Computing">
Tempest - Situation Report 143
Tempest - Situation Report 143
Tempest - Situation Report 143
#143
Report
12 JUN
2020
Pedro Victor
ANALISTA DE SEGURANÇA
Ricardo Ulisses
Head of Threat Intelligence
conteudo@tempest.com.br
3 SITUATION REPORT | 12 JUNHO 2020
VULNERABILIDADE
O UPnP reduz a carga de trabalho administrativa, permitindo Çadirci afirmou que o mantenedor do UPnP, a Open Connectiv-
que aplicativos e outros dispositivos consigam se conectar ity Foundation (OFC), atualizou as especificações do protocolo
automaticamente a determinadas portas. Por exemplo, para e lançou as devidas correções no dia 17 de abril de 2020. No
conectar uma impressora a todos os dispositivos de uma rede, entanto, como a falha encontra-se no protocolo, pode levar
sem o uso do UPnP seria necessário configurar manualmente bastante tempo até que todos os fabricantes afetados apli-
a impressora a todos os aparelhos desejados. Com o uso do quem as atualizações de segurança. Ademais, a página oficial
UPnP, a conectividade com serviços e dispositivos é feita do CallStranger possui uma relação atualizada, classificada
automaticamente. por fabricante, dos dispositivos vulneráveis.
A falha foi classificada como sendo do tipo Server Side Apesar desta vulnerabilidade ter sido publicada recentemente,
Request Forgery (SSRF) e está relacionada com a função a preocupação com o uso do UPnP já vem sendo discutida a
SUBSCRIBE – recurso do UPnP que permite aos dispositivos algum tempo. Em um blogpost da NordVPN, publicado em
monitorarem as alterações realizadas em outros aparelhos agosto de 2019, a empresa avalia a possibilidade de manter o
e serviços da rede. De acordo com Çadirci, a vulnerabilidade protocolo desativado devido a problemas de segurança:
pode ser explorada manipulando os valores malformados do
cabeçalho de retorno (Callback Header) da SUBSCRIBE. Em “Originalmente, o UPnP deveria funcionar apenas no nível
um ataque, o invasor mira efetivamente a interface de rede do da rede local. No entanto, muitos fabricantes de roteadores
alvo que está voltada para a Internet, no entanto, o cabeçalho passaram a ativar o protocolo como padrão, tornando-os
manipulado pelo atacante é interpretado pelo UPnP, ação que detectáveis a redes externas, o que leva a muitos problemas
impede os mecanismos de segurança de identificarem ativi- de segurança. Apenas uma pequena parcela dos fabricantes
dades maliciosas. Dessa forma, sistemas de Firewall, IDS/IPS e aplicam mecanismos de autenticação ou autorização ao
DLPs se tornam ineficientes contra o CallStranger. UPnP. Dessa forma, não há restrições para que um invasor
possa solicitar a abertura de portas em qualquer roteador
que suporte o protocolo.”
SSRF É uma vulnerabilidade que permite a um atacante forçar um Atualmente existem mais de cinco milhões de aparelhos
determinado sistema ou dispositivo web a realizar solici- UPnP (vide imagem na próxima página) voltados para a
tações HTTP para um domínio ou serviço arbitrário. Essa fal- Internet. É recomendável entrar em contato com o seu forne-
ha é normalmente utilizada para direcionar ataques contra cedor para obter as devidas correções.
sistemas internos protegidos por firewalls e não acessíveis
pela rede externa.
4 SITUATION REPORT | 12 JUNHO 2020
VULNERABILIDADE
Fonte: Tempest
Recomendação
Além das recomendações, o pesquisador também publicou uma prova de conceito que ajuda a identificar se os dispositivos
conectados à Internet possuem o UPnP ativado e se estão vulneráveis. Também é importante ter ciência de que esta seção
trata-se de uma recomendação, devendo ser aplicada apenas após ter sido avaliada se as ações abaixo não afetarão a
continuidade da rede.
3. Bloqueie todos os pacotes SUBSCRIBE e NOTIFY HTTP para o tráfego de entrada e saída;
REFERÊNCIAS
CVE-2020-12695: CallStranger Vulnerability in Universal Plug and Play (UPnP) Puts Billions of Devices At Risk. Tenable. 08 Junho 2020 // CallStranger vulnerability
lets attacks bypass security systems and scan LANs. ZDNet. 08 Junho 2020 // CallStranger. callstranger[.]com. 08 Junho 2020 // Ayunuscadirci/CallStranger. GitHub.
08 Junho 2020 // What is UPnP and why you should disable it immediately. NordVPN. 01 Agosto 2019.
Força-tarefa alemã de combate ao coronavírus sofre Publicada ferramenta que busca por reuniões abertas
ataque de phishing no Zoom
Mais de 100 executivos de uma corporação alemã envolvida na O usuário do Twitter @K3RN3L__P4N1C compartilhou um
força-tarefa de combate ao coronavírus sofreram ataques de link para Tangalanga, escrito em Go pelo usuário elcuervo
phishing direcionado, informou o portal Threatpost. A empresa, do GitHub. O Tangalanga foi concebido para fazer varreduras
cujo nome não foi revelado, integra o conjunto de corporações aleatórias por IDs de reuniões Zoom abertas e apresentar
que, devido às circunstâncias, podem representar alvos de qualquer informação disponível, como ID da sala, nome,
interesse geopolítico enquanto muitos buscam pela cura, ou proprietário e link da conferência. Entretanto, a ferramenta não
por uma uma vacina para a doença. obtém as senhas das reuniões. O Tangalanga foi originalmente
publicado em 28 de Maio de 2020 e fontes de inteligência
comprovaram a efetividade da ferramenta ontem.
5 SITUATION REPORT | 12 JUNHO 2020
VULNERABILIDADE
Na última semana, antigas e novas vulnerabilidades no proto- Função responsável pelo recebimento da mensagem compac-
colo SMB voltaram a assombrar a comunidade de segurança. tada enviada por um cliente, alocação da memória necessária e
Desde os ataques de ransomware ocorridos em 2017 com o descompactação dos dados. Durante a rotina de descompactação,
WannaCry e o NotPetya, que falhas relacionadas ao SMB tem o SMB falha em verificar se o comprimento dos pacotes de dados
deixado os especialistas em segurança em estado de alerta. Na enviados pelos clientes é legítimo, o que acaba levando a um
última semana, uma nova prova de conceito capaz de explorar a erro de integer overflow (transbordamento de números inteiros).
vulnerabilidade SMBGhost foi publicada no GitHub.
Enquanto os pesquisadores avaliavam a SMBGhost, outra vulnerabilidade foi encontrada no mecanismo de compactação do
SMBv3. Catalogada como CVE-2020-1206 e apelidada como SMBleed, a falha permite a atacantes não autenticados a leitura
remota da memória do kernel e a execução de ataques do tipo RCE se combinada com a vulnerabilidade SMBGhost. Ou seja, em
sistemas Windows cujo patch de correção para o SMBGhost ainda não tenha sido aplicado, a exploração do SMBleed resulta na
execução remota de código sem a necessidade de autenticação.
A falha afeta as versões 1903, 1909 e 2004 do Windows 10 e, assim como a SMBGhost, decorre da forma pela qual a função Srv-
2DecompressData lida com as solicitações de mensagens enviadas para um servidor SMBv3 de destino, permitindo que um inva-
sor remoto obtenha acesso não autorizado a informações confidenciais do sistema.
Duas provas de conceito para essa falha foram divulgadas por pesquisadores da ZecOps: a primeira explora a leitura de memória
do Kernel criando um arquivo local com o conteúdo da memória do computador de destino; a segunda explora a combinação da
falha com a SMBGhost para obter um shell reverso com acesso ao sistema.
A segunda falha (CVE-2020-1284) corrigida no último Patch Tuesday é uma vulnerabilidade de negação de serviço no SMBv3. Essa
falha pode ser explorada em um servidor autenticado ou em um cliente SMB. Para abusar da falha, um invasor autenticado precisa
enviar um pacote especialmente criado para um servidor SMB vulnerável. Para exploração em um cliente SMB, o invasor precisa
hospedar um servidor SMBv3 configurado com códigos maliciosos e direcionar o cliente a se conectar a ele.
A última brecha, é uma vulnerabilidade do tipo RCE na versão 1.0 do protocolo SMB (CVE-2020-1301) que afeta o Windows 7 e o
Windows 2008 e decorre da forma como o SMBv1 lida com solicitações. A exploração da falha é possível a um invasor autenticado
por meio do envio de um pacote especialmente criado para um servidor SMB de destino.
