O Google adicionou um novo recurso embutido no navegador Google Chrome que avisa quando você faz login em local diferente do habitual e se sua senha já foi invadida ou se foi uma violação de dados. No início deste ano, o Google Chrome introduziu uma extensão de verificação de senha na Chrome Web Store. Agora, o Google integrou esse recurso de extensão no Chrome e o nomeou como "Password Leak Detection".
Recentemente, a Mozilla adicionou esse mesmo recurso ao seu navegador com o nome de Firefox monitor integrado ao banco de dados de violação haveibeenpwned que informava se o seu endereço de e-mail foi comprometido ou não. Digitando seu e-mail no campo de busca desse site, é possível fazer essa verificação. Esse novo recurso no Chrome não apenas o alerta, mas também sugere e salva senhas fortes em sites específicos. Essa funcionalidade só está disponível na versão 78 do Google Chrome.
Para habilitar esse novo recurso, digite, na barra de endereço do Chrome chrome://flags Na barra de pesquisa, digite "leak" como mostrado na imagem abaixo:
Após habilitar o Password Leak, será preciso reiniciar o navegador.
Após a revelação pública de uma vulnerabilidade crítica de zero-day no Webmin na semana passada, os mantenedores do projeto revelaram hoje que a falha não foi realmente o resultado de um erro de codificação cometido pelos programadores. Em vez disso, foi secretamente plantado por um hacker desconhecido que conseguiu injetar um backdoor em algum ponto de sua infraestrutura de construção - que surpreendentemente persistiu em vários lançamentos do Webmin (1.882 até 1.921) e permaneceu oculto por mais de um ano.
Com mais de 3 milhões de downloads por ano, o Webmin é um dos aplicativos baseados na Web de código aberto mais populares do mundo para gerenciar sistemas baseados em Unix, como servidores Linux, FreeBSD ou OpenBSD.
O Webmin oferece uma interface de usuário simples para gerenciar usuários e grupos, bancos de dados, BIND, Apache, Postfix, Sendmail, QMail, backups, firewalls, monitoramento e alertas, e muito mais. A história começou quando o pesquisador turco Özkan Mustafa Akkuş apresentou publicamente uma vulnerabilidade de execução remota de código de zero-day no Webmin na DefCon em 10 de agosto, sem dar qualquer aviso prévio aos mantenedores do projeto afetado. A vulnerabilidade, foi identificada com o CVE-2019-15107, foi introduzida em um recurso de segurança que foi projetado para permitir que o administrador do Webmin imponha uma política de expiração de senha para as contas de outros usuários. Segundo o pesquisador, a falha de segurança reside na página de redefinição de senha e permite que um invasor remoto, não autenticado, execute comandos arbitrários com privilégios de root em servidores afetados apenas adicionando um comando pipe simples ("|") no campo de senha antiga por meio do POST.
Um pesquisador de segurança do Google acaba de divulgar detalhes de uma vulnerabilidade de alta gravidade sem correção, com 20 anos de idade, que afeta todas as versões do Microsoft Windows, desde o Windows XP até o mais recente Windows 10. A vulnerabilidade reside na maneira como os clientes e o servidor MSCTF se comunicam entre si, permitindo que até mesmo um aplicativo com privilégios baixos ou em área restrita leia e grave dados em um aplicativo com privilégios mais altos. MSCTF é um módulo no Text Services Framework (TSF) do sistema operacional Windows que gerencia itens como métodos de entrada, layouts de teclado, processamento de texto e reconhecimento de fala. Em resumo, quando você efetua login em sua máquina Windows, ele inicia um serviço do monitor CTF que funciona como uma autoridade central para manipular comunicações entre todos os clientes, que são, na verdade, janelas para cada processo em execução na mesma sessão. Tavis Ormandy, do Projeto Zero Team do Google, descobriu que, como não há controle de acesso ou qualquer tipo de autenticação para essa interação, qualquer aplicativo, qualquer usuário e até mesmo processos em área restrita podem:
conectar-se à sessão do CTF,
ler e escrever o texto de qualquer janela, de qualquer outra sessão,
falsificar seu id de thread, id de processo e HWND,
fingir como um serviço CTF, enganando outros aplicativos, mesmo os privilegiados, para se conectar a ele, ou
escapar de sandboxes e escalar privilégios.
Abaixo vídeos de demonstração da falha:
O pesquisador também lançou um "CTF Exploration Tool" de código aberto personalizado no Github que ele desenvolveu e usou para descobrir muitos problemas críticos de segurança no protocolo CTF do Windows.
A Bhack é uma conferencia voltada à Segurança da Informação (SI). Sua oitava edição ocorrerá em Belo Horizonte, nos dias 30 de novembro e 01 de Dezembro de 2019. Durante dois dias de evento levaremos ao público informação de qualidade, através de palestras definidas de forma a cobrirem temas atuais e relevantes para todos aqueles que, de uma forma ou de outra, lidam com Segurança da Informação. Desta maneira, poderemos agregar conhecimento tanto a gestores quanto técnicos, e promover uma interação, não somente pelo networking que eventos assim proporcionam, mas por levá-los a conhecer um pouco o universo um do outro através das palestras que serão ministradas. >_Data e hora 30 de nov de 2019 às 08:00 - 1 de dez de 2019 às 18:00 >_Local do evento Dayrell Hotel & Centro de Convenções R. Espírito Santo, 901, Belo Horizonte, MG - BR >_Comprar o Ingresso_<
