Mercado fechado
  • BOVESPA

    125.052,78
    -1.094,22 (-0,87%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    50.268,45
    +27,95 (+0,06%)
     
  • PETROLEO CRU

    72,17
    +0,26 (+0,36%)
     
  • OURO

    1.802,10
    -3,30 (-0,18%)
     
  • BTC-USD

    34.541,16
    +441,52 (+1,29%)
     
  • CMC Crypto 200

    786,33
    -7,40 (-0,93%)
     
  • S&P500

    4.411,79
    +44,31 (+1,01%)
     
  • DOW JONES

    35.061,55
    +238,15 (+0,68%)
     
  • FTSE

    7.027,58
    +59,28 (+0,85%)
     
  • HANG SENG

    27.321,98
    -401,82 (-1,45%)
     
  • NIKKEI

    27.548,00
    +159,80 (+0,58%)
     
  • NASDAQ

    15.091,25
    -6,75 (-0,04%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,1216
    +0,0014 (+0,02%)
     

Google revela que falha de dia zero no Safari foi usada em ataques ao LinkedIn

·3 minuto de leitura

Conhecidas por seu grande potencial destrutivo, falhas de dia zero — aquelas que ainda não foram descobertas ou corrigidas por desenvolvedores — podem estar presentes em qualquer software, incluindo navegadores da Internet. O Threat Analysis Group (TAG) do Google divulgou na última quarta-feira (14) que encontrou em 2021 problemas do tipo no Internet Explorer, Chrome e Safari, cujas falhas foram usadas em uma campanha de ataques contra o LinkedIn.

A falha no Safari (CVE-2021-1879) foi usada para enviar links maliciosos a agentes governamentais de países da Europa Oriental através da rede social antes de ela ser descoberta por pesquisadores e corrigida pela Apple. “Caso o alvo visitasse o link através de um dispositivo iOS, ele seria redirecionado a um domínio controlado pelo atacante que oferecia o próximo nível de payloads”, explica o texto assinado por Maddie Stone e Clement Lecigne.

Segundo a empresa, três dos problemas encontrados podem ser associados a uma companhia de vigilância comercial que os criou e vendeu para ao menos dois agentes ligados a governos. A análise mostra que, até a metade de 2021, já foram registradas 33 falhas de dia zero — 11 a mais do que todo o ano de 2020. Os pesquisadores afirmam que isso é resultado tanto de um número crescente de ameaças, quanto de esforços para melhorar a detecção e correção desses problemas.

Falhas no Chrome e Internet Explorer

As falhas do Chrome, identificadas pelos códigos CVE-2021-21166 e CVE-2021-30551 foram exploradas em mensagens de e-mail destinadas a alvos na Armenia. Os links enviados pelos atacantes redirecionavam a uma página que coletava dados do alvo, gerando chaves ECDH que criptografavam o material roubado, que era enviado de volta aos criminosos.

Imagem: Divulgação/Racool-Studio/Envato
Imagem: Divulgação/Racool-Studio/Envato

Entre as informações coletadas estavam detalhes sobre a resolução de tela, o fuso horário, os plugins instalados no navegador e os tipos de MIME disponíveis. A partir disso, os atacantes determinavam se deviam prosseguir ou não com as etapas seguintes de suas ações. A vulnerabilidade CVE-2021-21166 também podia afetar o WebKit do Safari, e tanto o Google quanto a Apple já corrigiram os problemas apontados.

A brecha do Internet Explorer (identificada como CVE-2021-33742) foi identificada em abril deste ano e também visava alvos armênios. Usando um documento do Office disfarçado, o ataque carregava uma página no navegador que funcionava de forma semelhante às brechas do Chrome e coletava dados que podiam ser usados para acionar uma etapa posterior do ataque — alertada sobre o problema, a Microsoft o corrigiu em junho.

Aumento nas detecções é algo positivo

Segundo Stone e Lecigne, o aumento de ataques de dia zero registrado na última década é algo que deve ser encarado de forma positiva. Isso reflete uma maior preocupação com segurança e a eficiência de especialistas na área, que tem sido rápidos em fechar brechas conhecidas.

No entanto, a tendência também traz preocupações, visto que brechas do tipo estão sendo exploradas tanto por governos quanto por companhias privadas que vendem a agentes externos métodos de explorá-las.

“Grupos não precisam mais de conhecimento técnico, agora eles só precisam de recursos. Três das quatro vulnerabilidades dia-0 que o TAG descobriu em 2021 caem nessa categoria: desenvolvidas por provedores comerciais e vendidas e usadas por atores financiados por governos”, explicam os pesquisadores.

A conclusão geral é positiva, e reforça a necessidade de destinar recursos para a descoberta e resolução de problemas do tipo. Isso deve levar a um aumento natural no número de brechas de dia zero que são descobertas, ajudando especialistas de segurança a lidarem com um problema que muitas vezes age de forma invisível.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos