Mostrando postagens com marcador Segurança de TI. Mostrar todas as postagens

Script para não entrar no Protetor de Tela ou não bloquear o computador

Se sua empresa tiver alguma GPO que aplicava as regras de Proteção de Tela, Bloqueio do ComputadorModo de Espera ou Hibernação depois de um determinando tempo de inatividade, você não vai conseguir fazer a desativação.

Você pode tentar conversar com os especialistas de TI da sua empresa para incluir sua máquina em algum grupo onde a GPO não fosse aplicada.

Mas se não tiver como desativar a GPO, uma solução é criar um script em VBS que simula uma ação do usuário pressionando no seu teclado a tecla F5, para atualizar a tela do computador a cada 5 minutos.

Solução
1. Abrir o Bloco de Notas
2. Copiar (Ctrl+c) e Colar (Ctrl+v) o código a baixo:
Set ws = CreateObject("WScript.Shell"Do 
    Wscript.Sleep 300
    ws.SendKeys "{F15}" 
Loop
3. Salvar com o nome de sua preferência e colocar no final do nome a extenção *.VBS. Exe: Parar_Modo_Espera.vbs

Se você quiser que ele execute sempre que o computador inicializar, basta copiar para a pasta: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
Nenhum comentário:

Solução para o Ataque cibernético em sistema da Microsoft

Descrição
Essa vulnerabilidade permiti a execução remota de código se um invasor enviar mensagens especialmente criadas para um servidor Microsoft Server Message Block 1.0 (SMBv1). A tática mais praticada atualmente é o sequestro de dados, o invasor invade a máquina criptógrafa os dados do usuário e pede resgate. Vide image de uma máquina de um cliente que teve seus dados sequestrado


Resumo da ópera
A Microsoft já tinha detectado essa vulnerabilidade e disponibilizou uma a atualização de segurança na terça-feira, 14 de março de 2017. Se o seu computador estiver configurado, que é o padrão, para atualizar automaticamente você pode ficar despreocupado, você não corre o risco de perder os seus dados.

Essa vulnerabilidade teve uma grande repercussão nas redes corporativa porque geralmente, essas empresas têm seus próprios servidores de distribuição de atualizações; mas antes de distribuir uma atualização nas máquinas do seu parque, elas primeiro homologam essa atualização antes de distribuir, e algumas delas demora muito durante essa homologação. Essa demora para aplicar a atualização de segurança foi fundamental para o atacante ter sucesso.

Como evitar o ataque?

Se sua máquina estiver configurada para atualizar automaticamente, fique tranquilo. Se não, atualize imediatamente. Para verificar se o seu computador recebeu essa atualização de segurança, abra o Prompt de Comandos (CMD.exe) e digite: WMIC QFE | FIND "Número_do_KB"

Vide exemplo em uma máquina com o Windows 10
Se retornar em branco, sem nenhum resultado, isso é porque o KB não foi instalado em sua máquina

No Microsoft  Windows 7, o KB é KB4012212 e no Windows 8, o KB é 4012213, Windows XP KB 4012598,  Windows Server 2008 o KB 4012598, Server 2012r2 o KB é 4012213, esses são os KBs responsáveis pela sua segurança ;)

Patches (KBs)
Se você não aplicou a correção, abaixo disponibilizamos os Links com suas respectivas patchs de correção dessa falha:


Outra forma e desabilitar o protocolos SMB
Para habilitar ou desabilitar os protocolos SMB em uma máquina com Windows 7, Windows Server 2008 R2, Windows Vista ou Windows Server 2008:

1. Abrir o Windows PowerShell;

2. Para desabilitar o SMBv1, executar o seguinte cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

3. Para desabilitar o SMBv2 e SMBv3, executar o seguinte cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

  • Se você quiser ativar novamente o SMBv1 é só executar o seguinte cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

  • Para habilitar o SMBv2 e SMBv3 no servidor SMB, execute o seguinte cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force


Fui infectado e agora?

Bom, nesse caso você só tem duas opção: 1. Senta e chora, antes de formatar sua máquina e a 2. Se você tiver $$ pague o resgate do seus dados.


Nome e detalhes do log coletado no Symantec
[SID: 23875] OS Attack: Microsoft SMB MS17-010 Disclosure Attempt attack blocked. Traffic has been blocked for this application: SYSTEM

Nenhum comentário:

Falha no sistema de criptografia do Linux permite acesso ao shell

Uma vulnerabilidade no sistema de criptografia (Cryptsetup) de algumas distros do Linux, permite acesso ao shell com privilégios de root. 

Lembrando que a criptografia do Linux não foi quebrada, como estão dizendo por aí. Os dados na unidade que foi criptografada continuam lá protegidos. O suposto invasor não vai conseguir acessar esses dados tão fácil assim.

A falha é causada por uma verificação incorreta da senha no arquivo de script/scripts/local-top/cryptroot. Ao exceder o número máximo de tentativas de senha, o script de chamada, scripts/locais, trata o erro como se fosse uma falha ou lentidão no hardware e abri um shell para o usuário.

Apesar de seus dados estarem protegidos, ainda assim existe a falha, que é grave, e é preciso ter cuidado, especialmente em ambientes como bibliotecas, caixas eletrônicos, máquinas de aeroporto, laboratórios e etc... 

Essa falha pode ser explorada acesso físico quanto acesso remoto - ambientes de nuvem. Os atacantes podem copiar, modificar ou destruir o disco rígido, bem como configurar a rede para filtrar seus dados. 

A divulgação desta vulnerabilidade foi apresentada por Hector Marco e Ismael Ripoll, você pode ver todos os detalhes e a correção para essa falha aqui: CVE-2016-4484: Cryptsetup Initrd root Shell

Teste no Ubuntu

Nenhum comentário:

Google divulgado bug no Windows deixando a Microsoft em maus lençóis


Grupo de Análise do Google revelou uma vulnerabilidade crítica no Windows em um post no blog de segurança pública da empresa. O bug em si é muito específico, a própria Microsoft explica que o invasor precisa realizar tês objetivos em ordem para o ataque ter sucesso:

O exploits

  1. Explorar o Flash para obter controle do processo do navegador
  2. Elevar privilégios para escapar da caixa de proteção do navegador
  3. Instale um backdoor para fornecer acesso ao computador da vítima
A Microsoft reconhece que é uma vulnerabilidade grave, o suficiente para ser classificado como crítico, e que já tem os recursos de prevenção de ameaças e mitigação de vulnerabilidades disponíveis para combater essas etapas. 
A MS não ficou muito feliz com o Google porque o Gl público em a vulnerabilidade em seu blog 10 dias depois de relatar o erro para a Microsoft, antes da MS disponibilizar um patch de correção. 
Enquanto isso, o Google já disponibilizou uma correção para proteger os usuários do Chrome. Até o momento (03/11/2016) o Windows ainda está vulnerável. 
A Microsoft informou que está testando as patches com seus participantes da industria ($clientes corporativos$) e promete disponibilizar na próxima atualização terça-feira, 8 de novembro.

Mais detalhes
Nenhum comentário:

Falha no Kernel do Linux dá acesso completo ao ao usuário em 5 segundos

Texto ataptado:

Se você precisa de outro motivo para ser paranóico sobre a segurança de sua rede, uma grave vunerabilidade no kernel do Linux, há nove anos, está agora em estado selvagem.  O pesquisador, Phil Oester, que encontrou a vunerabilidade, disse "o ataque é extremamente fácil de ser feito e que a falha existe, provavelmente, há anos". Devido à sua complexidade, ele só foi capaz de detectá-lo porque capturou todo o tráfego de entrada HTTP e foi capaz de extrair o exploit e testá-lo.

A falha do kernel (CVE-2.016-5.195) é um bug de 11 anos que o próprio Linus Tovalds tentou remendar uma vez. Seu trabalho, infelizmente, foi desfeito por outros fix de correção, anos mais tarde. 

O problema é que o sistema de memória do kernel Linux pode quebrar durante determinadas operações de memória, de acordo com a Red Hat. "Um usuário local sem privilégios poderia usar essa falha para ganhar acesso de escrita ... e assim aumentar os seus privilégios no sistema."

Em outras palavras, pode ser utilizada para obter acesso ao servidor de raiz, o que é uma coisa terrível para a Internet. Embora seja principalmente um ataque para usuários que já têm uma conta em um servidor, ele pode potencialmente ser explorada em uma máquina Linux que permite que você executar um arquivo - algo que é comum para servidores online.
Nenhum comentário:

Se você usar o TOR será considerado um criminoso para o FBI


Em dezembro entra em vigor uma mudança de padrões aprovados pelo Supremo Tribunal dos Estados Unidos(secretamente), que permitirá a um juiz federal emitir um mandado de busca e apreensão para qualquer usuário que utiliza o TOR.

Durante anos TOR é o centro das atenções, sistema aberto de rede de comunicações, fonte que visa alcançar nível de rede anonimato. Seu uso tem aumentado depois de revelar campanhas de espionagem do governo como PRISM.

Foi descoberto essa semana que um ex-colaborador do Tor tinha criado um malware para o FBI que desmascara os usuário da rede Tor. Aparentemente, as forças de segurança dos EUA já usou este malware em várias operações, incluindo operação Torpedo.

Kevin Bankston, diretor do grupo OTI (Aberto Open Technology Institute), que havia testemunhado contra essas mudanças declarou:

"Qualquer que seja o eufemismo que o FBI tenha usado para descrever qualquer "log de acesso remoto" ou "técnicas de investigação", o que estamos falando é de redes de pirataria do governo e essa mudança de regra obscura autorizado a fazê-lo".

Há também vozes contrárias a essas mudanças regulatórias como a do senador democrata Ron Wyden:

"Estas alterações terão consequências significativas para a privacidade dos americanos e o alcance dos poderes do governo a realizar uma vigilância remota e pesquisas de dispositivos eletrônicos. Sob as regras propostas, o governo vai ser capaz de ter acesso em um único pedido a busca de milhares ou milhões de computadores ao mesmo tempo. A grande maioria dos computadores espiado pertencem às vítimas, e não os autores de crimes cibernéticos "


Para mais detalhes, recomendamos as seguintes leituras:
thehackernews
muyseguridad
thelastamericanvagabond
Nenhum comentário:

Pokemon Go Risco de Segurnça

Como funciona o jogo Pokemon Go
O Pokemon Go, é um jogo de realidade aumentada que virou febre entre os fissurados por game e até mesmo por quem não tinha nenhuma afinidade com esse mundo dos games.

Para começar a jogar, é bem simples, você precisa realizar alguns procedimentos no seu Smartphone, para dar permissão ao aplicativo para usar os seguintes itens: Câmera, GPS, Microfone, Wireless, Serviços de Dados Moveis e dispositivos conectados no seu aparelho(Vide mais detalhes aqui).

Ao conceder a permissão, você encontrará de imediato 3 pokemons nas suas a proximidades. A parti daí, começa "a brincadeira".

"A Brincadeira"

Você vai começar a ver pokemons por toda parte de sua casa: na sala, no quarto, "{...}na rua, na chuva, na fazenda ou numa casinha de sapê"... Quando você faz isso, sem saber, permite que o aplicativo colete dados ao seu redor como áudio do microfone, fotos de sua casa incluindo as coordenadas e o ângulo do seu Smartphone.



O lado interessante dessa "brincadeira"
Bom agora que você já sabe como a brincadeira funciona, vamos conhecer um pouco mais sobre esse jogo e sobre os seus desenvolvedores, daí você tira sua próprias conclusões.

O Pokemon Go foi criado por Niantic, Inc., fundado por John Hanke, ele também fundou a empresa Keyhole, Inc. Se você pesquisar um pouco a respeito da Keyhole vai descobrir que ela é um projeto de mapeamento de superfícies, comprada pelo Google em 2004, usado pra fazer o Google Maps/Earth e Street view. A Keyhole Inc. foi financiado pela Sony & Nvidia, juntamente com um bom pedaço de dinheiro proveniente da CIA, projeto In-Q-Tel, que recebe a maior parte do financiamento da Agência nacional da Geospatial(National Geospatial Agency.).

Você já leu a Política de Privacidade do jogo?

Se não leu ainda, reserve um pouco do seu tempo e leia. É bem assustador, vide uma parte no item "e. Information Disclosed for Our Protection and the Protection of Others." (e. Informação Divulgada para nossa proteção e proteção dos outros.) Encontramos o seguinte texto:

“{...}Nós cooperamos com agências do governo e companhias privadas. Podemos divulgar qualquer informação sobre você (ou seus filhos) que está em nosso poder..."

E no parágrafo 6 "6. RESPONDING TO DO NOT TRACK SIGNALS" vocês podem achar isso também:
- “Nosso programa não permite a opção “Do not track”/“Não me espie” do seu navegador”.


Bom, com isso encerro por aqui e deixo-o a seu critério as conclusões dessa brincadeira. Se você quiser ficar mais por dentro do Pokemon Go, recomendo as seguintes leitura:

Mais informações:
Nenhum comentário:

Como descobrir A Senha Da Rede Wireless/Wi-Fi

Vamos lhe mostrar como recuperar a senha da sua rede WiFi. Essa dica é valida para descobria a senha de uma determinada rede Wireless que você já se conectou em algum momento. 

