– root@injetionsec:~#

0-zero day no zimbra – escalada de privilégios com LFI

15.12.2013 (5:03 pm) – Filed under: Noticias ::

Esse script em executa é uma inclusão de arquivos locais com isso e possível ver o arquivo localconfig.xml que contém todas as credenciais do LDAP e permite que se possa fazer requisições dentro  do /service/admin/api com as credenciais que foram conseguidas ao criar o usuário. as versões  zimbra são: 2009, 2010, 2011, 2012 e algumas versões 2013

E o-day nem ouve um pronunciamento do Zimbra, mas e bom fazer o bloqueio da porta 7071/TCP pois é a partir dela que o exploit faz a conexão ( veja a linha 11 no ultils.rb ).

98ut

 

Acredito galera que vai ter um grande aumento de spam sendo proliferado por todo lado e possíveis quebras de sigilo.

Fico por aqui galera =)

 

 

Bancos não deveriam enviar senhas por SMS, diz empresa de segurança

15.12.2013 (11:18 am) – Filed under: Noticias ::

A medida de o uso de internet banking cresce, as aplicações maliciosas para dispositivos Android projetadas para interceptar senhas únicas também aumentam.

E recursos de segurança amplamente utilizados para proteger o acesso às contas bancárias online estão cada vez mais ineficazes, a medida que os cibercriminosos desenvolvem softwares maliciosos avançados para dispositivos Android, de acordo com um relatório divulgado pela NSS Labs na quarta-feira (12).

Muitos bancos oferecem aos seus clientes a autenticação de dois fatores, que consiste no envio de uma mensagem SMS com um código que é digitado em um formulário baseado na web. O código expira em poucos minutos e tem a intenção de frustrar os cibercriminosos que têm credenciais de login de uma pessoa.

Mas existem atualmente múltiplos malwares móveis que trabalham em conjunto com um malware em desktop para conseguir essas senhas únicas, escreveu Ken Baylor, vice -presidente de pesquisas da NSS Labs. “Não confie na autenticação baseada em SMS”, diz o relatório. “Ela foi completamente comprometida”.

Quase todo o malware móvel é escrito para o sistema operacional open-source Android, que permite aos usuários instalarem qualquer aplicativo, segundo o relatório. Códigos maliciosos móveis para iOS são raros já que a Apple proíbe o download de aplicativos que foram vetados pela empresa.

Ataque duplo

Os cibercriminosos usam um golpe duplo. Uma vez que um PC está comprometido, o malware injeta novos campos ou menus pop-up na tela, pedindo o número de telefone de uma pessoa e seu tipo de sistema operacional móvel e modelo do telefone.

Um link é enviado para o telefone e, se clicado, inicia a instalação de malware que envia senhas únicas para outro telefone, permitindo que alguém acesse a conta bancária da vítima, segundo o relatório.

Grande parte do malware de PC e smartphone tem origem em países que faziam parte da antiga União Soviética. Os desenvolvedores de códigos maliciosos se concentram no Android, uma vez que o sistema é amplamente utilizado – e parece haver poucos especialistas em iOS nessas nações, diz o relatório.

Conhecidos programas de malware bancários para desktops – tais como SpyEye, Citadel, Zeus e Carberp, todos têm um componente móvel Android. Embora o Google verifique a Google Play em busca de aplicativos maliciosos “uma quantidade significativa de malware escapa da detecção”, diz o relatório.

As instituições financeiras têm sido lentas para seguir o mesmo ritmo. Como o mobile banking continua a crescer, as suas aplicações possuem falhas de segurança.

“Muitos bancos ainda operam aplicações móveis que são apenas invólucros de HTML em vez de aplicativos nativos seguros”, disse o relatório.

Os apps devem ser revisados para “incluir uma combinação de navegadores endurecidos, identificação baseada em certificados, chaves únicas, criptografia embutida no app, geolocalização e impressão digital no dispositivo”, acrescentou.

 

Fonte : idgnow

Investimento em segurança da informação subiu 51% em 2013

15.12.2013 (11:17 am) – Filed under: Noticias ::

Um estudo divulgado pela consultoria PriceWaterhouse revelou que os investimentos em segurança da informação nas empresas subiram 51% em 2013. O total, porém, ainda está longe de ser motivo de comemorações, uma vez que representa apenas 3,8% de tudo o que foi gasto com TI ao longo do ano que está chegando ao fim.

No Brasil, a situação é ainda mais preocupante. Das 700 empresas nacionais ouvidas pelo estudo, 55,3% afirmaram ter gastado menos de US$ 1 milhão em 2013. O gasto médio, quando se leva em conta todas as 9,6 mil companhias ouvidas ao redor do mundo, ficou na casa dos US$ 4,3 milhões.

O total de ataques também aumentou esse crescimento no investimento. Apenas em nosso país foram registradas 4,6 mil ameaças, um crescimento de 138% em relação ao que foi registrado pela consultoria em 2012. No cenário internacional, houve crescimento de 25,1% e cada empresa foi vítima mais de três mil vezes ao longo do ano.

Entre os principais alvos estão a indústria farmacêutica, com 20%, e a de serviços financeiros, representando 9% e empatadas com as companhias de tecnologia. Funcionários e ex-funcionários estão entre os maiores autores e, segundo a consultoria, cada ataque teve custo médio de US$ 531, resultando em perdas que ultrapassaram os US$ 10 milhões em 2013.

Fonte : canaltech