Ano: 2017

Publicado em por Deixe um comentário

Como Mitigar o impacto do Malware WannaCry

[alert type=”danger”]

Atenção estes passos nao impedem a infeção inicial pois essa é causada pela abertura de um email malicioso. O que tenta ajudar é evitar a movimentação lateral (infeção de outros sistemas na mesma rede).

A única forma eficiente de evitar ser infectado é ter em dia o seu sistema, antivirus e ter cuidado a abrir emails que desconhece.

As acções  descritas neste artigo podem não ser suficientes para impedir a propagação do virus, tudo depende da informação disponível no momento da escrita do artigo. Tentarei manter actualizado o artigo dentro do possível.

[/alert]

O malware WannaCry propaga-se utilizando uma vulnerabilidade no serviço de SMB.

Uma forma eficiente de mitigar a sua propagação na rede é aplicar todos os patches de segurança.

Também inspeciona todas as sessões RDP existentes no sistema e cifra a informação remota a que o utilizador tem acesso. 

Outra forma e desligar os serviços que ele utiliza para se propagar na sua infra-estrutra.

O serviço SMB esta dividido em duas partes o cliente e o servidor.

Ambos estão presentes no windows apesar da componente servidor poder estar ou não activa.

Caso nao seja possível podemos desligar o SMBv1 presente nos sistemas das seguintes formas:

Componente Servidor:

Windows 8 and Windows Server 2012

Abrir uma janela de Powershell e escrever o seguinte comando em modo administrador

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008

Abrir uma janela de Powershell e escrever o seguinte comando em modo administrador

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force

Componente Cliente:

Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, and Windows Server 2012

Abrir uma janela de Linha de comandos (DOS) e escrever em modo administrador os seguintes commandos:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

Utilizando O GUI para remover o cliente:

How to gracefully remove SMB v1 in Windows 8.1, Windows 10, Windows 2012 R2, and Windows Server 2016

Server Manager - Dashboard method

Nos Windows mais antigos:

Add-Remove Programs client method

Caso necessite de ajuda para desactivar estas funcionalidades contate-nos que estamos disponíveis para ajuda-lo.

Ligações Úteis técnicas:

The worm that spreads WanaCrypt0r

https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/?platform=hootsuite

Publicado em por Deixe um comentário

Ataque Informático em grande escala?

1TB de espaço na nuvem

Hoje apareceram nos meios de comunicação várias noticias sobre um ataque informático à escala global relacionado com Ransomware…

Não percebi bem a razão de tanto empolamento destas notícias pois isto é o dia a dia da informática.

Impedir que estes ficheiros maliciosos cheguem aos utilizadores menos conhecedores e sejam executados por eles é o objectivo de qualquer departamento de informática.

À primeira vista não me parece ser uma coisa pudesse dar origem a tão grande alarido.

Só depois de investigar um pouco é que percebi que há algo mais…

Ao passo que o normal Ransomware tem um vetor de ataque normalmente por email e necessita de ser executado e auto destrói-se cifrando a maquina onde se executou e automaticamente sendo contido a essa maquina.

Neste ataque aparentemente o malware utiliza alguma técnica não divulgada para se propagar na infraestrutura causando um problema maior e de difícil contenção.

Pelo que li utiliza uma vulnerabilidade que foi corrigida pela microsoft em Março e divulgada em larga escala em Abril pelo grupo de nome ShadowBrokers.

A vulnerabilidade é a MS17-010.

A utilização deste exploit é que veio dar mais visibilidade a este ataque.

Mais uma vez as estatísticas não enganam, dizem que o tempo médio de passagem de um exploit dia zero á sua inclusão num malware é por norma 2 a 3 meses… 🙁

As empresas deveriam ter em consideração este tempo para o seu Ciclo de Patch Management.

Mais uma vez não se compreende como passados 2 meses de terem solução para este problema há ainda empresas que se deixam afectar por este tipo de incidentes.

Se as máquinas que estão na rede não podem ser actualizadas o mais rápido possível então as empresas devem implementar outras soluções que dificultem a propagação destes virus, isolando as maquinas noutras redes e deixando apenas os serviços necessários disponíveis criando assim o máximo de isolamento possível e uma segurança por camadas.

Hoje em dia a utilização de topologias planas nas infra-estrutura é uma dádiva a qualquer atacante.

Mais informação:

https://www.publico.pt/2017/05/12/tecnologia/noticia/ataque-informatico-internacional-afecta-empresas-e-hospitais-1771939

[alert type=”success”]

A única forma de eficiente de mitigar um ataque deste tipo é implementar políticas de backup e ter os sistemas operativos em dia.

[/alert]

Publicado em por Deixe um comentário

Vulnerabilidade Critica nos produtos da Intel

centro de dados

INTEL-SA-00075 – CVE-2017-5689

Ontem a intel divulgou uma vulnerabilidade que afecta os seus chipsets desde 2007.

Esta vulnerabilidade permite elevação de privilégios e como os serviços vulneráveis são utilizados para gestão remota, colocam os nossos servidores em perigo.

A vulnerabilidade encontra-se nos equipamentos que utilizam as seguintes tecnológias da intel:

Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM), and Intel® Small Business Technology versions firmware versions 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5, and 11.6

O boletim de segurança da intel pode ser consultado aqui:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr

Esta vulnerabilidade nao existe nos produtos normais de computadores pessoais. Se bem que ha alguns sites que fazem referência a tecnologia Intel vPro o que pode afectar muitos portáteis e computadores pessoais…

Por exemplo aqui temos uma lista de computadores que estão confirmados pela lenovo como vulneráveis.