Segundo Satnam Narang, engenheiro de pesquisa da Tenable, essa vulnerabilidade “pode criar
uma sensação de déjà vu” para out-
ra vulnerabilidade de execução remota de código no SMBv1, a famosa EternalBlue, vetor utilizado nos ataques do WannaCry em
2017 — a diferença entre as duas vulnerabilidades está na necessidade de autenticação para explorar a CVE-2020-1301 enquanto
a EternalBlue poderia ser explorada por um invasor não autenticado, aponta a Microsoft.
MITIGAÇÕES
Além das atualizações disponibilizadas no Patch Tuesday, a Microsoft publicou algumas soluções alternativas para aqueles
que de alguma forma não consigam aplicar as correções:
Servidor SMBv3
É possível desativar a compactação no servidor SMBv3 usando o seguinte comando do PowerShell para impedir invasores
não autenticados:
Cliente SMBv3
É possível bloquear o tráfego através de firewalls e outros métodos de segurança. As empresas podem simplesmente blo-
quear a porta TCP 445 no firewall do perímetro da empresa. A Microsoft alerta que o bloqueio da conectividade para SMB
pode impedir o funcionamento de vários aplicativos ou serviços.
REFERÊNCIAS
SMBGhost RCE Exploit Threatens Corporate Networks. ThreatPost. 08 Junho 2020 // Unpatched Microsoft Systems Vulnerable to CVE-2020-0796. CISA. 05 Junho
2020 // SMBleedingGhost Writeup: Chaining SMBleed (CVE-2020-1206) with SMBGhost. ZecOps. 09 Junho 2020 // Exploiting SMBGhost (CVE-2020-0796) for a Local
Privilege Escalation: Writeup + POC. ZecOps. 31 Março 2020 // Preventing SMB traffic from lateral connections and entering or leaving the network. Microsoft Support.
Março 2020 // New Windows 10 SMBv3 flaw can be used for data theft, RCE attacks. BleepingComputer. 10 Junho 2020 // Microsoft June Patch Tuesday Fixes 129
Flaws in Largest-Ever Update. 09 Junho 2020 // Nova vulnerabilidade de execução remota de comandos no protocolo Server Message Block v3. Situation Report.
Edição 130. 13 Março 2020 //
7 SITUATION REPORT | 12 JUNHO 2020
VULNERABILIDADE
Desserialização
IOCs
IP
217[.]8[.]117[.]63
URL
avaddonbotrxmuyl[.]onion
Carteira BTC
38eadHLNiM8AMTUVkpFffUzeMuP3HbHQAN
Arquivos
Filename: IMG123109.jpg.js.zip
MD5: b292bf6228f4ff9ba670e2126e737302
SHA1: 8f28491958360025b7037421fc75e8c4b6013672
SHA256: c74ad41a61201b0ef9626d8551f88e59deada1f07faf264a01c3cc75bd4c709b
Filename: IMG123109.jpg.js
MD5: 06072312768ba47c162d2aead14bb170
SHA1: 9bf8054554bec63f76d48cc6e887d29a11390c8c
SHA256: cc4d665c468bcb850baf9baab764bb58e8b0ddcb8a8274b6335db5af86af72fb
Filename: sava.exe
MD5: c9ec0d9ff44f445ce5614cc87398b38d
SHA1: 591ffe54bac2c50af61737a28749ff8435168182
SHA256: 05af0cf40590aef24b28fa04c6b4998b7ab3b7f26e60c507adb84f3d837778f2
Filename: 382058-readme.html
MD5: 7185c976ac1ed3e10191acb2d833221b
SHA1: 5a10c7116820a10ce685df0e9cd14dff99de1e4a
SHA256: cabb12b55d0e0e946c8e7f5b225c883dd2a9d77dafb909716da76d178637625d
REFERÊNCIAS
New Avaddon Ransomware launches in massive smiley spam campaign. BleepingComputer. 08 Junho 2020 //
Phorphiex/Trik Botnet Delivers Avaddon Ransomware. Zix/AppRiver. Junho 2020,
########_ _ _////_ _
_ Re c if e
+55 81 3419 0800
Rua da Alfândega, 35
Loja 216A - 1º Piso
Bairro do Recife / Recife - PE
50030-030
_ São P a u l o
+55 11 3419 6200
_ Lond on
+44 203 818 3248
30 Dukes Place
London EC3A 7LP
_w w w . t e m p e s t . c o m . b r