar esse novo recurso, digite, na barra de endereço do Chrome chrome://flags

Na barra de pesquisa, digite "leak" como mostrado na imagem abaixo:

Após habilitar o Password Leak, será preciso reiniciar o navegador.