Recuperar senha Wi-Fi

1. Abra o prompt de comando (pressionar as teclas Windows + R, digitar CMD e pressionar Enter);
2. Execute o comando abaixo, para exibir todos os perfis das conexões que você pretende recuperar a senha:
netsh wlan show profiles
Será listado os nomes de todas as redes Wi-Fi que você está conectado
Nesse exemplo, estou conectado na rede "DicasQueFunfa"

3. Entre as redes de exemplo acima, eu quero mostrar a senha do Wi-Fi de "DicasQueFunfa". Para isso, basta digitar o seguinte comando:
netsh wlan show profile name="DicasQueFunfa" key=clear
Troque "DicasQueFunfa" pelo nome de sua rede


No campo "Conteúdo da Chave" está a senha da rede DicasQueFunfa, no exemplo a senha foi "qwertyui"

Para sistema Mac OS X 6 comentários:

%0|%0 - Comando que para o seu sistema operacional por completo

- Curiosidade -
Nesse post vamos lhe mostrar um comando bastante curioso!! É um comando que para o seu sistema operacional por completo. Isso mesmo, o sistema trava e só volta com um boot manual.

Cuidado ao executar os passo abaixo!!! É de sua Inteira Responsabilidade seguir os passo abaixo!!

Quem sabem que comando é esse e o que ele faz exatamente para derrubar um SO?
É um comando aparentemente simples e à primeira vista inofensivo, mas ele funciona de verdade; não é nenhuma trollagem.

Caso você queira testar, recomendo que o faça em uma máquina virtual. Se for fazer na sua máquina física, primeiro salve todos os seus trabalhos porque sua máquina vai travar em menus 10 segundos
  
1. Abra o "Bloco de Notas" - notepad.exe
2. Escreva %0|%0
3. Salve o arquivo com um nome de sua preferência e em seguida muda a extensão para "nome_do _arquivo.BAT"
Agora é só executar o ver o estrago que ele causa no SO :)
Nenhum comentário:

Vulnerabilidade em fontes OpenType no Microsoft Windows permitir a execução de códigos maliciosos remotamente

A Microsoft disponibiliza update emergencial para corrigir uma vulnerabilidade de segurança, classificada como Crítica, para todas as versões do Microsoft Windows.  A vulnerabilidade pode permitir a execução remota de código se um usuário abrir um documento, criado ou visualizado em uma página não confiável da web, que contém as fontes OpenType incorporados.

A atualização de segurança elimina a vulnerabilidade corrigindo a forma como o gerenciador de fontes do Windows trata a fonte OpenType do Adobe. 

Soluções alternativas
  • Renomeie Atmfd.dll
    Para sistemas de 32 bits:
    1. Digite os seguintes comandos em um prompt de comando administrativo:
      cd "% windir% \ system32"
      takeown.exe / f Atmfd.dll
      icacls.exe Atmfd.dll / salvar atmfd.dll.acl
      Administradores icacls.exe Atmfd.dll / subvenções: (F) 
      renomear Atmfd.dll x-Atmfd.dll
      
    2. Reinicie o sistema.

    Para sistemas de 64 bits:
    1. Digite os seguintes comandos em um prompt de comando administrativo:
      cd "% windir% \ system32"
      takeown.exe / f Atmfd.dll
      icacls.exe Atmfd.dll / salvar atmfd.dll.acl
      Administradores icacls.exe Atmfd.dll / subvenções: (F) 
      renomear Atmfd.dll x-Atmfd.dll
      cd "% windir% \ syswow64"
      takeown.exe / f Atmfd.dll
      icacls.exe Atmfd.dll / salvar atmfd.dll.acl
      Administradores icacls.exe Atmfd.dll / subvenções: (F) 
      renomear Atmfd.dll x-Atmfd.dll
      
    2. Reinicie o sistema.

    Procedimento opcional para o Windows 8 e sistemas operacionais posteriores (desativar ATMFD):
    Método 1 (editar manualmente o registro do sistema):
    1. Execute regedit.exe como administrador.
    2. No Editor do Registro, navegue até a chave sub seguinte (ou criá-lo) e defina seu valor DWORD de 1:
      HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows \ DisableATMFD, DWORD = 1
    3. Feche o Editor do Registro e reinicie o sistema.

    Método 2 (use um script de implantação gerenciado):
    1. Crie um arquivo de texto chamado ATMFD-disable.reg que contém o seguinte texto:
      Editor do Registro do Windows versão 5.00
      [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows]
      "DisableATMFD" = dword: 00000001
      
    2. Execute regedit.exe .
    3. No Editor do Registro, clique no arquivo de menu e clique em Importar .
    4. Navegue e selecione o ATMFD-disable.reg arquivo que você criou na primeira etapa.
      Nota Se o arquivo não estiver na lista, onde você espera que ele seja, garantir que ele não foi dado automaticamente uma extensão de arquivo .txt ou mudança parâmetros de extensão de arquivo do diálogo a todos os arquivos ).
    5. Clique em Abrir e, em seguida, clique em OK para fechar o Editor do Registro.