ThinkPad S1 Yoga (vPro) Affected 9.5.61.3012 Target availability 6/17/2017 5/2/2017
ThinkPad S1 Yoga 12 Affected 10.0.55.3000 Target availability 6/5/2017 5/2/2017
ThinkPad S430 Affected 8.1.71.3608 Target availability 6/17/2017 5/2/2017

Pesquise a lista inteira aqui:

https://support.lenovo.com/de/en/product_security/len-14963

Publicado em por Deixe um comentário

Middle-earth: Shadow of War

shadow of war

Middle-earth: Shadow of War

Warner Bros anunciou oficialmente a data de lançamento para o jogo  Middle-earth: Shadow of War, Vai ser lançado em 25 de Agosto na Europa.

Será lançado para a PS4, Xbox One, Steam e Windows 10.

Espero que tenham uma versão de Steam para Linux ou MAC… 🙂

Desenvolvido pela Monolith Productions

Aqui está o trailer:

Publicado em por Deixe um comentário

TICKETBLEED…

ticketbleed

É uma vulnerabilidade semelhante ao HeartBleed e pode ser encontrada nos dispositivos F5.

A empresa fez F5 networks fez a disclosure do artigo e dos respectivos patches e workaround para mitigar esta vulnerabilidade que pode ser explorada em condições especificas.

Para saberem mais podem ler o artigo do fabricante.

https://support.f5.com/csp/article/K05121675

Também podem saber em detalhe como a vulnerabilidade funciona e todo o processo que levou o autor da descoberta a obter sucesso.

https://blog.filippo.io/finding-ticketbleed/

É um artigo deveras interessante e que mostra o raciocínio e o trabalho que os investigadores de vulnerabilidades tem de ter para obter sucesso.

Parabéns ao autor.

Publicado em por Deixe um comentário

As maiores detenções em 2016

Cybercrime – as maiores detenções em 2016Neste momento estamos a ver uma força policial que está a conseguir começar a acompanhar o cybercrime.

Não é ao acaso que algumas das maiores intervenções foram conseguidas este ano.
Avalanche bot net foi desmantelada. – https://www.europol.europa.eu/newsroom/news/‘avalanche’-network-dismantled-in-international-cyber-operation Este esforço conjunto teve ação em mais de 30 países, 39 servidores apreendidos, 221 servidores desligados e mais de 800k domínios apreendidos, desviados ou bloqueados foi uma das maiores redes de computadores a ser utilizada no cybercrime.

Hacker foi preso por fornecer ajuda a um grupo terrorista – Ardit Ferizi foi o primeiro Hacker a ser sentenciado a 20 anos de cadeia por cybercrime ao fornecer uma “kill list” com dados de mais de 100 mil pessoas aos terroristas do ISIS. http://securityaffairs.co/wordpress/51615/terrorism/ardit-ferizi-isis-jailed.html

Esquema fraudulento de utilização de extensões não utilizadas de empresas para realizar chamadas para números de valor acrescentado foi desmantelado. O autor Muhammad Sohail Qasmani deu-se como culpado no desvio de 19,6 Milhões de dólares. http://securityaffairs.co/wordpress/44476/cyber-crime/pbx-system-hacking-and-laundering.html

3 Syrian Electronic Army (SEA) members where arrested and convicted. http://motherboard.vice.com/read/how-the-fbi-identified-two-members-of-the-syrian-electronic-army

Multa de 1,6 milhões de dólares a um ex empregado que iniciou um cyber ataque ao seu ex patrão. esta situação figura na lista não pelo acto em si mas sim pelo valor da compensação monetária que o autor terá de dar ao seu ex patrão. Former Law Firm IT Engineer Convicted in Computer Intrusion Case is …

Autores do famoso Spy-Eye Trojan foram presos. Este programa malicioso ajudou a roubar mais de um bilhão de euros de bancos se formos a confiar as informações publicadas. (as vezes a possibilidade e a realidade são contabilizadas da forma mais interessante para quem divulga a noticia). http://www.aljazeera.com/news/2015/09/algerian-hacker-hero-hoodlum-150921083914167.html

Vadym Iermolovych foi condenado por roubar press releases que não tinham sido tornados públicos e ganhar 30 milhões com informação privilegiada.

O autor do esquema “Business Email Compromise” foi preso, este esquema desviou cerca de 60 milhões de dólares em dinheiro de empresas utilizado virus e emails de phishing. https://www.interpol.int/News-and-media/News/2016/N2016-099

Chefes de um grupo de white-hackers foram presos na china, o que chama a atenção aqui é o facto de estes senhores controlarem, de acordo com a informação disponível, aproximadamente 5000 hackers. http://securityaffairs.co/wordpress/49916/hacking/wooyun-group-arrested.html

Roman Valerevich Seleznev foi condenado por esquemas de fraude nos POS, este senhor foi apanhado com aproximadamente 1,7 milhões de cartões de credito no seu disco rígido…

Adolescentes controlavam uma das maiores redes que fornecia serviços de DDOS. Os seus clientes coordenaram aproximadamente 150 mil ataques de DDOS. Detenções semelhantes aconteceram com membros do Lizard Squad e PoodleCorp. https://krebsonsecurity.com/2016/09/israeli-online-attack-service-vdos-earned-600000-in-two-years/

Empregado da NSA a contrato rouba mais de 50 Terabytes de informação… Não faço ideia de como a transportou ou passou os sistemas de DLP e fez upload para algum site usando a internet mas o facto e que os valores são muito grandes para aquilo que seria informação classificada. https://www.cyberscoop.com/harold-martin-arrested-nsa-shadow-brokers/

Esquemas de mulas de dinheiro desmantelado origina prisão de 178 pessoas. https://www.europol.europa.eu/newsroom/news/178-arrests-in-successful-hit-against-money-muling

Estas foram as noticias que mais chamaram atenção pelos valores e números astronômicos.