Entrevista concedida no dia 03/02/21 para a rádio CBN.

Há 10 dias a Oracle corrigiu um grande conjunto de vulnerabilidades em seus produtos. Dentre elas estava a vulnerabilidade com o CVE-2020-14882 de alta criticidade (CVSS 9.8), que poderia permitir a um atacante a execução remota de códigos no sistema comprometido.

Ontem foi publicado um exploit extremamente simples que permite a exploração desta vulnerabilidade. Estamos acompanhando o movimento dos atacantes em nossos honeypots. Até o momento, várias tentativas de verificar se o sistema está vulnerável.

Conheça mais sobre esta vulnerabilidade e como pode ser explorada assistindo a este episódio.

---------------------

O MorphusCast também está disponível nas plataformas:

YouTube: https://youtu.be/pg49D-HZOx4

Apple Podcasts: https://podcasts.apple.com/br/podcast/morphuscast/id1367241273

Google Podcasts: https://podcasts.google.com/feed/aHR0cDovL2ZlZWRzLnNvdW5kY2xvdWQuY29tL3VzZXJzL3NvdW5kY2xvdWQ6dXNlcnM6MjY3Mjg3NTExL3NvdW5kcy5yc3M?sa=X&ved=2ahUKEwinpKz1oqjrAhWrazABHVAEAd0Q4aUDegQIARAC

---------------------

Links de referência:

https://www.oracle.com/security-alerts/cpuoct2020traditional.html#AppendixFMW https://isc.sans.edu/forums/diary/PATCH+NOW+CVE202014882+Weblogic+Actively+Exploited+Against+Honeypots/26734/

---------------------

ACOMPANHE OS NOSSOS CANAIS:

https://www.linkedin.com/company/morphusecurity

https://www.instagram.com/morphusecurity

https://www.facebook.com/morphustecnologia

NOSSOS CONTEÚDOS:

Morphus Labs: https://morphuslabs.com/

Morphus Blog: https://www.medium.com/morphusblog

--------

INFORMAÇÕES:

https://www.morphus.com.br

.

#WebLogic #CVE-202014882 #Exploit

No Patch Tuesday de outubro de 2020, a Microsoft corrigiu uma vulnerabilidade crítica (CVE-2020-16898) que ficou conhecida pelo nome ‘Bad Neighbor’. Trata-se de uma falha no tratamento pacotes de anúncios ICMPv6 pela pilha TCP/IP do Windows 10, Windows Server 2019 e algumas variantes do Windows Core que pode permitir a execução remota de códigos (RCE). O exploit público atualmente disponível causa a interrupção do sistema operacional atacado – a conhecida tela azul ou BSoD – Blue Screen of Death. Apesar de não permitir a execução remota de códigos, os impactos do exploit atualmente disponível podem ser bastante significativos. Recomendamos que aplique o patch ou a medida de mitigação nos sistemas vulneráveis do seu ambiente.

O CVSS inicialmente associado a esta vulnerabilidade foi de 9.8. Dias depois foi reduzido para 8.8 porque a vulnerabilidade não pode ser explorada através da internet. Só pode ser explorada por hosts no mesmo segmento de rede.

---------------------

O MorphusCast também está disponível nas plataformas:

YouTube: https://youtu.be/hnDOZ_iJ3eI

Apple Podcasts: https://podcasts.apple.com/br/podcast/morphuscast/id1367241273

Google Podcasts: https://podcasts.google.com/feed/aHR0cDovL2ZlZWRzLnNvdW5kY2xvdWQuY29tL3VzZXJzL3NvdW5kY2xvdWQ6dXNlcnM6MjY3Mjg3NTExL3NvdW5kcy5yc3M?sa=X&ved=2ahUKEwinpKz1oqjrAhWrazABHVAEAd0Q4aUDegQIARAC

---------------------

Links de referência:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

-------

ACOMPANHE OS NOSSOS CANAIS:

https://www.linkedin.com/company/morphusecurity

https://www.instagram.com/morphusecurity

https://www.facebook.com/morphustecnologia

NOSSOS CONTEÚDOS:

Morphus Labs: https://morphuslabs.com/

Morphus Blog: https://www.medium.com/morphusblog

--------

INFORMAÇÕES:

https://www.morphus.com.br

.

#badneighbor #CVE-2020-16898 #BSoD

Neste episódio, fizemos um lab para teste de um exploit recém-publicado capaz de explorar uma vulnerabilidade crítica (CVSS 10) chamada ‘Zerologon’ (CVE-2020-147) corrigida no Microsoft Patch Tuesday de agosto de 2020. Comprovamos que o exploit funciona e é extremamente simples de ser utilizado.

Para uso do exploit, basta que um atacante não autenticado tenha conectividade com o Domain Controler. Aplique a correção para a vulnerabilidade no seu ambiente caso ainda não o tenha feito.

O MorphusCast também está disponível nas plataformas:

- YouTube: https://youtu.be/Ii4BKY3zVU8

- Apple Podcasts: https://podcasts.apple.com/br/podcast/morphuscast/id1367241273

- Google Podcasts: https://podcasts.google.com/feed/aHR0cDovL2ZlZWRzLnNvdW5kY2xvdWQuY29tL3VzZXJzL3NvdW5kY2xvdWQ6dXNlcnM6MjY3Mjg3NTExL3NvdW5kcy5yc3M?sa=X&ved=2ahUKEwinpKz1oqjrAhWrazABHVAEAd0Q4aUDegQIARAC

---------------------

Links de referência:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

https://www.secura.com/pathtoimg.php?id=2055

Exploit (use por sua conta e risco): https://github.com/dirkjanm/CVE-2020-1472

-------

ACOMPANHE OS NOSSOS CANAIS:

https://www.linkedin.com/company/morphusecurity

https://www.instagram.com/morphusecurity

https://www.facebook.com/morphustecnologia

NOSSOS CONTEÚDOS:

Morphus Labs: https://morphuslabs.com/

Morphus Blog: https://www.medium.com/morphusblog

--------

INFORMAÇÕES:

https://www.morphus.com.br

.

#zerologon #exploit #vulnerabilidade

Neste episódio, falamos sobre Consent Phishing, o nome que tem sido associado à estratégia maliciosa de solicitação de consentimento de acesso a dados e recursos em nuvem de contas pessoais e corporativas por meio de autenticação integrada (OAuth). Os riscos, que não podem ser mitigados com mudança de senha ou aplicação de múltiplo fator de autenticação (MFA), vão de vazamento de dados a golpes conhecidos por BEC (Business E-mail Compromise) – geralmente associados a transações financeiras fraudulentas.

O MorphusCast também está disponível nas plataformas:

- YouTube: https://youtu.be/W_wxMytiddU

- Apple Podcasts: https://podcasts.apple.com/br/podcast/morphuscast/id1367241273

- Google Podcasts: https://podcasts.google.com/feed/aHR0cDovL2ZlZWRzLnNvdW5kY2xvdWQuY29tL3VzZXJzL3NvdW5kY2xvdWQ6dXNlcnM6MjY3Mjg3NTExL3NvdW5kcy5yc3M?sa=X&ved=2ahUKEwinpKz1oqjrAhWrazABHVAEAd0Q4aUDegQIARAC

------------

Links de referência:

https://www.defcon.org/html/defcon-safemode/dc-safemode-speakers.html#Hunstad

https://www.youtube.com/watch?v=TDg092qe50g&feature=youtu.be&t=1417

https://github.com/SixGenInc/Noctilucent

https://www.zdnet.com/article/china-is-now-blocking-all-encryptedhttps-traffic-using-tls-1-3-and-esni/

--------

ACOMPANHE OS NOSSOS CANAIS:

https://www.linkedin.com/company/morphusecurity

https://www.instagram.com/morphusecurity

https://www.facebook.com/morphustecnologia

NOSSOS CONTEÚDOS:

Morphus Labs: https://morphuslabs.com/

Morphus Blog: https://www.medium.com/morphusblog

--------

INFORMAÇÕES:

https://www.morphus.com.br

Neste episódio, analisamos uma técnica apresentada na DEFCON28 que explora os aprimoramentos de segurança e privacidade trazidos pelo TLS1.3 com ENSI para reviver a técnica de Domain Fronting.

