Morphuscast

Entrevista concedida no dia 03/02/21 para a rádio CBN.

Há 10 dias a Oracle corrigiu um grande conjunto de vulnerabilidades em seus produtos. Dentre elas estava a vulnerabilidade com o CVE-2020-14882 de alta criticidade (CVSS 9.8), que poderia permitir a um atacante a execução remota de códigos no sistema comprometido. Ontem foi publicado um exploit extremamente simples que permite a exploração desta vulnerabilidade. Estamos acompanhando o movimento dos atacantes em nossos honeypots. Até o momento, várias tentativas de verificar se o sistema está vulnerável. Conheça mais sobre esta vulnerabilidade e como pode ser explorada assistindo a este episódio. --------------------- O MorphusCast também está disponível nas plataformas: YouTube: https://youtu.be/pg49D-HZOx4 Apple Podcasts: https://podcasts.apple.com/br/podcast/morphuscast/id1367241273 Google Podcasts: https://podcasts.google.com/feed/aHR0cDovL2ZlZWRzLnNvdW5kY2xvdWQuY29tL3VzZXJzL3NvdW5kY2xvdWQ6dXNlcnM6MjY3Mjg3NTExL3NvdW5kcy5yc3M?sa=X&ved=2ahUKEwinpKz1oqjrAhWrazABHVAEAd0Q4aUDegQIARAC -------------

No Patch Tuesday de outubro de 2020, a Microsoft corrigiu uma vulnerabilidade crítica (CVE-2020-16898) que ficou conhecida pelo nome ‘Bad Neighbor’. Trata-se de uma falha no tratamento pacotes de anúncios ICMPv6 pela pilha TCP/IP do Windows 10, Windows Server 2019 e algumas variantes do Windows Core que pode permitir a execução remota de códigos (RCE). O exploit público atualmente disponível causa a interrupção do sistema operacional atacado – a conhecida tela azul ou BSoD – Blue Screen of Death. Apesar de não permitir a execução remota de códigos, os impactos do exploit atualmente disponível podem ser bastante significativos. Recomendamos que aplique o patch ou a medida de mitigação nos sistemas vulneráveis do seu ambiente. O CVSS inicialmente associado a esta vulnerabilidade foi de 9.8. Dias depois foi reduzido para 8.8 porque a vulnerabilidade não pode ser explorada através da internet. Só pode ser explorada por hosts no mesmo segmento de rede. --------------------- O MorphusCast também está disponível n

Neste episódio, fizemos um lab para teste de um exploit recém-publicado capaz de explorar uma vulnerabilidade crítica (CVSS 10) chamada ‘Zerologon’ (CVE-2020-147) corrigida no Microsoft Patch Tuesday de agosto de 2020. Comprovamos que o exploit funciona e é extremamente simples de ser utilizado. Para uso do exploit, basta que um atacante não autenticado tenha conectividade com o Domain Controler. Aplique a correção para a vulnerabilidade no seu ambiente caso ainda não o tenha feito. O MorphusCast também está disponível nas plataformas: - YouTube: https://youtu.be/Ii4BKY3zVU8 - Apple Podcasts: https://podcasts.apple.com/br/podcast/morphuscast/id1367241273 - Google Podcasts: https://podcasts.google.com/feed/aHR0cDovL2ZlZWRzLnNvdW5kY2xvdWQuY29tL3VzZXJzL3NvdW5kY2xvdWQ6dXNlcnM6MjY3Mjg3NTExL3NvdW5kcy5yc3M?sa=X&ved=2ahUKEwinpKz1oqjrAhWrazABHVAEAd0Q4aUDegQIARAC --------------------- Links de referência: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472 https://www.secura.com

