Recentemente, BlackBerry informou sore uma vulnerabilidade que poderia permitir a execução de códigos maliciosos no BlackBerry Enterprise Server (BES) de forma remota por parte de um hacker.

O que é BlackBerry Enterprise Server?

BES é uma ferramenta que permite a sincronização de diferentes dispositivos de modo sem fios com outros serviços. Alguns deles são Microsoft Exchange, IBM Lotus Domino, entre outras alternativas. Desta forma, este tipo de serviços são amplamente utilizados no meio corporativo devido a utilidade que oferecem.

Especificamente a vulnerabilidade reside sobre o BlackBerry MDS Connection Service e BlackBerry Messaging Agent. O problema encontra-se na forma com que se realiza o manejo de imagens TIFF nos sites, mensagens instantâneas e também e-mails. A continuação, junta-se a tradução livre do português sobre parte da mensagem que divulgou a BlackBerry:

“Estas vulnerabilidades podem permitir a um hacker executar um código arbitrário utilizando os prvilégios com o que funciona a conta do servidor Enterprise da BlackBerry.”

Mediante esta vulnerabilidade os atacantes poderiam alojar malware sobre um servidor Enterprise de BlackBerry e abrir uma porta de acesso para ingressar de forma remota. Este poderia ter maior repercursão dependendo da topologia e características da rede onde, no pior cenário, o ciberdeliquente poderia ter acesso a outras sessões da rede. Outro potencial perigo é que um ataque deste tipo culmine com a queda do mesmo.

Anteriormente haviam outros tipos de vulnerabilidade no BlackBerry. Entretanto, é importante esclarecer que estas falhas não residem no próprio dispositivo, somente estão presentes e são exploradas no BlackBerry Enterprise Server.

É importante que as empresas tomem consciência sobre este tipo de vulnerabilidade já que podem ser espaço para códigos maliciosos que permitiriam roubar informação sigilosa ou inclusive ter conhecimento sobre as atividades que se realizam.

BlackBerry tem informado que não recebeu nenhum tipo de relatório sobre ataques realizados por parte de clientes que utilizam o já mencionado serviço. Contudo, é importante que aquelas empresas que estão utilizando o BES atualizem seu software assim que possível. Por outro lado, oferta-se outro tipo de solução para aquelas empresas que não podem realizar uma atualização de forma imediata.

Este tipo de caso  acompanha o que havia sido afirmado em nosso informe de Tendências 2013 sobre o vertiginoso crescimento de malware em dispositivos móveis. Além disso, recomendamos a leitura de nosso Guia de dispositivos móveis para aqueles que desejam abordar ainda mais a temática. Finalmente, para aquelas organizações que estejam implementando BYOD (Bring your own device), sugerimos a leitura de nosso artigo de segurança em BYOD assim como também os primeiros passos para adotá-lo no âmbito corporativo.

Fernando Catoira

Analista de Segurança

Categories: Malware, Vulnerabilidades
No Comments »

Os infames pacotes de exploração Blackhole e Nuclear Pack agora tem um novo exploit que explora a vulnerabilidade Java CVE-2013-0422. A última versão do Java 7 Update 10 é afetada.

O malware que se propaga através de downloads costuma utilizar pacotes de exploração, que são capazes de servir variantes de malware sem a interação do usuário, ao contrário de outras técnicas que se baseiam na engenharia social.

Os usuários de produtos de segurança ESET estão protegidos desta ameaça (detectamos sob o nome Java/Exploit.CVE-2013-0422), mas não custa repassar o conselho dado por Brian Krebs, para desativar o Java caso sua utilização não seja necessária, para minimizar os vetores de ataque em potencial utilizados pelo malware.

Robert Lipovsky
Pesquisador de Malware – ESET USA

Categories: Alertas, Malware
No Comments »

Durante o fim de semana, surgiu uma nova vulnerabilidade para o sistema operacional Android que permite o acesso a toda memória física e que afeta pontualmente os dispositivos da reconhecida marca coreana. Já durante 2012 foram identificadas brechas de segurança nos dispositivos que utilizam Android, algumas utilizadas para SMiShing ou a vulnerabilidade para a qual ESET desenvolveu uma ferramenta gratuita associada aos comandos USSD.