    Impacto da solução alternativa.  Os aplicativos que dependem da tecnologia de fonte incorporada não serão exibidos corretamente. A desativação Atmfd.dll poderia causar certos aplicativos para parar de funcionar corretamente se eles usam fontes OpenType. O Microsoft Windows não liberar quaisquer fontes OpenType nativamente. No entanto, aplicativos de terceiros pode instalá-los e eles podem ser afetados por esta mudança.
    Como desfazer a solução alternativa. 
    Para sistemas de 32 bits:
    1. Digite os seguintes comandos em um prompt de comando administrativo:
      cd "% windir% \ system32"
      renomear x-Atmfd.dll Atmfd.dll
      icacls.exe Atmfd.dll / setowner "NT SERVICE \ TrustedInstaller"
      icacls.exe. / Restore atmfd.dll.acl
      
    2. Reinicie o sistema.

    Para sistemas de 64 bits:
    1. Digite os seguintes comandos em um prompt de comando administrativo:
      cd "% windir% \ system32"
      renomear x-Atmfd.dll Atmfd.dll
      icacls.exe Atmfd.dll / setowner "NT SERVICE \ TrustedInstaller"
      icacls.exe. / Restore atmfd.dll.acl
      cd "% windir% \ syswow64"
      renomear x-Atmfd.dll Atmfd.dll
      icacls.exe Atmfd.dll / setowner "NT SERVICE \ TrustedInstaller"
      icacls.exe. / Restore atmfd.dll.acl
      
    2. Reinicie o sistema.

    Procedimento opcional para o Windows 8 e sistemas operacionais posteriores (permitir ATMFD):

    Método 1 (editar manualmente o registro do sistema):
    1. Execute regedit.exe como administrador.
    2. No Editor do Registro, navegue até a chave sub seguinte e defina seu valor DWORD para 0:
      HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows \ DisableATMFD, DWORD = 0
    3. Feche o Editor do Registro e reinicie o sistema.

    Método 2 (use um script de implantação gerenciado):
    1. Crie um arquivo de texto chamado ATMFD-enable.reg que contém o seguinte texto:
      Editor do Registro do Windows versão 5.00
      [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows]
      "DisableATMFD" = dword: 00000000
      
    2. Execute regedit.exe .
    3. No Editor do Registro, clique no arquivo de menu e clique em Importar .
    4. Navegue e selecione o ATMFD-enable.reg arquivo que você criou na primeira etapa.
      Nota Se o arquivo não estiver na lista, onde você espera que ele seja, garantir que ele não foi dado automaticamente uma extensão de arquivo .txt ou mudança parâmetros de extensão de arquivo do diálogo a todos os arquivos ).
    5. Clique em Abrir e, em seguida, clique em OK para fechar o Editor do Registro.

Texto adaptado do site TechNet

Não é possível encontrar o arquivo de script

O computador exibia uma mensagem de execução de script continuamente e criava atalhos e pastas ocultas. Vide na imagem abaixo:

Falha de segurança coloca "milhões" de roteadores em risco

Seu roteador pode não ser seguro como você esperaria. Recentemente foi publicado um relatório sobre uma falha de segurança em milhões de roteadores domésticos.  A falha é proveniente de um erro no driver NetUSB (um driver de kernel Linux) que pode ser explorada por hackers para comprometer remotamente qualquer dispositivo executando o driver. O driver é comumente encontrado em roteadores domésticos; em alguns modelos de roteadores é possível desativá-lo.
A empresa(KCodes de Taiwan) que desenvolveu o NetUSB deixou em uma falha chamado de "sobrecarga da memória intermédia",  com isso um hacker pode enviar uma grande quantidade de informações a uma determinada porta específica no seu roteador e pode usar a falha para executar códigos maliciosos.

Vários roteadores possuem o NetUSB, de acordo com a SEC Consult Vulnerability Lab, a lista inclui roteadores da Allnet, Ambir Technology, AMIT, Asante, Atlantis, Corega, Digitus, D-Link, Edimax, Encore Electronics, Engenius, Etop, Hardlink, Hawking, IOGEAR, LevelOne, Longshine, NetGear, PCI, PROLiNK, Sitecom, Taifa, TP-LINK, TRENDnet, Western Digital e ZyXEL.

A lista completa com os modelos dos roteadores afetados ainda está sendo criada, mas abaixo já é possível ver algumas dos modelos que já foram identificados com essa falha. 

A grande questão é como resolver o problema.

Infelizmente, até a data de criação deste documento, não há nenhuma solução para esse problema.  A marca TP-Link está planejando lançar uma atualização para seus roteadores no final deste mês. Os outros fabricantes até o momento não disseram quando, ou mesmo se, eles vão lançar uma correção.

Para piorar ainda mais, alguns roteadores não permitem que você desabilite o recurso NetUSB (USB) do roteador. O que pode ser feito é verificar com o fabricante do roteador se ele está oferecendo uma atualização de firmware. Caso contrário, mantenha o olho em seu roteador para ver se ele está com algum comportamento anormal: falhas incomuns, lentidão ou algum outro comportamento estranho.

Aqui está a lista atual dos roteadores divulgados pela SEC Consult Vulnerability Lab.
Alguns dos fabricantes já informam a data de disponibilização do FIX de correção.
Roteadores com a falha NetUSB:
  1. TP-Link TL-WDR4300 V1
  2. TP-Link WR1043ND v2
  3. NETGEAR WNDR4500
  4. D-Link DIR-615 C
  5. NETGEAR AC1450
  6. NETGEAR CENTRIA (WNDR4700 / 4720)
  7. NETGEAR D6100
  8. NETGEAR D6200
  9. NETGEAR D6300
  10. NETGEAR D6400
  11. NETGEAR DC112a
  12. NETGEAR DC112a (Zain)
  13. NETGEAR DGND4000
  14. NETGEAR EX6200
  15. NETGEAR EX7000
  16. NETGEAR JNR3000
  17. NETGEAR JNR3210
  18. NETGEAR JR6150
  19. NETGEAR LG6100D
  20. NETGEAR PR2000
  21. NETGEAR R6050
  22. NETGEAR R6100
  23. NETGEAR R6200
  24. NETGEAR R6200v2
  25. NETGEAR R6220
  26. NETGEAR R6250
  27. NETGEAR R6300v1
  28. NETGEAR R6300v2
  29. NETGEAR R6700
  30. NETGEAR R7000
  31. NETGEAR R7500
  32. NETGEAR R7900
  33. NETGEAR R8000
  34. NETGEAR WN3500RP
  35. NETGEAR WNDR3700v5
  36. NETGEAR WNDR4300
  37. NETGEAR WNDR4300v2
  38. NETGEAR WNDR4500
  39. NETGEAR WNDR4500v2
  40. NETGEAR WNDR4500v3
  41. NETGEAR XAU2511
  42. NETGEAR XAUB2511
  43. TP-LINK Archer C2 V1.0 (FIX planejado antes de 2015/05/22)
  44. TP-LINK Archer C20 V1.0 (Não é afetado)
  45. TP-LINK Archer C20i V1.0 (FIX planejado antes de 2015/05/25)
  46. TP-LINK Archer C5 V1.2 (FIX planejado antes de 2015/05/22)
  47. TP-LINK Archer C5 V2.0 (Fix planejado antes de 2015/05/30)
  48. TP-LINK Archer C7 V1.0 (FIX planejado antes de 2015/05/30)
  49. TP-LINK Archer C7 V2.0 (correção já lançado)
  50. TP-LINK Archer C8 V1.0 (FIX planejado antes de 2015/05/30)
  51. TP-LINK Archer C9 V1.0 (FIX planejado antes de 2015/05/22)
  52. TP-LINK Archer D2 V1.0 (FIX planejado antes de 2015/05/22)
  53. TP-LINK Archer D5 V1.0 (FIX planejado antes de 2015/05/25)
  54. TP-LINK Archer D7 V1.0 (FIX planejado antes de 2015/05/25)
  55. TP-LINK Archer D7B V1.0 (FIX planejado antes de 2015/05/31)
  56. TP-LINK Archer D9 V1.0 (FIX planejado antes de 2015/05/25)
  57. TP-LINK Archer VR200v V1.0 (Fix já lançado)
  58. TP-LINK TD-VG3511 V1.0 (End-of-Life)
  59. V1.0 TP-LINK TD-VG3631 (FIX planejado antes de 2015/05/30)
  60. V1.0 TP-LINK TD-VG3631 (FIX planejado antes de 2015/05/31)
  61. TP-LINK TD-W1042ND V1.0 (End-of-Life)
  62. TP-LINK TD-W1043ND V1.0 (End-of-Life)
  63. V1.0 TP-LINK TD-W8968 (FIX planejado antes de 2015/05/30)
  64. V2.0 TP-LINK TD-W8968 (FIX planejado antes de 2015/05/30)
  65. V3.0 TP-LINK TD-W8968 (FIX planejado antes de 2015/05/25)
  66. V1.0 TP-LINK TD-W8970 (FIX planejado antes de 2015/05/30)
  67. TP-LINK TD-W8970 V3.0 (correção já lançado)
  68. TP-LINK TD-W8970B V1.0 (FIX planejado antes de 2015/05/30)
  69. V3.0 TP-LINK TD-W8980 (FIX planejado antes de 2015/05/25)
  70. TP-LINK TD-W8980B V1.0 (FIX planejado antes de 2015/05/30)
  71. TP-LINK TD-W9980 V1.0 (correção já lançado)
  72. TP-LINK TD-W9980B V1.0 (FIX planejado antes de 2015/05/30)
  73. TP-LINK TD-WDR4900 V1.0 (End-of-Life)
  74. TP-LINK TL-WR1043ND V2.0 (Fix planejado antes de 2015/05/30)
  75. TP-LINK TL-WR1043ND V3.0 (FIX planejado antes de 2015/05/30)
  76. TP-LINK TL-WR1045ND V2.0 (Fix planejado antes de 2015/05/30)
  77. V1.0 TP-LINK TL-WR3500 (FIX planejado antes de 2015/05/22)
  78. V1.0 TP-LINK TL-WR3600 (FIX planejado antes de 2015/05/22)
  79. V1.0 TP-LINK TL-WR4300 (FIX planejado antes de 2015/05/22)
  80. TP-LINK TL-WR842ND V2.0 (Fix planejado antes de 2015/05/30)
  81. TP-LINK TL-WR842ND V1.0 (End-of-Life)
  82. TP-LINK TX-VG1530 (GPON) V1.0 (Fix planejado antes de 2015/05/31)
  83. Trendnet TE100-mfp1 (V1.0R)
  84. Trendnet TEW-632BRP (A1.0R)
  85. Trendnet TEW-632BRP (A1.1R / A1.2R)
  86. Trendnet TEW-632BRP (A1.1R / A1.2R / A1.3R)
  87. Trendnet TEW-634GRU (V1.0R)
  88. Trendnet TEW-652BRP (V1.0R)
  89. Trendnet TEW-673GRU (V1.0R)
  90. Trendnet TEW-811DRU (V1.0R)
  91. Trendnet TEW-812DRU (V1.0R)
  92. Trendnet TEW-812DRU (v2.xR)
  93. Trendnet TEW-813DRU (V1.0R)
  94. Trendnet TEW-818DRU (V1.0R)
  95. Trendnet TEW-823DRU (V1.0R)
  96. Trendnet TEW-mfp1 (V1.0R)
  97. Zyxel NBG-419N v2
  98. Zyxel NBG4615 v2
  99. Zyxel NBG5615
  100. Zyxel NBG5715


