From security em unicamp.br  Mon Jun  2 09:12:48 2014
From: security em unicamp.br (CSIRT - UNICAMP)
Date: Mon, 2 Jun 2014 09:12:48 -0300
Subject: [SECURITY-L] TA14-150A: GameOver Zeus P2P Malware
Message-ID: <20140602121247.GA20601@unicamp.br>

-------- Original Message --------
Subject: 	TA14-150A: GameOver Zeus P2P Malware
Date: 	Mon, 02 Jun 2014 06:07:49 -0500
From: 	US-CERT <US-CERT em ncas.us-cert.gov>
Reply-To: 	US-CERT em ncas.us-cert.gov
To: 	daniela em ccuec.unicamp.br



TA14-150A: GameOver Zeus P2P Malware

NCCIC / US-CERT

National Cyber Awareness System:

TA14-150A: GameOver Zeus P2P Malware
<https://www.us-cert.gov/ncas/alerts/TA14-150A>
06/02/2014 08:15 AM EDT

Original release date: June 02, 2014


      Systems Affected

  * Microsoft Windows 95, 98, Me, 2000, XP, Vista, 7, and 8
  * Microsoft Server 2003, Server 2008, Server 2008 R2, and Server 2012


      Overview

GameOver Zeus (GOZ), a peer-to-peer (P2P) variant of the Zeus family of
bank credential-stealing malware identified in September 2011_­ ^1 ,
uses a decentralized network infrastructure of compromised personal
computers and web servers to execute command-and-control. The United
States Department of Homeland Security (DHS), in collaboration with the
Federal Bureau of Investigation (FBI) and the Department of Justice
(DOJ), is releasing this Technical Alert to provide further information
about the GameOver Zeus botnet.


      Description

GOZ, which is often propagated through spam and phishing messages, is
primarily used by cybercriminals to harvest banking information, such as
login credentials, from a victim?s computer^2 . Infected systems can
also be used to engage in other malicious activities, such as sending
spam or participating in distributed denial-of-service (DDoS) attacks. 

Prior variants of the Zeus malware utilized a centralized command and
control (C2) botnet infrastructure to execute commands. Centralized C2
servers are routinely tracked and blocked by the security community^1 .
GOZ, however, utilizes a P2P network of infected hosts to communicate
and distribute data, and employs encryption to evade detection. These
peers act as a massive proxy network that is used to propagate binary
updates, distribute configuration files, and to send stolen data^3 .
Without a single point of failure, the resiliency of GOZ?s P2P
infrastructure makes takedown efforts more difficult^1 .


      Impact

A system infected with GOZ may be employed to send spam, participate in
DDoS attacks, and harvest users' credentials for online services,
including banking services.


      Solution

Users are recommended to take the following actions to remediate GOZ
infections:

  * /Use and maintain anti-virus software/ - Anti-virus software
    recognizes and protects your computer against most known viruses. It
    is important to keep your anti-virus software up-to-date (see
    Understanding Anti-Virus Software
    <http://www.us-cert.gov/ncas/tips/ST04-005> for more information).
  * /Change your passwords/ - Your original passwords may have been
    compromised during the infection, so you should change them (see
    Choosing and Protecting Passwords
    <http://www.us-cert.gov/ncas/tips/ST04-002> for more information).
  * /Keep your operating system and application software up-to-date/ -
    Install software patches so that attackers can't take advantage of
    known problems or vulnerabilities. Many operating systems offer
    automatic updates. If this option is available, you should enable it
    (see Understanding Patches
    <http://www.us-cert.gov/ncas/tips/ST04-006> for more information).
  * /Use anti-malware tools/ - Using a legitimate program that
    identifies and removes malware can help eliminate an infection.
    Users can consider employing a remediation tool (examples below)
    that will help with the removal of GOZ from your system.

*F-Secure*

 http://www.f-secure.com/en/web/home_global/online-scanner (Windows
Vista, 7 and 8)

 http://www.f-secure.com/en/web/labs_global/removal-tools/-/carousel/view/142
(Windows XP systems)

 *Heimadal*

 http://goz.heimdalsecurity.com/ (Microsoft Windows XP, Vista, 7, 8 and
8.1)  

 *Microsoft *

http://www.microsoft.com/security/scanner/en-us/default.aspx (Windows
8.1, Windows 8, Windows 7, Windows Vista, and Windows XP)

*Sophos *

 http://www.sophos.com/VirusRemoval (Windows XP (SP2) and above)

 *Symantec *

 http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network_(_Windows
XP, Windows Vista and Windows 7)

 *Trend Micro*

 http://www.trendmicro.com/threatdetector (Windows XP, Windows Vista,
Windows 7, Windows 8/8.1, Windows Server 2003, Windows Server 2008, and
Windows Server 2008 R2)

 The above are examples only and do not constitute an exhaustive list.
The U.S. Government does not endorse or support any particular product
or vendor.


      References

  * Highly Resilient Peer-to-Peer Botnets Are Here: An Analysis of
    Gameover Zeus
    <http://www.syssec-project.eu/m/page-media/3/zeus_malware13.pdf>
  * Malware Targets Bank Accounts
    <http://www.fbi.gov/news/stories/2012/january/malware_010612/malware_010612>
  * The Lifecycle of Peer-to-Peer (Gameover) ZeuS
    <http://www.secureworks.com/cyber-threat-intelligence/threats/The_Lifecycle_of_Peer_to_Peer_Gameover_ZeuS/>


      Revision History

  * Initial Publication

------------------------------------------------------------------------

This product is provided subject to this Notification
<http://www.us-cert.gov/privacy/notification> and this Privacy & Use
<http://www.us-cert.gov/privacy/> policy.

------------------------------------------------------------------------
OTHER RESOURCES:
Contact Us <http://www.us-cert.gov/contact-us/> | Security Publications
<http://www.us-cert.gov/security-publications> | Alerts and Tips
<http://www.us-cert.gov/ncas> | Related Resources
<http://www.us-cert.gov/related-resources>

STAY CONNECTED:
Sign up for email updates
<http://public.govdelivery.com/accounts/USDHSUSCERT/subscriber/new>

SUBSCRIBER SERVICES:
Manage Preferences
<http://public.govdelivery.com/accounts/USDHSUSCERT/subscribers/new?preferences=true>  |  Unsubscribe
<https://public.govdelivery.com/accounts/USDHSUSCERT/subscriber/one_click_unsubscribe?verification=5.7c8ce4d3117305e79fd4ab8b330b9e90&destination=daniela em ccuec.unicamp.br>  |  Help
<https://subscriberhelp.govdelivery.com/>

----- End forwarded message -----


From security em unicamp.br  Mon Jun 16 09:38:41 2014
From: security em unicamp.br (CSIRT - UNICAMP)
Date: Mon, 16 Jun 2014 09:38:41 -0300
Subject: [SECURITY-L] =?iso-8859-1?q?=5Bcais=40cais=2Ernp=2Ebr=3A_CAIS-Ale?=
 =?iso-8859-1?q?rta=3A_Resumo_dos_Boletins_de_Seguran=E7a__Microsoft_-_Jun?=
 =?iso-8859-1?q?ho/2014=5D?=
Message-ID: <20140616123841.GB21984@unicamp.br>

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

Date: Fri, 13 Jun 2014 16:53:54 -0300 (BRT)
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br, pop-seg em cais.rnp.br
cc: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Resumo dos Boletins de Segurança Microsoft - Junho/2014

-----BEGIN PGP SIGNED MESSAGE-----

Prezados,

A Microsoft publicou 7 boletins de segurança em 10 de junho de 2014 que 
abordam ao todo 66 vulnerabilidades em produtos da empresa. A exploração 
destas vulnerabilidades permitem a Execução remota de código, a Divulgação 
não autorizada de informação, a Negação de Serviço e a Falsificação.

Até o momento da publicação deste alerta não foram divulgados códigos de 
exploração para as vulnerabilidades listadas.

SEVERIDADE

. Crítica

- - MS14-035 - Atualização de segurança cumulativa para Internet Explorer
- - MS14-036 - Vulnerabilidades no componente do Microsoft Graphics podem 
permitir a execução remota de código

. Importante

- - MS14-034 - Vulnerabilidade no Microsoft Word pode permitir a execução 
remota de código
- - MS14-033 - Vulnerabilidade no Microsoft XML Core Services pode permitir 
a divulgação de informações
- - MS14-032 - Vulnerabilidade no Microsoft Lync Server pode permitir a 
Divulgação de informação
- - MS14-031 - Vulnerabilidade no protocolo TCP pode permitir a negação de 
serviço
- - MS14-030 - Vulnerabilidade na Área de Trabalho Remota pode permitir 
falsificação

. Moderada

- - Nenhum boletim


. Baixa

- - Nenhum boletim


O sistema de classificação de severidade das vulnerabilidades adotado pelo 
CAIS neste resumo é o da própria Microsoft. O CAIS recomenda que se 
aplique, minimamente, as correções para vulnerabilidades classificadas 
como crítica e importante. No caso de correções para vulnerabilidades 
classificadas como moderadas o CAIS recomenda que ao menos as 
recomendações de mitigação sejam seguidas.

