...::: Notícias de Segurança :::...

[New_Style_xd 15]

Microsoft disponibiliza correção para vulnerabilidade

 

A Microsoft disponibilizou hoje uma correção de emergência para a vulnerabilidade CVE-2018-8653 no Internet Explorer.

Vulnerabilidade CVE-2018-8653 no Internet Explorer

O boletim de segurança publicado aqui pela Microsoft diz o seguinte sobre a vulnerabilidade CVE-2018-8653:

“Existe uma vulnerabilidade de execução remota de código na forma como o mecanismo de scripts manipula objetos na memória no Internet Explorer. A vulnerabilidade pode corromper a memória a ponto de permitir que um invasor execute código arbitrário no contexto do usuário atual. Um invasor que explorar com êxito as vulnerabilidades pode obter os mesmos direitos que o usuário atual.

Se um usuário atual tiver feito logon com direitos administrativos, o invasor que explorar com êxito essas vulnerabilidades poderá obter o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

Em um cenário de ataque pela Web, o invasor pode hospedar um site especialmente criado para explorar a vulnerabilidade por meio do Internet Explorer e depois convencer um usuário a exibir o site, por exemplo, enviando um email.”

A vulnerabilidade afeta o Internet Explorer 9, Internet Explorer 10 e o Internet Explorer 11. Os usuários do Windows 7, Windows 8.1, Windows RT 8.1, Windows 10 Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 e Windows Server 2019 podem instalar a correção de emergência via Windows Update.

O boletim de segurança da Microsoft também oferece a seguinte solução alternativa:

Restringir o acesso ao JScript.dll 
Para sistemas de 32 bits, insira os seguintes comandos em um prompt de comando administrativo:

cacls %windir%\system32\jscript.dll /E /P everyone:N

Para sistemas de 64 bits, insira os seguintes comandos em um prompt de comando administrativo:

cacls %windir%\syswow64\jscript.dll /E /P everyone:N

Impacto da solução alternativa. Por padrão, o IE11, o IE10 e o IE9 usam Jscript9.dll que não é afetado por essa vulnerabilidade. Essa vulnerabilidade afeta apenas alguns sites que utilizam jscript como o mecanismo de script.

Como desfazer a solução alternativa. Para sistemas de 32 bits, insira os seguintes comandos em um prompt de comando administrativo:

cacls %windir%\system32\jscript.dll /E /R everyone

Para sistemas de 64 bits, insira o seguinte comando em um prompt de comando administrativo:

cacls %windir%\syswow64\jscript.dll /E /R everyone

[New_Style_xd 15]

Malwarebytes Anti-Exploit v1.12.1.145 Beta

A Malwarebytes disponibilizou para download o Malwarebytes Anti-Exploit v1.12.1.145 Beta. O software, que é gratuito, oferece as mesmas defesas anti-exploits presentes na versão Premium do Malwarebytes.

A versão Beta é utilizada para teste de novas tecnologias e defesas antes de serem implementadas na versão Premium.

Malwarebytes Anti-Exploit v1.12.1.145 Beta

A versão 1.12 traz proteção contra ataques que utilizam a técnica conhecida como Process Hollowing, compatibilidade com Windows Device Guard e Hypervisor Code Integrity (HVCI).

Já o changelog específico da versão 1.12.1.145 Beta diz que esta versão traz proteção atualizada para os navegadores Microsoft Edge e Google Chrome, corrige problemas com a detecção de falsos positivos no software Leawo Blu-ray Player, no plug-in ViewRight, no wscript e corrige problemas com a notificação de alertas.

Interessados em testar o Malwarebytes Anti-Exploit v1.12.1.145 Beta podem fazer o download aquie mais informações sobre o software podem ser encontradas aqui.

 

[New_Style_xd 15]

Kaspersky Virus Removal Tool v15.0.22.0 Build 21.12.2018

 

A Kaspersky Virus Removal Tool v15.0.22.0 Build 21.12.2018 é uma ferramenta gratuita criada para ajudar o usuário a verificar computadores com Windows em busca de vírus e outras ameaças.

Se alguma infecção for detectada a ferramenta guiará o usuário para que ele possa removê-la se for possível.

A ferramenta pode detectar vírus, trojans, adware, spyware e outras ameaças.

Faça o download da Kaspersky Virus Removal Tool v15.0.22.0 Build 21.12.2018

A ferramenta está disponível para download gratuitamente aqui e não requer instalação. Ela é compatível com o Windows XP e versões posteriores.

Importante: Esta ferramenta não substitui um software antivírus.

[New_Style_xd 15]

Kaspersky TDSSKiller v3.1.0.25

O Kaspersky TDSSKiller v3.1.0.25 é a versão mais recente do utilitário para Windows especializado na detecção e remoção de rootkits conhecidos como o TDSS, Sinowal, Whistler, Phanta, Trup, Stoned e outros.

Além de detectar e remover diversos rootkits, o software também detecta serviços ocultos, arquivos falsos, mudanças no setor mestre de inicialização (MBR) do disco rígido e outras alterações que podem indicar uma possível infecção.

A lista completa com os rootkits que podem ser removidos pelo TDSSKiller pode ser vista abaixo:

– Rootkit.Win32.TDSS
– Rootkit.Win32.Stoned.d
– Rootkit.Boot.Cidox.a
– Rootkit.Boot.SST.a
– Rootkit.Boot.Pihar.a,b,c
– Rootkit.Boot.CPD.a
– Rootkit.Boot.Bootkor.a
– Rootkit.Boot.MyBios.b
– Rootkit.Win32.TDSS.mbr
– Rootkit.Boot.Wistler.a
– Rootkit.Boot.SST.b
– Rootkit.Boot.Fisp.a
– Rootkit.Boot.Nimnul.a
– Rootkit.Boot.Batan.a
– Rootkit.Boot.Lapka.a
– Rootkit.Boot.Goodkit.a
– Rootkit.Boot.Clones.a
– Rootkit.Boot.Xpaj.a
– Rootkit.Boot.Yurn.a
– Rootkit.Boot.Prothean.a
– Rootkit.Boot.Plite.a
– Rootkit.Boot.Geth.a
– Rootkit.Boot.CPD.b
– Rootkit.Win32.ZAccess.aml,c,e,f,g,h,i,j,k
– Backdoor.Win32.Trup.a,b
– Backdoor.Win32.Sinowal.knf,kmy
– Backdoor.Win32.Phanta.a,b
– Virus.Win32.TDSS.a,b,c,d,e
– Virus.Win32.Rloader.a
– Virus.Win32.Cmoser.a
– Virus.Win32.Zhaba.a,b,c
– Trojan-Clicker.Win32.Wistler.a,b,c
– Trojan-Dropper.Boot.Niwa.a
– Trojan-Ransom.Boot.Mbro.d,e
– Trojan-Ransom.Boot.Siob.a
– Trojan-Ransom.Boot.Mbro.f

Faça o download do Kaspersky TDSSKiller v3.1.0.25

O Kaspersky TDSSKiller v3.1.0.25 está disponível para download aqui e para usá-lo basta executar o arquivo TDSSKiller.exe, clicar em Start Scan e aguardar os resultados. Outro detalhe é que ele também pode ser usado com o Windows em modo de segurança.

Vale destacar que o Kaspersky TDSSKiller não substitui um software antivírus. Usuários que quiserem manter seus PCs protegidos devem instalar um antivírus e manter tanto ele como o Windows sempre atualizados.

O software é compatível com o Windows XP, Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 10, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2, Windows Small Business Server 2011 , Windows Server 2012, Windows Server 2012 R2 e Windows Server 2016.

Mais informações sobre ele podem ser encontradas aqui.

 

[New_Style_xd 15]

Correção de emergência para o Internet Explorer causa problemas em laptops da Lenovo

A correção emergência para o Internet Explorer disponibilizada na semana passada pela Microsoftestá causando problemas em laptops da Lenovo.