Caso tenha interesse em conhecer mais, profundamente e tecnicamente, essa vulnerabilidade, vide as fontes abaixo:
  1. https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20150519-0_KCodes_NetUSB_Kernel_Stack_Buffer_Overflow_v10.txt 
  2. http://blog.sec-consult.com
  3. http://blog.sec-consult.com/2015/05/kcodes-netusb-how-small-taiwanese.html

Computador criando atalhos e ocultando pastas

Análise do registro
A máquina do cliente estava exibindo uma mensagem de execução de script continuamente e criava atalhos e pastas ocultas. Vide na imagem abaixo:







Verificamos que o arquivo “qdrpnfuy.js”, descrito na imagem acima, tinha associação com o JS.Proslikefan.B. O JS.Proslikefan.B é um worm que se espalha através de JavaScript e unidades removíveis. Ele também pode baixar arquivos adicionais e roubar informações no host infectado.

Ao ser executado, uma das características do worm é copiar-se para os seguintes locais:
· % DRIVELETTER%:. \ trashes \ [valor calculado] \ [valor calculado] .js
· % USERPROFILE% \ Local Settings \ Temp \ [valor calculado] .js
· % UserProfile% \ [valor calculado] .js
· % USERPROFILE% \ AppData \ Roaming \ [valor calculado] .js

Na máquina infectada o caminho escolhido foi: %USERPROFILE%\AppData\Roaming\skkyww\ qdrpnfuy.js.

Causa do problema
Nesse caso, a máquina em questão não acessa a internet. O worm foi transmitido através de Pen Drive já infectado. O Antivírus instalado na máquina não detectou o worm porque estava desatualizado.Solução
Solução
O problema foi resolvido apagando todos os arquivos relacionados ao WORM e em seguida aplicamos a seguinte solução no pendrive:

1. Plugar o Pen drive em uma máquina e executar o Antivírus direto no pen driver;
2. Abrir o prompt de comando como Administrador, clicar em Iniciar e escrever "CMD.exe" clicar com o lado direito do mouse e escolher a opção "Executar como Administrador"
3. No prompt de comando, escrever: attrib -h -r -s /s /d X:\*.*

Vide imagem abaixo:
Você deve substituindo o X pela letra que está representando seu pen driver no computador.