. Crítica - Vulnerabilidades cuja exploração possa permitir a propagação 
de um worm sem a necessidade de interação com o usuário.

. Importante - Vulnerabilidades cuja exploração possa resultar no 
comprometimento de confidencialidade, integridade ou disponibilidade de 
dados de usuários ou a integridade ou disponibilidade de recursos de 
processamento.

. Moderada - exploração é mitigada significativamente por fatores como 
configuração padrão, auditoria ou dificuldade de exploração.

. Baixa - uma vulnerabilidade cuja exploração seja extremamente difícil ou 
cujo impacto seja mínimo.


CORREÇÕES DISPONÍVEIS

Recomenda-se atualizar os sistemas para as versões disponíveis em:

. Microsoft Update
  https://www.update.microsoft.com/microsoftupdate/

. Microsoft Download Center
  http://www.microsoft.com/pt-br/download/default.aspx

MAIS INFORMAÇÕES

. Resumo do Boletim de Segurança da Microsoft de junho de 2014
  https://technet.microsoft.com/pt-BR/library/security/ms14-jun.aspx

. Microsoft TechCenter de Segurança
  http://technet.microsoft.com/pt-br/security/

. Microsoft Security Response Center - MSRC
  http://www.microsoft.com/security/msrc/

. Microsoft Security Research & Defense - MSRD
  http://blogs.technet.com/srd/

. Central de Proteção e Segurança Microsoft
  http://www.microsoft.com/brasil/security/


Identificador CVE (http://cve.mitre.org <http://cve.mitre.org/>):

CVE-2014-0282, CVE-2014-0296, CVE-2014-1762, CVE-2014-1764,
CVE-2014-1766, CVE-2014-1769, CVE-2014-1770, CVE-2014-1771,
CVE-2014-1772, CVE-2014-1773, CVE-2014-1774, CVE-2014-1775,
CVE-2014-1777, CVE-2014-1778, CVE-2014-1779, CVE-2014-1780,
CVE-2014-1781, CVE-2014-1782, CVE-2014-1783, CVE-2014-1784,
CVE-2014-1785, CVE-2014-1786, CVE-2014-1788, CVE-2014-1789,
CVE-2014-1790, CVE-2014-1791, CVE-2014-1792, CVE-2014-1794,
CVE-2014-1795, CVE-2014-1796, CVE-2014-1797, CVE-2014-1799,
CVE-2014-1800, CVE-2014-1802, CVE-2014-1803, CVE-2014-1804,
CVE-2014-1805, CVE-2014-1811, CVE-2014-1816, CVE-2014-1817,
CVE-2014-1818, CVE-2014-1823, CVE-2014-2753, CVE-2014-2754,
CVE-2014-2755, CVE-2014-2756, CVE-2014-2757, CVE-2014-2758,
CVE-2014-2759, CVE-2014-2760, CVE-2014-2761, CVE-2014-2763,
CVE-2014-2764, CVE-2014-2765, CVE-2014-2766, CVE-2014-2767,
CVE-2014-2768, CVE-2014-2769, CVE-2014-2770, CVE-2014-2771,
CVE-2014-2772, CVE-2014-2773, CVE-2014-2775, CVE-2014-2776,
CVE-2014-2777, CVE-2014-2778


O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter:
http://www.rnp.br/cais/alertas/rss.xml
Siga @caisrnp

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBU5tW4ekli63F4U8VAQE0DwP8CoUlUlSr9Tb5tRygFTGZ5qan86FGMJ/Z
WKBOc9ucqJ3++79fIk93VqDMs4zMjOOT/97PPw2UuMPLaPwwOmzSTyER2sGLeRJt
U7R2TSCtL2TyZzyFSju7Gs7Nu7k1XsQtFA4W6kzNAganb2ho302Zdzkq9icykRCd
MUp7rvZJ3LQ=
=dZXQ
-----END PGP SIGNATURE-----


