* Falhas no Secure Boot afetam carregadores de inicialização.
Os carregadores de inicialização presentes na maioria dos computadores fabricados nos últimos 10 anos são afetados por diversas vulnerabilidades de desvio de inicialização segura. O Secure Boot é um mecanismo projetado para proteger o processo de inicialização de um dispositivo contra ataques, e contorná-lo pode permitir que um invasor execute código arbitrário antes que o sistema operacional seja carregado. Isso pode ser útil para instalar malware furtivo e persistente. A Eclypsium identificou vulnerabilidades de desvio de inicialização segura nos carregadores de inicialização Eurosoft (CVE-2022-34301) CVE-2022-34303, New Horizon Datasys (CVE-2022-34302) e CryptoPro Secure Disk for BitLocker (CVE-2022-34303). A empresa disse que esses bootloaders estão presentes em quase todos os dispositivos fabricados na última década, incluindo dispositivos ARM e x86-64. Para explorar qualquer uma dessas vulnerabilidades, um invasor precisa ter privilégios de administrador ou root no sistema Windows ou Linux de destino. No entanto, a empresa observou que existem muitas maneiras de obter essas permissões em um dispositivo.
* Microsoft alerta sobre ataques de phishing ligados à Rússia.
A Microsoft revelou nesta segunda-feira que tomou medidas para interromper as operações de phishing realizadas por um "ator de ameaças altamente persistente", cujos objetivos se alinham intimamente aos interesses do Estado russo. “As invasões foram associadas a campanhas do grupo SEABORGIUM, onde dados roubados e vazados são usados para moldar narrativas em países-alvo”, disseram as equipes de ameaças da Microsoft. "Suas campanhas envolvem phishing persistente e campanhas de roubo de credenciais que levam a invasões e roubo de dados." Sabe-se que os ataques lançados pelos invasores têm como alvo as mesmas organizações usando metodologias consistentes aplicadas por longos períodos de tempo, permitindo que ele se infiltre nas redes sociais das vítimas por meio de uma combinação de representação, construção de relacionamento e phishing. Os alvos principais incluem empresas de consultoria de defesa e inteligência, organizações não governamentais (ONGs) e organizações intergovernamentais (IGOs), grupos de reflexão e entidades de ensino superior localizadas nos EUA e no Reino Unido e, em menor grau, nos países bálticos, nórdicos, e a Europa Oriental.
* Falha no macOS pode permitir que hackers comprometam o dispositivo.
Uma falha de injeção ligada à forma como o macOS lida com atualizações de software no sistema pode permitir que invasores acessem todos os arquivos em dispositivos Mac. A notícia vem do especialista em segurança do Mac, Patrick Wardle, que, em uma postagem no blog do Sector7 (e na conferência Black Hat em Las Vegas), demonstrou como os agentes de ameaças podem abusar da falha para assumir o controle do dispositivo. Depois de implantar o ataque inicial, a Alkemade conseguiu escapar da sandbox do macOS (um recurso projetado para limitar ataques bem-sucedidos a um aplicativo) e ignorar a Proteção de Integridade do Sistema (SIP), que efetivamente permitiu a implantação de código não autorizado. A divulgação da vulnerabilidade e seus patches ocorre semanas depois que pesquisadores de segurança da ESET encontraram um backdoor do macOS que apelidaram de “CloudMensis” que estava sendo usado em ataques direcionados para roubar informações confidenciais das vítimas.