Vulnerabilidade no Excel, permite que as senhas dos usuários sejam visualizadas em texto simples

Falha nas versões Excel 2007, 2010 e 2013 permite que as senhas dos usuários sejam visualizadas em texto simples.

Verificamos que ao compartilharmos um determinado arquivo do Excel na rede, o Excel armazena as preferências de impressão e senhas em modo de texto simples.

Descrição do problema

O cliente “X”, que tem o serviços de impressão segura configurada em sua máquina, cria um determinado arquivo do MS Excel e compartilha na rede com outros clientes.

Um determinado cliente “Y” abre o arquivo, compartilhado pelo cliente “X”, e faz uma impressão, ao chegar na impressora para liberar a impressão, não encontra seu arquivo e verifica que existe uma mesma impressão na chave do cliente “X”.


Análise do problemas

Ao analisarmos o problema, descobrimos que as preferências de impressão estavam sendo salvas no próprio arquivo do Excel, e com isso, as informações de impressão relacionadas aos campos: chave e senha, eram enviadas para a impressora. O problema está ocorrendo com a maioria das impressoras de rede e local. A maioria da impressão estão utilizando driver genéricos (um driver que “funciona” em mais de um modelo de impressora) e muitas vezes, desatualizados.


Incidente de Segurança da informação

Durante os testes, evidenciamos incidente de segurança da informação no modelo “Impressão Segura”. O Usuário e senha do cliente, utilizadas no serviço de “Impressão Segura”, são facilmente descobertas por qualquer um que tenha acesso ao arquivo compartilhado.

Descompactamos um determinado o arquivo (teste1.xlsx) que estávamos utilizando nos testes, descobrimos que a chave e a senha que foram configuradas na impressora no modo “Impressão Segura”, estavam armazenadas no arquivo “xl\printerSettings\printerSettings1.bin”. Esse arquivo pode ser lido facilmente por qualquer editor de texto (Bloco de Notas, WordPad...), é possível visualizar claramente a chave e a senha do cliente.

Na imagem abaixo, é possível visualizar claramente essas informações:

Solução
Até o momento, a Microsoft não disponibilizou uma solução para esse problema. Uma possível solução de contorno é criar uma chave DWORD com nome "QFE_Sitka", no caminho "HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Excel\Options", com o valor "1"

Vide a chave abaixo:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Excel\Options]
"QFE_Sitka"=dword:00000001


Observação:
Se for Excel 2010 o caminho é: HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Excel\Options
Se for Excel 2013 o caminho é: HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Excel\Options



Vide outras soluções de contorno disponibilizado pela MS
Nenhum comentário:

Marcadores

3G Modem Access Acesso Remoto ACT Active Directory ADOBE Adware Agendador de Tarefas Android Android Studio Antivírus App Apple AppXPackage Área de Trabalho Remota Atalhos de teclado AutoCAD BIOS Bitcoin Boa Dica Boot BSOD CentOS Certificação Cisco Citrix CLARO CMD CMS Codec Compatibilidade Concurso CorelDRAW CSS Curiosidade Curso Grátis Database Debian Desenvolvimento Dica Dicas Windows 8 Download Driver DUMP eBooks Excel Facebook Ferramentas Firefox Flash Flutter FTP Game Good tip Google Google Chrome Google Cloud HP HTML HTML5 Hype-V IBM Sametime Impressora Internet Internet Explorer iOS iPad iPhone ISO ITIL Java Kali Linux KB keyboard shortcuts Kindle Leitora Biométrica LibreOffice Linux Lotus Notes MAC (Media Access Control) MAC OS X Malwares MariaDB Microsoft Edge Microsoft Teams Modem Modem 3G Mozilla Firefox MSI MSTSC MySQL Notebook Notícias ODBC Office 2003 Office 2007 Office 2010 Office 2013 Office 2016 Outlook Papel de Parede PC PHP Plugin PowerPoint PowerShell Proxy Raspberry Pi RDP Redes Regedit Reset Roteador Ruby On Rails Scanner Segurança de TI Senha Smartphone Software Soluções SQL SERVER 2005 SSD Switch Tablet Thin Client Ubuntu Utilitários VBScript vCurso vDica video VMware Player WhatsApp Windows Windows 10 Windows 10 Education Windows 10 Enterprise Windows 10 Home Windows 10 IoT Windows 10 Pro Windows 7 Windows 7 Enterprise Windows 7 Home Basic Windows 7 Home Premium Windows 7 Starter Edition Windows 7 Ultimate Windows 8 Windows 8.1 Windows Phone Windows Preview Windows Server 2008 Windows Server 2012 Windows To Go Windows Update Windows Vista Windows XP Wireless WMI Word WordPress