----- End forwarded message -----


From security em unicamp.br  Mon Jun 16 10:12:47 2014
From: security em unicamp.br (CSIRT - UNICAMP)
Date: Mon, 16 Jun 2014 10:12:47 -0300
Subject: [SECURITY-L] [cais@cais.rnp.br: CAIS-Alerta: Vulnerabilidade
 possibilita ataque Man-in-the-Middle envolvendo o OpenSSL]
Message-ID: <20140616131247.GF21984@unicamp.br>

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

Date: Fri, 13 Jun 2014 17:06:39 -0300 (BRT)
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br, pop-seg em cais.rnp.br
cc: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Vulnerabilidade possibilita ataque Man-in-the-Middle envolvendo o OpenSSL

-----BEGIN PGP SIGNED MESSAGE-----

O CAIS alerta sobre a recente vulnerabilidade presente na biblioteca 
OpenSSL, que é utilizada nos protocolos SSL, TLS e DTLS. A biblioteca 
OpenSSL é utilizada para prover comunicação segura e privacidade na 
internet para diversos serviços e aplicativos, tais como: sistemas de 
email, navegadores web, mensagens instantâneas(IM), VPNs, entre outros.

Impacto

Um usuário mal intencionado poderia enviar uma mensagem maliciosa 
(ChangeCipherSpec message)
durante o handshake do TLS, precisamente antes da chave de sessão ser 
gerada, dessa forma, ele poderia realizar um
ataque do tipo main-in-the-middle, obtendo assim informações trocadas 
entre cliente e servidor.

É importante salientar que a realização desse ataque depende das seguintes 
condições serem satisfeitas:

Primeiro: O usuário malicioso precisa estar na mesma rede que as vítimas 
(cliente e servidor). 
Segundo: O usuário malicioso precisa forçar a utilização de chaves de 
criptografia frágeis, visto que
ele precisa descobrir o hash gerado na comunicação entre cliente e 
servidor durante o handshake.

Vale lembrar quer os principais browsers (Internet Explorer, Firefox, 
Chrome e Safari) não são vulneráveis ao ataque contra o OpenSSL.

Até a divulgação deste alerta, não existem relatos de exploração da 
vulnerabilidade no OpenSSL.


Recomendações

Verificar se o sistema está vulnerável

Execute o comando abaixo em um sistema UNIX-LIKE ou Windows e verifique a 
versão instalada.

#openssl version -a

OBS: Para sistemas Windows, o comando acima deve conter também o diretório 
de instalação do OpenSSL.


Corrigir a vulnerabilidade identificada

Atualize o OpenSSL para a versão 1.0.1h ou a mais recente recomendada 
pelos desenvolvedores.

Todos os aplicativos que utilizam o OpenSSL, deverão ser reiniciados para 
que as mudanças sejam efetivadas.


Versões afetadas:

Todas as versões clientes do OpenSSL

OpenSSL 1.0.1        - Versão server
OpenSSL 1.0.2-beta1  - Versão server

Mais informações

1 - Análise da vulnerabilidade no OpenSSL
        
http://www.theguardian.com/technology/2014/jun/06/heartbleed-openssl-bug-security-vulnerabilities 

2 - Latest OpenSSL bug 'may be more dangerous than Heartbleed'
        
http://www.theguardian.com/technology/2014/jun/06/heartbleed-openssl-bug-security-vulnerabilities

3 - OpenSSL Security Advisory
        https://www.openssl.org/news/secadv_20140605.txt

Identificador CVE (http://cve.mitre.org <http://cve.mitre.org/>): 
CVE-2014-0224

O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as últimas versões e 
correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF e no Twitter:
http://www.rnp.br/cais/alertas/rss.xml
Siga @caisrnp

Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBU5tZ3Okli63F4U8VAQHtSwP/Q2X2UKv/Ra4YE0q2cvQ35GDrmJ6d4FYA
eUw6zCTYMM0/ccaU3ycO1u0LI8ZmS5HhXgGDC/relTfLkonqIxALl5gIj3rItVvS
9hA/FPcJPqZEQ7p+fBQT3/pwC/dBg1VdSj9Hag7+zd48dtbE0a0KJ535MgWBonc8
MdlhtIQ/ocE=
=o0mZ
-----END PGP SIGNATURE-----


----- End forwarded message -----