A correção para a vulnerabilidade CVE-2018-8653 está disponível para o Windows 7, Windows 8.1, Windows RT 8.1, Windows 10 Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 e afeta o Internet Explorer 9, Internet Explorer 10 e o Internet Explorer 11.

Correção de emergência para o Internet Explorer causa problemas em laptops da Lenovo

De acordo com a Microsoft, a atualização está causando problemas em laptops da Lenovo com menos de 8GB de memória RAM.

Mais especificamente, laptops que se encaixam neste cenário não são inicializados corretamente após a instalação da atualização.

A empresa recomenda a seguinte solução temporáris até que uma correção definitiva seja disponibilizada:

– Reinicie o laptop afetado e desative a Inicialização Segura (Secure Boot) através do UEFI.

Nota: Se a criptografia de disco BitLocker estiver habilitada, será necessário passar pelo processo de recuperação após desativar a Inicialização Segura.

A empresa confirmou que está trabalhando com a Lenovo em uma solução definitiva para o problema.

[New_Style_xd 15]

Novo trojan Razy infecta navegadores para roubar criptomoedas

Detectado como Trojan.Win32.Razy.gen pelas soluções de segurança da empresa, ele é um arquivo executável que se espalha através de anúncios maliciosos e através de sites de compartilhamento de arquivos.

O trojan Razy instala uma extensão maliciosa, ou modifica uma já existente, no navegador depois de desativar a verificação de integridade e o mecanismo de atualizações automáticas do alvo.

O malware pode ser usado para diversos propósitos, sendo a maioria deles relacionado ao roubo de criptomoedas.

A principal ferramenta do trojan é o script main.js, que é capaz de:

– Procurar por endereços de carteiras de criptomoedas em sites e substituí-los pelo endereço da carteira dos criminosos.

– Falsificar imagens de códigos QR que apontam para carteiras de criptomoedas.

– Falsificar resultados de busca do Google e Yandex.

E mais.

O trojan Razy podem infectar os navegadores Google Chrome, Mozilla Firefox e o Yandex Browser, mas o processo de infecção é diferente para cada um deles.

Para o Firefox, o trojan instala uma extensão chamada “Firefox Protection” com o ID {ab10d63e-3096-4492-ab0e-5edcf4baf988} no local %APPDATA%\Mozilla\Firefox\Profiles\.default\Extensions\{ab10d63e-3096-4492-ab0e-5edcf4baf988}.

Para a extensão funcionar corretamente, o trojan modifica os seguintes arquivos:

- %APPDATA%\Mozilla\Firefox\Profiles\.default\prefs.js
- %APPDATA%\Mozilla\Firefox\Profiles\.default\extensions.json
- %PROGRAMFILES%\Mozilla Firefox\omni.js

Para o Yandex Browser, o trojan edita o arquivo %APPDATA%\Yandex\YandexBrowser\Application\browser.dll para desabilitar a verificação da integridade da extensão. O arquivo original é renomeado como browser.dll_.

Para desativar o mecanismo de atualizações do navegador, ele cria uma chave no Registro do Windows:

“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\YandexBrowser\UpdateAllowed” = 0 (REG_DWORD)

Em seguida a extensão “Yandex Protect” é instalada no local %APPDATA%\Yandex\YandexBrowser\User Data\Default\Extensions\acgimceffoceigocablmjdpebeodphgc\6.1.6_0. O ID acgimceffoceigocablmjdpebeodphgc corresponde a uma extensão legítima para o Google Chrome chamada Cloudy Calculator. Se esta extensão estiver presente no Yandex Browser, ela será substituída pela extensão maliciosa “Yandex Protect”.

Para o Google Chrome, o trojan Razy modifica o arquivo %PROGRAMFILES%\Google\Chrome\Application\chrome.dll para desativar a verificação da integridade da extensão e renomeia o arquivo original chrome.dll para chrome.dll_.