Neste episódio, falamos sobre Consent Phishing, o nome que tem sido associado à estratégia maliciosa de solicitação de consentimento de acesso a dados e recursos em nuvem de contas pessoais e corporativas por meio de autenticação integrada (OAuth). Os riscos, que não podem ser mitigados com mudança de senha ou aplicação de múltiplo fator de autenticação (MFA), vão de vazamento de dados a golpes conhecidos por BEC (Business E-mail Compromise) – geralmente associados a transações financeiras fraudulentas. O MorphusCast também está disponível nas plataformas: - YouTube: https://youtu.be/W_wxMytiddU - Apple Podcasts: https://podcasts.apple.com/br/podcast/morphuscast/id1367241273 - Google Podcasts: https://podcasts.google.com/feed/aHR0cDovL2ZlZWRzLnNvdW5kY2xvdWQuY29tL3VzZXJzL3NvdW5kY2xvdWQ6dXNlcnM6MjY3Mjg3NTExL3NvdW5kcy5yc3M?sa=X&ved=2ahUKEwinpKz1oqjrAhWrazABHVAEAd0Q4aUDegQIARAC ------------ Links de referência: https://www.defcon.org/html/defcon-safemode/dc-safemode-speakers.html#Hunstad https://www.youtu

Neste episódio, analisamos uma técnica apresentada na DEFCON28 que explora os aprimoramentos de segurança e privacidade trazidos pelo TLS1.3 com ENSI para reviver a técnica de Domain Fronting. Fizemos um lab da ferramenta disponibilizada pelo pesquisador para demonstração da técnica e seu potencial de uso para mascaramento de endereços maliciosos, trazendo novos desafios de defesa. O MorphusCast também está disponível nas plataformas: - YouTube: https://youtu.be/2oYCuguM6Qw - Apple Podcasts: https://podcasts.apple.com/br/podcast/morphuscast-10-novos-desafios-defesa-com-o-retorno/id1367241273?i=1000487944426 - Google Podcasts: https://podcasts.google.com/feed/aHR0cDovL2ZlZWRzLnNvdW5kY2xvdWQuY29tL3VzZXJzL3NvdW5kY2xvdWQ6dXNlcnM6MjY3Mjg3NTExL3NvdW5kcy5yc3M/episode/dGFnOnNvdW5kY2xvdWQsMjAxMDp0cmFja3MvODc0NjM0Mzk1?sa=X&ved=2ahUKEwihx-251JbrAhUfajABHbGgDu4QkfYCegQIARAF ------------ Links de referência: https://www.defcon.org/html/defcon-safemode/dc-safemode-speakers.html#Hunstad https://www.youtube.com/watc

Neste episódio, fizemos um lab para demonstração de como os cibercriminosos estão explorando Dockers API desprotegidas, escapando do container e implantando códigos maliciosos no host. Entenda também quais rastros este tipo de vetor de entrada pode deixar e como deve ser feita a devida proteção da API. O MorphusCast também está disponível nas plataformas: - YouTube: https://youtu.be/gYI9ITo2G2w - Apple Podcasts: https://podcasts.apple.com/br/podcast... - Google Podcasts: https://podcasts.google.com/feed/aHR0... ------------ Links de referência: Campanha Doki: https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/ Habilitando modo debug do Docker deamon: https://success.docker.com/article/how-do-i-enable-debug-logging-of-the-docker-daemon Proteção adequada do Docker API: https://docs.docker.com/engine/security/https/ -------- ACOMPANHE OS NOSSOS CANAIS: https://www.linkedin.com/company/morphusecurity https://www.instagram.com/morphusecurity htt

Neste episódio, fizemos uma análise comportamental do WastedLocker, ransomware que teria causado o incidente recente da Garmin, gerando indisponibilidade de vários serviços da companhia. Usando ferramentas como ProcMon e ProcDoc, monitoramos o fluxo de execução, criptografia e mecanismos de persistência (ou não). Por fim, usando o X32dbg, mostramos a presença da string ‘garmin’ embutida no código do malware. Disponível também no YouTube: https://youtu.be/CjMqCiJpYY4 ------- Links de referência: https://www.bleepingcomputer.com/news/security/garmin-outage-caused-by-confirmed-wastedlocker-ransomware-attack/ https://connect.garmin.com/status/ https://www.bleepingcomputer.com/news/security/dozens-of-us-news-sites-hacked-in-wastedlocker-ransomware-attacks/ https://attack.mitre.org/techniques/T1189/ https://www.virustotal.com/gui/file/905ea119ad8d3e54cd228c458a1b5681abc1f35df782977a23812ec4efa0288a/details https://www.wired.com/story/garmin-outage-ransomware-attack-workouts-aviation/ -------- ACOMPANHE O

Assista neste episódio a um lab de demonstração da execução de um exploit da vulnerabilidade SIGRed (CVE-2020-1350) que causa a interrupção do serviço DNS Server vulnerável, demonstramos como o workaround com a criação da chave de registro recomendada pela Microsoft é eficiente e como o ataque pode ser identificado por meio de uma assinatura no Zeek IDS. Falamos também do incidente do Twitter e da vulnerabilidade BadPower, que afeta carregadores rápidos de celular e pode causar sérios incidentes físicos. Disponível também no YouTube: https://www.youtube.com/watch?v=IyksfZ26JhU ---- Links de referência: Aplicação do workaround para a vulnerabilidade SIGRed: https://support.microsoft.com/en-us/help/4569509/windows-dns-server-remote-code-execution-vulnerability?ranMID=42431&ranEAID=je6NUbpObpQ&ranSiteID=je6NUbpObpQ-WO6EMnZCu.OKj2YMJCxP3w&epi=je6NUbpObpQ-WO6EMnZCu.OKj2YMJCxP3w&irgwc=1&OCID=AID2000142_aff_7803_1243925&tduid=(ir__pfjleunjjskftiibxhyq2k3ksu2xiyk1gnedaewu00)(7803)(1243925)(je6NUbpObpQ-WO6EMnZCu.OK

Na última semana, múltiplas tecnologias e plataformas amplamente utilizadas receberam atualizações para vulnerabilidades críticas. Entenda mais e atualize seu ambiente antes que os exploits sejam publicados. *Disponível também no YouTube: https://youtu.be/ddg-6TI1kko -------- ACOMPANHE OS NOSSOS CANAIS: https://www.linkedin.com/company/morphusecurity https://www.instagram.com/morphusecurity https://www.facebook.com/morphustecnologia NOSSOS CONTEÚDOS: Morphus Labs: https://morphuslabs.com/ Morphus Blog: https://www.medium.com/morphusblog -------- INFORMAÇÕES: https://www.morphus.com.br

Entenda os detalhes da vulnerabilidade de CVSS 10 (máximo) no serviço Windows DNS Server, que existe há 17 anos e foi corrigida no Patch Tuesday de Julho e saiba o que fazer para proteger a sua organização. Postagem de Renato Marinho na SANS sobre o assunto: https://isc.sans.edu/forums/diary/Microsoft+July+2020+Patch+Tuesday+Patch+Now/26350/ Pesquisa sobre a vulnerabilidade feita pela Checkpoint: https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/ *Disponível também no YouTube: https://youtu.be/sEU43gmltyU -------- ACOMPANHE OS NOSSOS CANAIS: https://www.linkedin.com/company/morphusecurity https://www.instagram.com/morphusecurity https://www.facebook.com/morphustecnologia NOSSOS CONTEÚDOS: Morphus Labs: https://morphuslabs.com/ Morphus Blog: https://www.medium.com/morphusblog -------- INFORMAÇÕES: https://www.morphus.com.br

Neste episódio falamos sobre os detalhes da vulnerabilidade de criticidade máxima no F5-BIGIP (CVE-2020-5902), como vem sendo explorada e as recomendações de segurança. *Disponível também no YouTube: -------- ACOMPANHE OS NOSSOS CANAIS: https://www.linkedin.com/company/morphusecurity https://www.instagram.com/morphusecurity https://www.facebook.com/morphustecnologia NOSSOS CONTEÚDOS: Morphus Labs: https://morphuslabs.com/ Morphus Blog: https://www.medium.com/morphusblog -------- INFORMAÇÕES: https://www.morphus.com.br

