BolhaSec News #28 - 08/12/2024 a 14/12/2024

Microsoft lança patch urgentes para +70 vulnerabilidades (incluindo 0-day): Microsoft lançou nessa semana patch corrigindo mais de 70 vulnerabilidades, incluindo o zero-day CVE-2024-49138 (CVSS 7.8, alta) no Common Log File System do Windows (CLFS), ativamente sendo explorada. A vulnerabilidade permite que atacantes obtenham privilégios de SYSTEM através de heap-based buffer overflow, sem necessidade de interação do usuário ou privilégios elevados +Info

+336,000 servidores e Exporters do Prometheus expostos a ataques DoS: Estudo do Aqua mostrou que existem pelo menos 336.000 servidores do Prometheus expostos a vazamento de informações, negação de serviço (DoS) e execução de código devido a falta de autenticação 😢. Usando o Shodan, os pesquisadores encontraram 296,000 Prometheus Node Exporters e 40,000 servidores Prometheus abertos na internet. Essas instâncias permitem i) consultas aos dados internos, expondo potencialmente segredos; ii) invocação de funções de heap profiling e tracing que podem levar a DoS; iii) execução de código por RepoJacking. +Info +Twitter +BlueSky

Por que essa vulnerabilidade existe? CVE-2024-11205: Devido a popularidade da vulnerabilidade CVE-2024-11205 (CVSS 8.5), nessa semana, publiquei um blog analisando/teorizando por que ela existe. Se você não ouviu falar sobre, ela afeta o plugin WordPress WPForms, muito usado, com mais de 6 milhões de sites usando, e é uma vulnerabilidade de criticidade alta bizarramente simples de entender que ficou mais de 1 ano no ar. +Info +Twitter +Bluesky

AuthQuake attack, ou Microsoft MFA bypassado: Esse não está sendo o ano da segurança pra Microsoft hein. A Oasis Security divulgou o AuthQuake, um método para bypassar o MFA Microsoft em uma hora sem interação do usuário. Ao usar um aplicativo autenticador para obter o código de seis dígitos do MFA durante uma tentativa de login, uma sessão suporta até 10 tentativas com falha. Porém, um invasor pode executar várias tentativas simultaneamente, permitindo que ele passe por combinações possíveis relativamente rápido. Testes mostraram que as chances de adivinhar o código correto após 24 sessões (que duraram cerca de 70 minutos) ultrapassaram 50%. A falha foi reportado à Microsoft no final de junho, uma correção temporária foi lançada alguns dias depois e a correção permanente foi lançada em outubro. +Info

➡️ Compartilhe a newsletter com o link https://newsletter.bolhasec.com