No caso da vulnerabilidade citada foi apontada pelo blog da comunidade de programados XDA Developers, além de permitir o acesso  à leitura de  memória, também pode-se outorgar privilégios do administrador sobre seu dispositivo. Esta vulnerabilidade afeta os dispositivos móveis que utilizam processadores Exynos (4210 e 4412) que podem ser encontrados em smartphones como o Galaxy Note e o Galaxy SII e Galaxy SIII, estes dois últimos dispositivos possuem grande presença no mercado mundial.

Apesar de ainda não ser detectado código malicioso para explorar a vulnerabilidade, na mesma comunidade onde a vulnerabilidade foi introduzida havia um arquivo APK que usa o exploit original para obter privilégios da raiz e instalar aplicações em qualquer dispositivo que usa o processador Exynos .

Este tipo de vulnerabilidade deixa aberta a possibilidade para que cibercriminosos possam utilizar e desenvolver códigos maliciosos que permitem tomar o controle de dispositivos que possuam Android. Como se antecipou o Laboratório de Investigação da ESET Latinoamérica, em nosso informe de Tendências em matéria de códigos maliciosos o crescimento que tem ocorrido do sistema operacional móvel Android, tem sido acompanhado igualmente de um aumento de malware desenvolvido para este tipo de dispositivo, e ao ser este sistema operacional de maior crescimento, o mesmo se reflete no interesse dos ciberdeliquentes para buscar as falhas e poder ober algum tipo de retorno econômico.

Lembramos a nossos usuários que nossa solução de segurança para dispositivos Android, ESET Mobile Security, detecta esta ameaça sob a assinatura Android/Exploit. Lotoor. Além disso, para conhecer boas práticas para gerenciar de forma segura a informação que se usa nos dispositivos móveis, podem acessar de forma gratuita a nosso Guia para usuários de dispositivos móveis em que se analisam as principais ameaças que afetam os dispositivos móveis e as medidas que um usuário pode adotar para diminuir o impacto deste tipo de ataques e perigos para que se possa fazer um uso seguro e consciente e consciente destes dispositivos móveis.

H. Camilo Gutiérrez Amaya

Especialista de Awareness & Research

Categories: Alertas, Malware, Vulnerabilidades
No Comments »

Os grandes avanços no desenvolvimento de tecnologias móveis tem convertido os dispositivos em intens indispensáveis, não somente para levar a cabo as tarefas diárias sejam pessoais ou de trabalho, mas também em peça fundamental para o ócio. Uma das últimas aplicações que tem tido grande acolhida entre os usuários de jogos em dispositivos móbile é uma nova versão de Angry Birds desta vez ambientada no universo Star Wars. E é precisamente esta popularidade a que tornou-se alvo dos desenvolvedores de códigos maliciosos.

Neste caso, foi desenvolvida uma aplicação maliciosa fazendo crer o usuário que trata-se de uma versão completa e não paga do popular jogo, a qual pode-se fazer o download de alguns repositórios não oficiais de aplicações para dispositivos Android, como um arquivo apk e que se pode instalar diretamente do celular. Uma vez que tem-se instalado a aplicação o dispositivo começa a enviar mensagens de textos a números SMS Premium, o qual implica uma perda econômica para o usuário e que por último poderia chegar a exceder o custo da aplicação oficial.

Particularmente este código malicioso é detectado por uma solução ESET Mobile Security como Android/TrojanSMS.Boxer.AQ.Gen, uma variante do já conhecido SMS Trojan. Uma análise deste código malicioso, deixa ver no AndroidManifest.xml  as permissões que estão sendo requeridas. Neste ponto ressalta-se obviamente o envio de mensagens SMS. O importante que deve estar claro para os usuários sobre este tipo de subscrição é que uma vez que o usuário aceita a instalação está aprovando uma série de condições nas quais assume a responsabilidade de todo o gasto que possa ocorrer. Também dentro do código há uma porção desta ameaça compatível com a versão 4.0 do Android.

