Últimas notícias

Fique informado
NSA alerta para vulnerabilidade de email explorada pelo grupo hacker Sandworm

NSA alerta para vulnerabilidade de email explorada pelo grupo hacker Sandworm

05/06/2020

Spotlight

A MP 983 e a classificação das assinaturas eletrônicas: comparação com a MP 2.200-2 | Por Fabiano Menke

Em 16 de junho de 2020 foi editada a Medida Provisória nº 983 (MP 983), que dispõe sobre as assinaturas eletrônicas em comunicações com entes públicos e em questões de saúde, e trata sobre as licenças de softwares desenvolvidos por entes públicos.

29/06/2020

Globalsign e PG Advogados promovem Webinar sobre a segurança necessária na troca de emails nesse momento de home office

Descubra 4 motivos pelos quais nossos certificados S/MIME fortalecem a segurança dos e-mails

04/06/2020

Entrevista com Marcio D’Avila, especialista da Certisign, sobre a viabilização das transações online. Ouça

Nunca precisamos tanto dos recursos de tecnologia para nos comunicar e transacionar de forma eletrônica como nos últimos dois meses em função das crise do Coronavírus.

13/05/2020

SMIME: A importância do email estar seguro nesse tempo de home office

O trabalho em home office já era uma realidade para muitas pessoas, mas com a pandemia, e a necessidade de um certificado digital aumentou.

27/04/2020

O grupo de hackers conhecido como Sandworm, com sede na Rússia, vem explorando ativamente uma vulnerabilidade encontrada no software de email do Exim Mail Transfer Agent (MTA), de acordo com um alerta da NSA – Agência de Segurança Nacional do USA.

O grupo também é conhecido como Fancy Bear e vários outros, que foram vinculados a uma série de ataques de espionagem na Europa e nos EUA.

No final de 2018 , os pesquisadores de Palo Alto alertaram que o grupo provavelmente estava atrás de uma nova ferramenta de hackers que visava sistemas governamentais nos EUA e na Europa usando ataques furtivos e sofisticados de spear phishing para implantar um trojan da Canon. Os usuários precisariam apenas abrir o email para o download do malware, em vez de clicar em um link para iniciar o ataque malicioso.

O último esforço visa o Exim, um software MTA comum encontrado em sistemas baseados em Unix e em algumas plataformas Linux, como o Debian.

Os funcionários da NSA explicaram que foi lançada uma atualização para uma vulnerabilidade crítica conhecida como CVE-2019-10149, encontrada na versão 4.87 do Exim em 5 de junho de 2019. Se explorada, um agente remoto de ameaça pode obter o controle das contas.

Especificamente, a exploração permitiria que hackers enviassem e-mails personalizados para executar comandos com privilégios de root, permitindo a instalação de programas, modificação de dados e até a criação de novas contas. Como resultado, os hackers podem executar o código de sua escolha em um dispositivo explorado.

As organizações e os usuários foram incentivados a atualizar para a versão mais recente, pois as versões anteriores não são mais suportadas. Mas, de acordo com a NSA, o Sandworm explorou as vítimas através da vulnerabilidade Exim nos MTAs públicos, enviando comandos no campo “MAIL FROM” de uma mensagem SMTP (Simple Mail Transfer Protocol). Cada mensagem é modificada para cada implantação específica.

“Quando o Sandworm explorava o CVE-2019-10149, a máquina da vítima baixava e executava posteriormente um script de shell de um domínio controlado pelo Sandworm”, explicaram os funcionários da NSA.

O script tenta executar uma série de atividades, como adicionar contas privilegiadas, desabilitar as configurações de segurança da rede, atualizar configurações SSH que permitiriam acesso remoto adicional e executar um script adicional para permitir a exploração subsequente.

Dada a gravidade, a NSA pede às organizações que instalem imediatamente a atualização de software de 2019 e garantam que o sistema esteja operando a versão mais recente, 4.93 ou mais recente, para mitigar esta e outras vulnerabilidades da plataforma, pois “existem outras vulnerabilidades e provavelmente serão exploradas… e o uso de uma versão anterior do Exim deixa um sistema vulnerável à exploração. ”

Além disso, os líderes de TI e segurança podem aproveitar as ferramentas de segurança baseadas em rede para detectar e ou bloquear tentativas de exploração e quaisquer alterações adicionais não autorizadas. Examinar logs de tráfego não processados ​​também pode ajudar na detecção de uma tentativa de exploração.

“Por exemplo, a regra 1-50356 do Snort3 alerta por padrão as tentativas de exploração para usuários registrados de um Sistema de Detecção de Intrusão (IDS) da Snort”, explicaram os funcionários da NSA.

“Os administradores são incentivados a revisar os dispositivos de segurança de rede que protegem os servidores de correio Exim, tanto para identificar a exploração anterior quanto para garantir a proteção baseada em rede para quaisquer servidores Exim sem patch.”

“Existem outros métodos de ataque para configurações não padrão e podem não ser detectados usando esses métodos”, eles continuaram. “A verificação rotineira de que não ocorreram modificações não autorizadas no sistema, como contas adicionais e chaves SSH, pode ajudar a detectar um comprometimento”.

Os administradores podem detectar modificações usando o software de monitoramento de integridade de arquivos, que pode enviar alertas ao administrador ou bloquear qualquer alteração não autorizada no sistema. Conforme observado por agências federais e pesquisadores de segurança, alavancar uma estratégia de defesa profunda para todos os softwares públicos – incluindo o MTA – é crucial para impedir esse tipo de tentativa de exploração.

Isolar MTAs voltados ao público é outra etapa crítica, além de empregar regras de firewall para bloquear tráfego inesperado e alavancar a segmentação de rede com base em funções e requisitos.

“Ao usar uma DMZ para sistemas públicos voltados para a Internet, as regras de firewall são importantes para impedir que tráfego inesperado atinja recursos internos confiáveis”, explicaram os funcionários da NSA. “Os MTAs devem ter permissão apenas para enviar tráfego de saída para as portas necessárias, e as portas de destino desnecessárias devem ser bloqueadas.

“As regras de firewall de modelo de acesso mínimo em torno de uma DMZ podem impedir que invasores obtenham acesso não autorizado, pois o tráfego de porta inesperado deve ser bloqueado por padrão”, acrescentaram.

Fonte: Health Security

Globalsign e PG Advogados promovem Webinar sobre a segurança necessária na troca de emails nesse momento de home office

Home office: E-mail seguro com certificado S/MIME. Ouça

Encrypting Emails vs. Encrypting Mail Servers – What’s the Difference?

Criminosos usam ataques BEC – Business Email Compromise para obter acesso a uma conta de e-mail comercial

Entrevista com Marcio D’Avila, especialista da Certisign, sobre a viabilização das transações online. Ouça

Wolters Kluwer Health prioriza a interoperabilidade de sistemas legados de hospitais com o Prontuário Eletrônico do Paciente

BlackEnergy: The Scariest Malware in America?