Esta publicação tem como objetivo divulgar o documento desenvolvido pela equipe de Threat Intelligence da Service IT Security que foi desenvolvido e fundamentado utilizando as documentações oficiais do NIST (National Institute Of Standards and Technology), MITRE e CVE.org, que são conhecidas mundialmente na área de cibersegurança, como modelo e padronização de melhores práticas de segurança, pesquisa de metodologias de ataques e defesa cibernética, e pesquisa e catalogação de novas vulnerabilidades em sistemas operacionais e aplicações.
Vulnerabilidades e Ameaças Descobertas:
1. VoidStealer contorna proteção ABE do Chrome
Descrição: Nova variante do VoidStealer extrai credenciais do Chrome/Edge contornando o ABE sem privilégios elevados.
Exploração: Uso de técnicas de depuração para capturar chaves criptográficas diretamente da memória do navegador.
Impacto: Roubo de senhas e cookies, permitindo sequestro de contas e acesso não autorizado.
Mitigação: Monitorar comportamento de depuração, aplicar EDR, MFA e evitar armazenamento de senhas no navegador.
2. Vulnerabilidades no Jenkins permitem RCE e exposição de credenciais
Descrição: Falhas críticas no Jenkins permitem execução remota de código e vazamento de chaves de API.
Exploração: Uso de arquivos maliciosos (.tar) e DNS rebinding para comprometer pipelines CI/CD.
Impacto: Comprometimento total do servidor Jenkins e manipulação de processos de desenvolvimento.
Mitigação: Atualizar Jenkins/plugins, restringir acessos, aplicar TLS e revisar permissões.
3. 0-day no Cisco FMC explorado em ransomware
Descrição: Vulnerabilidade zero-day permite execução remota de código como root em soluções Cisco de firewall.
Exploração: Ataque via desserialização de objetos Java manipulados na interface web.
Impacto: Comprometimento total do sistema, movimentação lateral e implantação de ransomware.
Mitigação: Aplicar patches, restringir acesso à interface, usar MFA e monitorar logs.
4. Vulnerabilidade no Microsoft SharePoint em exploração ativa
Descrição: Falha crítica no SharePoint permite execução remota de código via desserialização insegura.
Exploração: Envio de payloads maliciosos que são processados como objetos executáveis pelo servidor.
Impacto: Vazamento de dados, instalação de backdoors e uso em ataques mais amplos como ransomware.
Mitigação: Aplicar patches, restringir acesso, usar WAF/EDR e monitorar atividades suspeitas.
5. Vulnerabilidade XSS no Zimbra explorada ativamente
Descrição: Falha de stored XSS na Classic UI do Zimbra permite execução de código via e-mail malicioso.
Exploração: E-mails com HTML/CSS malicioso executam código ao serem abertos no cliente web.
Impacto: Roubo de sessão, acesso a e-mails e execução de ações não autorizadas.
Mitigação: Aplicar patches, desativar Classic UI e reforçar segurança de e-mail e MFA.
Para obter mais detalhes e verificar a versão completa do documento desta publicação, acesse-o clicando aqui.
