Duas vulnerabilidades foram descobertas em protocolos de segurança do Windows, o que poderia levar o cracking de senha e consequentemente o comprometimento do domínio, advertiram os pesquisadores.

Esta semana, a equipe de segurança da Preempt disse que os bugs foram descobertos nos protocolos de segurança do Microsoft Windows NT LAN Manager (NTLM), um conjunto de software de segurança que substituiu a plataforma LANMAN (LANMAN).

De acordo com o Preempt, as vulnerabilidades referem-se a diferentes protocolos que manipulam o NTLM de maneira incorreta.

“Essas questões são particularmente significativas, pois podem potencialmente permitir que um invasor crie novas contas de Domain Admins mesmo quando os controles de melhores práticas, como a assinatura do servidor LDAP e o modo de administração restrita RDP, estão habilitados”, diz a empresa.

A primeira vulnerabilidade, CVE-2017-8563, relaciona-se a um protocolo LDAP (Lightweight Directory Access Protocol) a partir do um NTLM relay.

O LDAP destina-se a proteger contra ataques Man-in-the-Middle (MitM) e reencaminhamento de credencial, mas a falha de segurança significa que isso nem sempre protege contra encaminhamento de credencial.

Como tal, quando os protocolos do Windows usam a API de autenticação do Windows (SSPI) – que permite a downgrade de uma sessão de autenticação para a NTLM – cada sessão pode ser comprometida se conectada a uma máquina infectada.

Se um sistema comprometido tiver um Domain Admin, os atacantes podem criar uma conta de administrador.

A segunda questão, que não é CVE atribuída, relaciona-se ao RDP Restrito-Admin Mode. O Preempt diz que os usuários podem se conectar a uma máquina remota sem oferecer sua senha para a máquina remota que possa ser comprometida.

“O Modo de Administração Restrita DP permite que os usuários se conectem a uma máquina remota sem oferecer sua senha para a máquina remota que possa ser comprometida”, diz o time. “Como resultado, cada ataque executado com o NTLM, como a retransmissão de credenciais e o cracking por senha, pode ser realizado contra o RDP Restrito-Admin.

“Cada vez que um administrador se conecta com protocolos, como RDP Restricted-Admin, HTTP ou File Share (SMB), um invasor poderia potencialmente criar um Domain Admin, demonstrando o significado dessas descobertas no protocolo de segurança NTLM”, acrescentou a equipe.

O vídeo abaixo ilustra as vulnerabilidades:

O Preempt reportou os erros à Microsoft em 2 de abril. Dentro de quatro dias, a Microsoft reconheceu o relatório inicial, e depois de mais três dias, ambos os problemas foram reconhecidos.

Para o CVE-2017-8563, uma correção foi lançada como parte dos Patches de julho na terça-feira, e para a segunda questão, a Microsoft disse que é um “problema conhecido” que requer configuração de rede para evitar retransmissores NTLM maliciosos.

De acordo com o Preempt, o uso do NTLM é muito arriscado, mas se as empresas querem usar o protocolo em sua rede, eles devem tornar a autenticação LDAP sobre SSL / TLS mais segura e instalar o patch para CVE-2017-8563 em todos os controladores de domínio.

Um novo modelo do malware ransomware foi descoberto. O malware afeta dispositivos Android e ameaça enviar informações privadas da vítima (fotos, vídeos histórico de nevagação web) para todos os contatos do celular. O malware foi descoberto na loja oficial de aplicativos do Google, o Google Play.

Descoberto por pesquisadores da McAfee, o LeakerLocker não criptografa os arquivos das vítimas, mas faz um backup dos dados armazenados no dispositivo e ameaça compartilhá-lo com todos os contatos do dispositivo do usuário.

Aqueles por trás do malware exigem US$ 50 em troca do vazamentos ds dados pessoais, incluindo fotos, mensagens do Facebook, histórico da web, e-mails, histórico de localização e muito mais.

Duas aplicações na Google Play Store continham o malware, o Wallpapers Blur HD, que foi baixado entre 5.000 e 10.000 vezes, e o Booster & Cleaner Pro, que foi baixado entre 1.000 e 5.000 vezes.

O número combinado de downloads significa que até 15.000 pessoas foram vítimas desse ransomware, que já esteve na Google Play Store desde pelo menos abril. Ambos os aplicativos têm boas pontuações de revisão, sugerindo que aqueles que estão por trás do esquema estão dando comentários falsos.

Uma vez baixado, o LeakerLocker solicita varias permissões, incluindo a capacidade de gerenciar chamadas, ler e enviar mensagens e ter acesso aos contatos. Depois de instalado, inicia a atividade maliciosa, bloqueando a tela inicial do dispositivo com uma tela de ameaça.

É verdade que o malware pode ter acesso a informações privadas, pois às vítimas concederam as permissões durante a instalação, porém nem todos os dados privados que LeakerLocker afirma ter acesso podem ser vistos ou vazados.

No entanto, a análise do código mostra que é capaz de pelo menos acessar um endereço de e-mail, algumas informações de contato, histórico do navegador do Chrome, mensagens de texto, chamadas e fotos da câmera.

Os trechos desses dados são escolhidos aleatoriamente para convencer a vítima de que todos os seus dados foram copiados – embora, neste momento, a informação não tenha sido copiada, mas pode acontecer se o servidor de controle emitir instruções relevantes.

Essa forma básica de ransomware exige o resgate via cartão de crédito, embora os pesquisadores recomendem que as vítimas infectadas não paguem porque não há garantia de que a informação seja divulgada ou não seja usada para chantagear as vítimas de novo.

Os pesquisadores da McAfee relataram o LeakerLocker ao Google, que diz que está “investigando” – e parece que os dois aplicativos, incluindo o malware, foram removidos da Google Play Store.

Fonte: zdnet.com

Dentro do Cloud Computing, existem 3 modelos de implantação, abaixo será explicado resumidamente o funcionamento de cada um deles.

SaaS (Software as a Service)

O líder dentro do Cloud Computing. Com este modelo, um fornecedor de software licencia sua aplicação para ser usada e comprada sob demanda pela Internet. A medida que mais computadores e empresas acessam a Internet, o modelo SaaS se torna mais e mais viável em comparação com o modelo de software tradicional de compra de licenças. Além disso facilita o controle de versões, a empresa não precisa se preocupar em atualizar o sistema para uma nova versão ou se preocupar se a infraestrutura interna suporta, a empresa só precisa se preocupar com o link de internet.

PaaS (Platform as a Service)

Mais voltado para desenvolvedores, com uma plataforma que envolve todo o ciclo de desenvolvimento, incluindo hospedagem, testes e implantação na internet.

IaaS (Infrastructure as a Service)

O provedor oferece máquinas virtuais, servidores físicos, armazenamento, switching e recursos de conectividade. O contratante é responsável por instalar e manter o sistema operacional, sistemas ou máquinas virtuais; o fornecedor é responsável pela gestão da infraestrutura de hardware que os sistemas ou máquinas virtuais estão rodando.

Vou começar a descrever um pouco sobre virtualização em ambientes corporativos, e para iniciar, este vídeo mostra um pouco como esta tal de virtualização funciona.

Nós próximos artigos, vou tentar explicar como funciona, quais são os componentes e também as vantagens e desvantagens.

Quantas pessoas sabem como reconhecer um phishing?

Phishing é um problema sério. Estatísticas da RSA (Empresa Americana de segurança da informação) mostra que existiam aproximadamente 445 mil sites phishing em 2012, em 2011 o número era aproximadamente 200 mil, ou seja, o número dobrou. E é certo dizer que este número irá aumentar ainda mais em 2013.

Uma pesquisa da Kaspersky Lab, mostra que os golpistas utilizaram grandes empresas, tais como, Apple, Google, Skype, eBay, Instagram, Amazon e Twitter para enganar os usuários e induzirem a clicarem em links maliciosos.

Phishing realmente está crescendo muito, diz Corey Nachreine, Diretor de Estratégias de Segurança da empresa WatchGuard.

Mas afinal, o que é Phishing?

