KDP NOVO RECURSO DE SEGURANÇA PARA O WINDOWS

A Microsoft está testando um novo recurso de segurança do Windows 10 chamado KDP (Kernel Data Protection) e projetado para impedir que agentes mal-intencionados danifiquem drivers e softwares em execução no kernel do Windows.

"Por exemplo, vimos invasores usarem drivers assinados, mas vulneráveis, para atacar estruturas de dados de políticas e instalar um driver malicioso e não assinado", afirmou a Microsoft no blog Security Kernel Core Team. "O KDP mitiga esses ataques, garantindo que as estruturas de dados da política não possam ser adulteradas."

Além de adicionar proteção de memória e segurança aos dispositivos Windows 10, o KDP também oferece vários benefícios, incluindo:

• Melhorias de desempenho - o KDP diminui a carga sobre os componentes já validados, que não precisariam mais verificar periodicamente variáveis de dados protegidas contra gravação
• Melhorias na confiabilidade - o KDP facilita o diagnóstico de erros de corrupção de memória que não representam necessariamente vulnerabilidades de segurança
• Incentivar os desenvolvedores e fornecedores de drivers a melhorar a compatibilidade com a segurança baseada em virtualização, melhorando a adoção dessas tecnologias no ecossistema.

O KDP é na verdade uma coleção de APIs que possibilita rotular partes da memória do kernel do Windows como somente leitura para impedir que invasores e malware modifiquem a memória protegida por meio da segurança baseada em virtualização (VBS).

O VBS utiliza recursos de virtualização de hardware para isolar uma região segura da memória (modo virtual seguro) do sistema operacional Windows.

A capacidade do KDP de marcar a memória do kernel como somente leitura também pode ser usada pelos desenvolvedores do kernel do Windows e pelos desenvolvedores parceiros de soluções, como produtos de segurança, anti-fraude e software de gerenciamento de direitos digitais (DRM).

"O VBS usa o hipervisor do Windows para criar esse modo de segurança virtual e impor restrições que protegem os recursos vitais do sistema e do sistema operacional ou para proteger ativos de segurança, como credenciais de usuário autenticadas", explica a Microsoft.

Atualmente, o VBS e o KDP são suportados em qualquer computador Windows que suporte:

Extensões de virtualização Intel, AMD ou ARM

Conversão de endereço de segundo nível: NPT para AMD, EPT para Intel, tradução de endereço do estágio 2 para ARM

Opcionalmente, MBEC de hardware, o que reduz o custo de desempenho associado ao HVCI

WEBINAR RPKI: SEGURANÇA NO ROTEAMENTO DA INTERNET

Inscreva-se pelo formulário: https://lnkd.in/dUgFe7M

Apresentado pelo NIC.br pela primeira vez em 2019, o RPKI - Public Key Infrastructure Resource permite que entidades que administram recursos de numeração possam prevenir os ataques, oferecendo uma forma segura de encaminhamento e roteamento de pacotes IP. O RPKI é baseado em certificados digitais para validar rotas, verificar a origem e autorizar o ASN para anunciar os prefixos.

O webinar RTI vai reunir especialistas em segurança e engenharia de redes para apresentar os detalhes da nova tecnologia, como adotá-la em sua organização e os detalhes da experiência da G8, a primeira operadora no país a usar validação RPKI.

DESCOBERTA VULNERABILIDADES NO SISTEMA MK-AUTH 19.1

MK-AUTH é uma distro Linux com servidor Radius, Banco de Dados, servidor Web, servidor SSH e vários outros recursos já instalados e pronto para ser usados no controle de provedores de internet que usam o HotSpot ou PPPoE do MikroTik para controle de acesso de seus clientes, assim conta com um sistema totalmente baseado em plataforma Web com vários recursos para administração do seu provedor e de seus clientes. Esse sistema foi desenvolvido para tratar de tarefas rotineiras de provedores de internet.