Fizemos um lab da ferramenta disponibilizada pelo pesquisador para demonstração da técnica e seu potencial de uso para mascaramento de endereços maliciosos, trazendo novos desafios de defesa.

O MorphusCast também está disponível nas plataformas:

- YouTube: https://youtu.be/2oYCuguM6Qw

- Apple Podcasts: https://podcasts.apple.com/br/podcast/morphuscast-10-novos-desafios-defesa-com-o-retorno/id1367241273?i=1000487944426

- Google Podcasts: https://podcasts.google.com/feed/aHR0cDovL2ZlZWRzLnNvdW5kY2xvdWQuY29tL3VzZXJzL3NvdW5kY2xvdWQ6dXNlcnM6MjY3Mjg3NTExL3NvdW5kcy5yc3M/episode/dGFnOnNvdW5kY2xvdWQsMjAxMDp0cmFja3MvODc0NjM0Mzk1?sa=X&ved=2ahUKEwihx-251JbrAhUfajABHbGgDu4QkfYCegQIARAF

------------

Links de referência:

https://www.defcon.org/html/defcon-safemode/dc-safemode-speakers.html#Hunstad

https://www.youtube.com/watch?v=TDg092qe50g&feature=youtu.be&t=1417

https://github.com/SixGenInc/Noctilucent

https://www.zdnet.com/article/china-is-now-blocking-all-encryptedhttps-traffic-using-tls-1-3-and-esni/

--------

ACOMPANHE OS NOSSOS CANAIS:

https://www.linkedin.com/company/morphusecurity

https://www.instagram.com/morphusecurity

https://www.facebook.com/morphustecnologia

NOSSOS CONTEÚDOS:

Morphus Labs: https://morphuslabs.com/

Morphus Blog: https://www.medium.com/morphusblog

--------

INFORMAÇÕES:

https://www.morphus.com.br

Neste episódio, fizemos um lab para demonstração de como os cibercriminosos estão explorando Dockers API desprotegidas, escapando do container e implantando códigos maliciosos no host.

Entenda também quais rastros este tipo de vetor de entrada pode deixar e como deve ser feita a devida proteção da API.

O MorphusCast também está disponível nas plataformas:

- YouTube: https://youtu.be/gYI9ITo2G2w

- Apple Podcasts: https://podcasts.apple.com/br/podcast...

- Google Podcasts: https://podcasts.google.com/feed/aHR0...

------------

Links de referência:

Campanha Doki:

https://www.intezer.com/container-security/watch-your-containers-doki-infecting-docker-servers-in-the-cloud/

Habilitando modo debug do Docker deamon: https://success.docker.com/article/how-do-i-enable-debug-logging-of-the-docker-daemon

Proteção adequada do Docker API: https://docs.docker.com/engine/security/https/

--------

ACOMPANHE OS NOSSOS CANAIS:

https://www.linkedin.com/company/morphusecurity

https://www.instagram.com/morphusecurity

https://www.facebook.com/morphustecnologia

NOSSOS CONTEÚDOS:

Morphus Labs: https://morphuslabs.com/

Morphus Blog: https://www.medium.com/morphusblog

--------

INFORMAÇÕES:

https://www.morphus.com.br

Neste episódio, fizemos uma análise comportamental do WastedLocker, ransomware que teria causado o incidente recente da Garmin, gerando indisponibilidade de vários serviços da companhia. Usando ferramentas como ProcMon e ProcDoc, monitoramos o fluxo de execução, criptografia e mecanismos de persistência (ou não).

Por fim, usando o X32dbg, mostramos a presença da string ‘garmin’ embutida no código do malware.

Disponível também no YouTube: https://youtu.be/CjMqCiJpYY4

-------

Links de referência:

https://www.bleepingcomputer.com/news/security/garmin-outage-caused-by-confirmed-wastedlocker-ransomware-attack/

https://connect.garmin.com/status/

https://www.bleepingcomputer.com/news/security/dozens-of-us-news-sites-hacked-in-wastedlocker-ransomware-attacks/

https://attack.mitre.org/techniques/T1189/

https://www.virustotal.com/gui/file/905ea119ad8d3e54cd228c458a1b5681abc1f35df782977a23812ec4efa0288a/details

https://www.wired.com/story/garmin-outage-ransomware-attack-workouts-aviation/

--------

ACOMPANHE OS NOSSOS CANAIS:

https://www.linkedin.com/company/morphusecurity

https://www.instagram.com/morphusecurity

https://www.facebook.com/morphustecnologia

NOSSOS CONTEÚDOS:

Morphus Labs: https://morphuslabs.com/

Morphus Blog: https://www.medium.com/morphusblog

--------

INFORMAÇÕES:

https://www.morphus.com.br

Assista neste episódio a um lab de demonstração da execução de um exploit da vulnerabilidade SIGRed (CVE-2020-1350) que causa a interrupção do serviço DNS Server vulnerável, demonstramos como o workaround com a criação da chave de registro recomendada pela Microsoft é eficiente e como o ataque pode ser identificado por meio de uma assinatura no Zeek IDS.

Falamos também do incidente do Twitter e da vulnerabilidade BadPower, que afeta carregadores rápidos de celular e pode causar sérios incidentes físicos.

Disponível também no YouTube: https://www.youtube.com/watch?v=IyksfZ26JhU

----

Links de referência:

Aplicação do workaround para a vulnerabilidade SIGRed: https://support.microsoft.com/en-us/help/4569509/windows-dns-server-remote-code-execution-vulnerability?ranMID=42431&ranEAID=je6NUbpObpQ&ranSiteID=je6NUbpObpQ-WO6EMnZCu.OKj2YMJCxP3w&epi=je6NUbpObpQ-WO6EMnZCu.OKj2YMJCxP3w&irgwc=1&OCID=AID2000142_aff_7803_1243925&tduid=(ir__pfjleunjjskftiibxhyq2k3ksu2xiyk1gnedaewu00)(7803)(1243925)(je6NUbpObpQ-WO6EMnZCu.OKj2YMJCxP3w)()&irclickid=_pfjleunjjskftiibxhyq2k3ksu2xiyk1gnedaewu00

Exploit (use por sua conta e risco): https://github.com/maxpl0it/CVE-2020-1350-DoS

Regra Zeek: https://isc.sans.edu/forums/diary/PATCH+NOW+SIGRed+CVE20201350+Microsoft+DNS+Server+Vulnerability/26356/ https://github.com/corelight/SIGRed/blob/master/scripts/CVE-2020-1350.zeek

Twitter:

https://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident.html

Bad Power: https://xlab.tencent.com/cn/2020/07/16/badpower/

--------

ACOMPANHE OS NOSSOS CANAIS:

https://www.linkedin.com/company/morphusecurity

https://www.instagram.com/morphusecurity

https://www.facebook.com/morphustecnologia

NOSSOS CONTEÚDOS:

Morphus Labs: https://morphuslabs.com/

Morphus Blog: https://www.medium.com/morphusblog

--------

INFORMAÇÕES:

https://www.morphus.com.br

Na última semana, múltiplas tecnologias e plataformas amplamente utilizadas receberam atualizações para vulnerabilidades críticas. Entenda mais e atualize seu ambiente antes que os exploits sejam publicados.

*Disponível também no YouTube: https://youtu.be/ddg-6TI1kko

--------

ACOMPANHE OS NOSSOS CANAIS:

https://www.linkedin.com/company/morphusecurity

https://www.instagram.com/morphusecurity

https://www.facebook.com/morphustecnologia

NOSSOS CONTEÚDOS:

Morphus Labs: https://morphuslabs.com/

Morphus Blog: https://www.medium.com/morphusblog

--------

INFORMAÇÕES:

https://www.morphus.com.br