Ele então cria as seguintes chaves no Registro do Windows para desativar o mecanismo de atualizações do navegador:

“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update\AutoUpdateCheckPeriodMinutes” = 0 (REG_DWORD)

“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update\DisableAutoUpdateChecksCheckboxValue” = 1 (REG_DWORD)

“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update\InstallDefault” = 0 (REG_DWORD)

“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update\UpdateDefault” = 0 (REG_DWORD)

A Kaspersky encontrou casos onde diferentes extensões do Chrome foram substituídas e não apenas a Cloudy Calculator. Uma extensão em particular merece destaque: Chrome Media Router é um componente do serviço com o mesmo nome em navegadores baseados no projeto Chromium e está presente em todos os sistemas onde o Google Chrome está instalado – embora não seja exibida na lista de extensões instaladas.

Durante a infecção, o trojan Razy modifica o conteúdo da pasta onde a extensão Chrome Media Router está instalada: ‘%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm’.

Depois das etapas mencionadas acima, o trojan Razy adiciona os seguintes scripts à pasta onde o script principal está localizado: bgs.js, extab.js, firebase-app.js, firebase-messaging.js e firebase-messaging-sw.js. O arquivo manifest.json é criado na mesma pasta ou sobrescrito por outra versão para garantir que os scripts sejam executados.

Os scripts firebase-app.js, firebase-messaging.js e firebase-messaging-sw.js são legítimos. Eles pertencem à plataforma Firebase e são usados para enviar estatísticas para a conta no Firebase do criador do trojan.

Já os scripts bgs.js e extab.js são maliciosos. O primeiro também envia estatísticas para o criador do trojan, enquanto que o segundo insere uma chamada no script i.js com os parâmetros tag=&did=&v_tag=&k_tag= em cada página que o usuário visita.

No exemplo acima, o script i.js é distribuído a partir do domínio gigafilesnote.com(gigafilesnote.com/i.js?tag=&did=&v_tag=&k_tag=). Em outros casos ele foi detectado nos domínios apiscr.com, happybizpromo.com e archivepoisk-zone.info.

O script i.js modifica a página HTML, insere anúncios e clips de vídeo, e também insere anúncios nos resultados de busca do Google.

Na imagem abaixo é possível ver uma página do YouTube com anúncios inseridos pelo script i.js:

Depois destas etapas, uma chamada para o script principal do trojan Razy, o main.js, é inserida em cada página visitada pelo usuário.

O post no blog da Kaspersky traz mais detalhes sobre o malware.

[New_Style_xd 15]

Mozilla parou distribuição do Firefox 65 no Windows por problema com antivírus

02 FEV 2019 · BROWSERSCOMENTAR

 

Foi no início desta semana que a Mozilla lançou mais uma versão do seu browser. O Firefox 65 trouxe muitas novidades e, aparentemente, também um grande problema.

Este é de tal forma grande que a Mozilla acabou por colocar em pausa a distribuição do Firefox 65 no Windows.

 

 

Desde que o Firefox 65 chegou que os utilizadores se têm queixado de problemas de acesso à Internet. Quem usa esta versão tem estado a receber uma mensagem de segurança nas ligações a sites HTTPS. A mensagem está focada num problema com o HTTP Strict Transport Security (HSTS).

A Mozilla tem um problema grave no Firefox 65

A origem deste problema não está verdadeiramente neste browser, mas acaba por ser o browser o responsável. Este vem da relação dos antivírus com o browser e a análise das ligações seguras. Os afetados parecem ser de imediato o Avast, AVG e o Kaspersky.

Para evitar o problema, que está disseminado por muitos utilizadores, a Mozilla parou a distribuição do Firefox 65. e assim dar tempo para a solução do problema ser lançada.

O problema do Firefox 65 está nos antivírus

Para poderem fazer a avaliação das ligações, os antivírus precisam de realizar um ataque MiTM (Man-in-the-Middle). Assim, colocam-se entre o site e o próprio browser, e avaliam o que circula na ligação segura.