Cabe recordar que desde o Laboratório da ESET Latinoamérica foram seguidas a uma amostra deste código malicioso cuja particularidade radicava em que também de afetar nove países latino-americanos que fazia também sobre outros 54 países mais a nível mundial, pondo em evidencia a atratividade que tem se convertido o mercado da América Latina para os ciberdelinquentes. Mais informação sobre este caso pode-se encontrar com mais detalhe no informe SMS Boxer Trojan.

O grande problema com este tipo de malware é que eles geram uma perda econômica a vítima, quem descobre que está infectado uma vez que seu saldo se esgote ou que chegue sua fatura de cobrança.  Por  tal motivo a primeira alternativa que um usuário deve ter é contar com uma solução de segurança que ajude a identificar se seu smartphone está infectado com este tipo de código malicioso ou com algum outro que possa por em risco a segurança de sua informação. ESET Mobile Security conta com o premiado motor de heurística de ESET que junto com outras funcionalidades como o antispam e o firewall oferecem proteção em tempo real contra as ameaças conhecidas e emergentes, sem afetar o rendimento.

Como parte de alguns conselhos práticos para proteger os dispositivos móveis, cabe ressaltar o cuidado que devem ter os usuários ao baixar aplicações de repositórios não oficiais, pois os controles para determinar se estão relacionados com códigos maliciosos não são tão restritos como no caso dos repositórios oficiais que no caso de Android é o Google Play. Vale a pena mencionar que a versão 4.2 do sistema operacional móvel do Google trará incorporada uma nova característica de segurança que perguntará ao usuário sobre se está de acordo em instalar uma aplicação que acesse a recursos sensíveis ou suas funções que podem significar um custo para o usuário. Também ao tomar este tipo de medida preventiva, o convidamos a ler nosso Guia de segurança para dispositivos móveis o qual encontra-se disponível em nosso Centro de Ameaças e é de acesso gratuito.

H. Camilo Gutiérrez Amaya

Especialista de Awareness & Research

Categories: Alertas, Fuga de informação, Malware, Vulnerabilidades
No Comments »

A agência espacial do Japão notificou na última sexta-feira que dados de seus novos foguetes foram roubados por cibercriminosos a partir da infecção por um código malicioso em um dos computadores do escritório.

O jornal The New York Times informou que a Agência Aeroespacial do Japão (JAXA) teve um computador afetado, que se encontrava em uma base ao noroeste de Tóquio e o código malicioso encontrado coletava e enviava informações de forma secreta. A agência garantiu que o código malicioso foi detectado por um software antivírus no dia 21 de novembro. Além disso, foi realizada uma análise que determinou que não houve outro sistema afetado pelo malware.

Os dados roubados da agência espacial incluíam informações sobre Epsilon, um novo foguete que ainda está em desenvolvimento. Segundo o reconhecido jornal, este tipo de foguete tem como finalidade o lançamento de satélites, mas, devido ao seu tamanho, também pode ser utilizado com finalidade militar.

Apesar do roubo de informação por parte do código malicioso, a agência afirmou que não estava muito claro se era um ataque direcionado. Contudo, recordemos que este tipo de ataque já foi visto na América Latina, direcionado a diferentes empresas. Por exemplo, podemos citar o caso do ACAD/Medre, um código malicioso que roubava informação de planos industriais de computadores que estavam infectados. A ESET América Latina realizou um acompanhamento da Operação Medre, coletando estatísticas do ataque direcionado ao Peru.

Devido ao malware afetar tanto usuários finais, como também grandes empresas ou entidades, em nosso laboratório recomendamos a leitura de nossos 10 conselhos para não se infectar. Assim como vimos neste caso, o comprometimento de somente um computador pelo código malicioso pode resultar em roubo de informação confidencial. Seguindo com esse alinhamento, a segurança deve ser gerenciada e deve se complementar com a educação dos usuários para adotar um comportamento seguro ao utilizar a Internet.

Categories: Malware
No Comments »