Em computação, phishing, termo oriundo do inglês (fishing) que quer dizer pesca, é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir dados pessoais de diversos tipos; senhas, dados financeiros como número de cartões de crédito e outros dados pessoais. O ato consiste em um fraudador se fazer passar por uma pessoa ou empresa confiável enviando uma comunicação eletrônica oficial. Isto ocorre de várias maneiras, principalmente por email, mensagem instantânea, SMS, dentre outros. Como o nome propõe (Phishing), é uma tentativa de um fraudador tentar “pescar” informações pessoais de usuários desavisados ou inexperientes. (Fonte: http://pt.wikipedia.org/wiki/Phishing)

E o maior problema hoje, é que os sites de Phishing estão cada vez mais sofisticados e mais difíceis de reconhecer. 10 anos atrás era muito simples identificar um ataque por phishing, na maioria dos casos os e-mails e sites pareciam falsos. Atualmente os golpistas estão prestando atenção no que as empresas estão fazendo, nas campanhas, nos logotipos, nos produtos e fazem sites e e-mails maliciosos muito semelhantes aos das empresas. Se você não se atentar aos mínimos detalhes, não irá reconhecer que aquele site ou e-mail não é real.

Algumas dicas de como evitar os phishings:

1 – Quem está enviando o e-mail?

Geralmente quando as empresas enviam algum e-mails aos seus clientes, o destinatário é apenas você, então fique atento ao campo “cópia ou cc”, verifica se não existe mais nenhum outro e-mail além do seu. Muitas vezes os golpistas enviam o mesmo e-mail para várias pessoas na esperança de apenas uma clicar no link malicioso que contém naquele e-mail.

Verifique também o domínio do remetente do e-mail, por exemplo, “teste@microsofti”, perceba que o nome Microsoft está incorreto, “Microsofti”, muito utilizam está técnica para induzir os usuários ao erro.

2 – Nunca clique em links

Nunca clique em links recebidos por e-mail, principalmente se for um e-mail que não solicitou. Mesmo se você tiver certeza que aquele link é confiável, é melhor você digitar a URL manualmente eu seu browser.

Se você fez uma compra pela internet, e recebe um e-mail dizendo que ouve um problema com o seu produto e junto a este e-mail recebe um link para clicar, não clique, entre no site onde comprou o produto, se realmente ocorreu um problema, estará dizendo no site, na guia “Meus pedidos”. Os golpistas estão muito atentos a cada passo. Temos que tomar muito cuidado.

3 – Passe o mouse sobre o link

E se você tem que clicar no link? Talvez esse e-mail está oferecendo uma promoção de vendas apenas para as pessoas que estão em uma lista de discussão e não podem ser encontradas no site. Ou é seu amigo favorito no Twitter com algo que você realmente precisa ver. Uma maneira rápida de verificar se é seguro clicar é passar o mouse sobre o link. Não clique, é só esperar para ver o URL completa, ela deve aparecer sob o ponteiro do mouse, ou na parte inferior do seu navegador ou aplicativo de correio (por exemplo, o outlook). Os criminosos podem facilmente escrever paypal.com no corpo do e-mail, mas na verdade apontar o paypal.com para um endereço fakedomain.net. Passando o mouse sobre o link permite que você verifique para onde o link está realmente apontado.

4 – Leia com cuidado o domínio

Como mencionado acima, os golpistas mudam o nome dos domínios, microsofti.com gogle.com. skipe.com. Outro truque, são os golpistas enviarem links muito longos, como por exemplo, paypal-net/log/test/bah/test.com, isso por induzir o usuário a acreditar que este link é de um site filiado ao paypal.

5 – Verifique os links

Talvez você já tenha passado o mouse sob o link, e ele parece legitimo, ou o site está utilizando algum serviço de encurtamento de URL, tais como, bit.ly ou t.co de modo que passar o mouse sob link não te ajude a identificar se é real ou não. Você pode copiar a URL e colar no site: http://www.getlinkinfo.com . Este site irá mostrar para onde este link está direcionado. Outro site que pode ser utilizado é o SiteCheck (http://sitecheck.sucuri.net/scanner/), este site mostra se o link é malicioso ou não.

6 – Pense inteligente

“Em muitos casos, você vai saber o direcionamento do link apenas passando o mouse sob o link. “Para os outros casos, os serviços mencionados acima podem ser úteis. Diz Corey Nachreiner”

A melhor maneira de certificar-se de que você não está sendo vitima de phishing é não visitar um site de phishing em tudo, por exemplo, se você clicou no link e percebeu que é malicioso, saia do site, não digite suas informações pessoas, como login e senha. Se você digitar suas credenciais de login ou suas informações confidenciais em um site e apertar “enter”, o dano já está feito. Nesse ponto, você tem que mudar suas senhas e entrar contato com seus bancos. A melhor maneira de parar um ataque phishing, é antes mesmo de você chegar ao local infectado pelo link.

Tome cuidado, pratique as dicas acima.