Semanalmente, Joel Teixeira e Renato Marinho trarão os assuntos mais quentes e, ocasionalmente, alguns nomes de peso, do universo da segurança da informação. No quarto episódio da nova temporada, falamos sobre o maior ataque volumétrico (PPS) de DDoS já detectado até hoje, onde mais de 809 milhões de pacotes por segundo foram disparados contra um alvo na Europa e sobre o comprometimento de imagens no Docker Hub e ambientes Kubernetes para mineração maliciosa de criptomoedas. *Disponível também no YouTube: https://www.youtube.com/watch?v=0hpdJfRLB5E -------- ACOMPANHE OS NOSSOS CANAIS: https://www.linkedin.com/company/morphusecurity https://www.instagram.com/morphusecurity https://www.facebook.com/morphustecnologia NOSSOS CONTEÚDOS: Morphus Labs: https://morphuslabs.com/ Morphus Blog: https://www.medium.com/morphusblog -------- INFORMAÇÕES: https://www.morphus.com.br

Semanalmente, Joel Teixeira e Renato Marinho trarão os assuntos mais quentes e, ocasionalmente, alguns nomes de peso, do universo da segurança da informação. No terceiro episódio dessa nova temporada, falamos sobre as vulnerabilidades, denominadas Ripple20, que afetam milhões de dispositivos de diferentes produtos, tais como impressoras, bombas de infusão e dispositivos industriais de múltiplos fabricantes, tais como HP, Schneider Electric, Intel, Rockwell Automation, Caterpillar, Baxter em múltiplas indústrias. *Disponível também no YouTube: https://www.youtube.com/watch?v=5UhwVAu_zfs&feature=youtu.be -------- ACOMPANHE OS NOSSOS CANAIS: https://www.instagram.com/morphusecurity https://www.linkedin.com/company/morphusecurity https://www.facebook.com/morphustecnologia NOSSO BLOG DE CONTEÚDO: https://www.medium.com/morphusblog -------- INFORMAÇÕES: https://www.morphus.com.br https://www.morphuslabs.com

Semanalmente, Joel Teixeira e Renato Marinho trarão os assuntos mais quentes e, ocasionalmente, alguns nomes de peso, do universo da segurança da informação. No segundo episódio dessa nova temporada, falamos sobre o malware Astaroth, suas técnicas sofisticadas e sobre o uso do tema COVID-19 para campanhas de phishing na busca por vítimas no Brasil. Confira! *Disponível também no YouTube: https://youtu.be/P02VN-Va7vE

Sejam todos bem-vindos à nova temporada do Morphuscast, agora também em vídeo! Semanalmente, Joel Teixeira e Renato Marinho trarão os assuntos mais quentes e, ocasionalmente, alguns nomes de peso, do universo da segurança da informação. No primeiro papo de estreia do novo programa o assunto são as estratégias de extorsão em dobro dos novos ransomwares. Confira! Disponível também no YouTube: https://youtu.be/Gj1xPpDvsQM

Neste episódio conversamos sobre as vulnerabilidades recentes nos virtualizadores VirtualBox e VMware, que podem permitir execução de códigos no host, e sobre os ataques de credential-stuffing. Confira!

Renato Marinho destaca as principais ameaças da semana com destaque à uma vulnerabilidade de execução remota de código no Apache Struts divulgada há apenas algumas horas. Como sempre, recomendamos que verifique seu ambiente por versões afetadas e aplique o patches devidos. Referência citada: http://mail-archives.us.apache.org/mod_mbox/www-announce/201811.mbox/%3CCAMopvkMo8WiP%3DfqVQuZ1Fyx%3D6CGz0Epzfe0gG5XAqP1wdJCoBQ%40mail.gmail.com%3E

Falamos com Renato Marinho sobre o update trimestral da Oracle liberado semana passada e uma vulnerabilidade identificada na biblioteca libssh.

Uma vulnerabilidade que afeta uma biblioteca utilizada no Tinder (entre outros aplicatios) e a preocupação com a quantidade de sites que ainda utilizam PHP 5.6 e a falta de suporte em Janeiro de 2019.