Ora a mensagem SEC_ERROR_UNKNOWN_ISSUER, que é apresentada, revela que o certificado do antivírus não está na keytstore do browser. Assim, ao tentar a ligação o certificado falha e o Firefox impede acesso ao site.

Sabe-se que a AVG e a Avast estão a preparar já correções ao seu antivírus, que vão isolar o processo deste browser e deixá-lo fora da verificação ao HTTPS. Em breve esta deverá ser distribuída aos utilizadores.

Como contornar o problema dos certificados no Firefox

Em alternativa, e para evitar esperar pela atualização, os utilizadores podem desativar o HTTPS Scanning. Existem indicações específicas para o Avast, AVG e o Kaspersky . Pode também ativar o aceitar dos certificados do Windows. Para isso devem alterar o valor de security.enterprise_roots.enabled para true no about:config.

Do lado da Mozilla o problema está também a ser avaliado e espera-se que uma nova versão do Firefox traga a solução. Após esta correção ser lançada, a distribuição do Firefox 65 será retomada.

Esta é uma situação extremamente anormal e que está a impedir o acesso a sites HTTPS, algo que não se esperava que o browser ou o antivírus fizesse. A solução deverá certamente estar disponível em breve e para todos.

[New_Style_xd 15]

Vulnerabilidade no Windows é explorada ativamente em ataques na Web

A vulnerabilidade no Windows identificada como CVE-2019-0859 está sendo explorada ativamente em ataques na Web. A vulnerabilidade foi descoberta inicialmente pela Kaspersky.

Se explorada com sucesso, ela pode permitir que atacantes tomem o controle do computador do usuário.

Vulnerabilidade no Windows é explorada ativamente em ataques na Web

A vulnerabilidade presente no win32k.sys é do tipo “use-after-free” que afeta a função do sistema que cuida das janelas de diálogo.

Hackers já estão explorando esta vulnerabilidade em ataques contra versões 64 bits do Windows 7 e do Windows 10.

A exploração dessa vulnerabilidade permite que o malware baixe e execute um script escrito pelos criminosos que, no pior dos cenários, resulta no controle completo sobre o computador infectado.

A boa notícia é que a Microsoft já corrigiu a vulnerabilidade no sistema operacional com as atualizações disponibilizadas no último dia 9 como parte do seu ciclo mensal.

A recomendação é que os usuários mantenham o Windows, softwares e soluções de segurança sempre atualizados.

[New_Style_xd 15]

Software falso para limpeza do Windows instala o trojan AZORult

Ao invés de utilizar métodos de distribuição como spam, kits de exploit e outros trojans, os criminosos optaram por criar um software falso para limpeza do Windows e um site para sua distribuição.

De acordo com os pesquisadores, em março deste ano um site chamado gcleaner.infocomeçou a oferecer um utilitário para limpeza do sistema operacional da Microsoft chamado G-Cleaner ou Garbage Cleaner.

O site, que pode ser visto abaixo, é bem feito e não parece suspeito:

De acordo com a descrição no site, o G-Cleaner ou Garbage Cleaner é um utilitário que remove arquivos temporários, atalhos quebrados e entradas desnecessárias no Registro. Ele é basicamente promovido como outros softwares similares.

Até mesmo sua interface parece mesmo a de um utilitário de limpeza legítimo:

Quando o G-Cleaner é instalado pelo usuário, ele fará o download dos componentes principais do utilitário falso e os salvará na pasta C:\ProgramData\Garbage Cleaner ou C:\ProgramData\G-Cleaner, dependendo da versão.

Em seguida ele extrairá e executará um arquivo no diretório %Temp%. Este arquivo é o componente do malware que tentará roubar as senhas e outras informações.

Ele também se comunicará com o servidor de comando e controle dos criminosos usando o script gate.php e enviará o arquivo Encrypted.zip, que contém as informações roubadas.