Foram identificadas 5 vulnerabilidades de nível critico e registradas nos CVEs:

• CVE-2020-14068 - A funcionalidade de login na Web permite que um invasor ignore a autenticação e obtenha privilégios de cliente via SQL Injection em central/executar_login.php
• CVE-2020-14069 - Existem problemas de injeção de SQL nos scripts mkt / PHP, conforme demonstrado em arp.php, dhcp.php, hotspot.php, ip.php, pgaviso.php, pgcorte.php, pppoe.php, queues.php e wifi.php
• CVE-2020-14070 - Há um bypass de autenticação na funcionalidade de login da Web, porque credenciais possíveis de adivinhar admin/executar_login.php resultam em acesso de administrador
• CVE-2020-14071 - As vulnerabilidades XSS nos scripts de administração e cliente permitem que um invasor execute códigos JavaScript de forma arbitrária
• CVE-2020-14072 - Permite a execução de comandos como root através de metacaracteres do shell para /auth admin scripts

Até o momento não há correções para essas falhas, se possível, não atualizar para essa versão ou não utilizá-la em uma instalação limpa. É importante que independente da versão do sistema, este não deve estar publicado para a internet.

Referências

http://mk-auth.com.br/page/changelog-1

https://gist.github.com/merhawi023/a1155913df3cf0c17971b0fb7dcd8f20

CVE-2020-2021 PALOALTO LANÇA ATUALIZAÇÕES DE SEGURANÇA PARA PAN-OS:

Quando a autenticação SAML (Security Assertion Markup Language) está ativada e a opção 'Validar certificado de provedor de identidade' está desabilitada (desmarcada), a verificação incorreta de assinaturas na autenticação SAM-PAN-OS permite que um invasor não autenticado na rede acesse recursos protegidos. O invasor deve ter acesso de rede ao servidor vulnerável para explorar essa vulnerabilidade.

Esse problema afeta as versões do PAN-OS 9.1 anteriores ao PAN-OS 9.1.3; PAN-OS 9.0 versões anteriores ao PAN-OS 9.0.9; PAN-OS 8.1 versões anteriores ao PAN-OS 8.1.15 e todas as versões do PAN-OS 8.0 (EOL). Este problema não afeta o PAN-OS 7.1.

Este problema não pode ser explorado se o SAML não for usado para autenticação.

Esse problema foi corrigido no PAN-OS 8.1.15, PAN-OS 9.0.9, PAN-OS 9.1.3 e em todas as versões posteriores.

Verifique se o certificado de assinatura do seu SAML Identity Provider está configurado como o 'Identity Provider Certificate' antes de atualizar para uma versão fixa para garantir que seus usuários possam continuar se autenticando com êxito. A configuração do 'Identity Provider Certificate' é uma parte essencial de uma configuração segura de autenticação SAML.

CVE-2020-3431 ROTEADORES CISCO SMALL BUSINESS RV042 E RV042G VULNERÁVEIS A CROSS-SITE SCRIPTING

Uma vulnerabilidade na interface de gerenciamento baseada na Web dos roteadores Cisco Small Business RV042 Dual WAN VPN e Cisco Small Business RV042G Dual Gigabit WAN VPN pode permitir que um invasor remoto não autenticado realize um ataque de cross-site scripting (XSS) contra um usuário numa interface de gerenciamento baseada na Web de um dispositivo afetado.

A vulnerabilidade ocorre devido à validação insuficiente da entrada fornecida pelo usuário pela interface de gerenciamento baseada na Web do software afetado. Um invasor pode explorar essa vulnerabilidade convencendo um usuário da interface a clicar em um link criado. Uma exploração bem-sucedida pode permitir que o invasor execute scripts arbitrário no contexto da interface afetada ou acesse informações confidenciais baseadas no navegador.

Ao considerar as atualizações de software, os clientes são aconselhados a consultar regularmente os avisos dos produtos Cisco, disponíveis na página Cisco Security Advisories, para determinar a exposição e uma solução completa de atualização.

No momento da publicação, essa vulnerabilidade afetava as versões de firmware dos roteadores Cisco Small Business RV042 e RV042G anteriores à Versão 4.2.3.14.

SEMANA DE CAPACITAÇÃO SOC BRASIL

O SOC Brazil foi criado em Janeiro de 2019 com o objetivo de acima de tudo ajudar empresas e profissionais de Segurança da Informação a aumentarem a maturidade dos centros de operações de segurança da informação.

Nessa premissa, a partir da próxima semana, terá início a semana de capacitação com temas diversificados envolvendo desenvolvimento profissional e técnico. Será uma ótima oportunidade para aprimorar hard/soft skills.

As palestras serão on line, no canal da SOC Brazil (https://www.youtube.com/c/socbrazil),  e vão de 06 a 10/06/2020 às 20hs. Abaixo as palestras que serão ministradas: