{"id":760,"date":"2025-02-18T14:28:42","date_gmt":"2025-02-18T14:28:42","guid":{"rendered":"https:\/\/oerlabs.com.br\/blog\/?p=760"},"modified":"2025-02-18T14:28:44","modified_gmt":"2025-02-18T14:28:44","slug":"novas-falhas-na-impressora-xerox-podem-permitir-que-invasores-capturem-credenciais-do-windows-active-directory","status":"publish","type":"post","link":"https:\/\/oerlabs.com.br\/blog\/2025\/02\/18\/novas-falhas-na-impressora-xerox-podem-permitir-que-invasores-capturem-credenciais-do-windows-active-directory\/","title":{"rendered":"Novas falhas na impressora Xerox podem permitir que invasores capturem credenciais do Windows Active Directory"},"content":{"rendered":"\n<p class=\"\">Vulnerabilidades de seguran\u00e7a foram divulgadas em impressoras multifuncionais (MFPs) Xerox VersaLink C7025 que podem permitir que invasores capturem credenciais de autentica\u00e7\u00e3o por meio de ataques de pass-back via Lightweight Directory Access Protocol (&nbsp;<a href=\"https:\/\/en.wikipedia.org\/wiki\/Lightweight_Directory_Access_Protocol\" rel=\"noreferrer noopener\" target=\"_blank\">LDAP<\/a>&nbsp;) e servi\u00e7os SMB\/FTP.<\/p>\n\n\n\n<p class=\"\">&#8220;Esse ataque no estilo pass-back aproveita uma vulnerabilidade que permite que um agente malicioso altere a configura\u00e7\u00e3o do MFP e fa\u00e7a com que o dispositivo MFP envie credenciais de autentica\u00e7\u00e3o de volta ao agente malicioso&#8221;,&nbsp;<a href=\"https:\/\/www.rapid7.com\/blog\/post\/2025\/02\/14\/xerox-versalink-c7025-multifunction-printer-pass-back-attack-vulnerabilities-fixed\/\" rel=\"noreferrer noopener\" target=\"_blank\">disse<\/a>&nbsp;o pesquisador de seguran\u00e7a da Rapid7, Deral Heiland .<\/p>\n\n\n\n<p class=\"\">&#8220;Se um agente malicioso puder aproveitar esses problemas com sucesso, isso permitir\u00e1 que ele capture credenciais para o Windows Active Directory. Isso significa que ele pode ent\u00e3o se mover lateralmente dentro do ambiente de uma organiza\u00e7\u00e3o e comprometer outros servidores e sistemas de arquivos Windows cr\u00edticos.&#8221;<\/p>\n\n\n\n<p class=\"\">As vulnerabilidades identificadas, que afetam as vers\u00f5es de firmware 57.69.91 e anteriores, est\u00e3o listadas abaixo &#8211;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li class=\"\"><strong><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2024-12510\" target=\"_blank\" rel=\"noreferrer noopener\">CVE-2024-12510<\/a><\/strong>\u00a0(pontua\u00e7\u00e3o CVSS: 6,7) &#8211; Ataque de retorno via LDAP<\/li>\n\n\n\n<li class=\"\"><strong><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2024-12511\" target=\"_blank\" rel=\"noreferrer noopener\">CVE-2024-12511<\/a><\/strong>\u00a0(pontua\u00e7\u00e3o CVSS: 7,6) &#8211; Ataque de passagem de volta via cat\u00e1logo de endere\u00e7os do usu\u00e1rio<\/li>\n<\/ul>\n\n\n\n<p class=\"\">A explora\u00e7\u00e3o bem-sucedida do CVE-2024-12510 pode permitir que informa\u00e7\u00f5es de autentica\u00e7\u00e3o sejam redirecionadas para um servidor desonesto, potencialmente expondo credenciais. Isso, no entanto, requer que um invasor obtenha acesso \u00e0 p\u00e1gina de configura\u00e7\u00e3o do LDAP e que o LDAP seja usado para autentica\u00e7\u00e3o.<\/p>\n\n\n\n<p class=\"\">O CVE-2024-12511 tamb\u00e9m permite que um agente malicioso obtenha acesso \u00e0 configura\u00e7\u00e3o do cat\u00e1logo de endere\u00e7os do usu\u00e1rio para modificar o endere\u00e7o IP do servidor SMB ou FTP e faz\u00ea-lo apontar para um host sob seu controle, fazendo com que as credenciais de autentica\u00e7\u00e3o SMB ou FTP sejam capturadas durante as opera\u00e7\u00f5es de verifica\u00e7\u00e3o de arquivos.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgu6u94jLBs7XKe9q12nHkLf2DDwpzc5Iq2mgc8MMHvRwCiy-eh_hRW3rdv79393utMO0H7kaY7sCq9ti-233PIS3WaQ5xOdTr_pSXYA7nPuVEA5SirnT94xactDSI4OXGtJLR79MHSycMEijJstR2thwWIwwpYT7RJrgzP3HPg3nrH76Q0Xuo26OPaFn9e\/s728-rw-e365\/exploit.png\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgu6u94jLBs7XKe9q12nHkLf2DDwpzc5Iq2mgc8MMHvRwCiy-eh_hRW3rdv79393utMO0H7kaY7sCq9ti-233PIS3WaQ5xOdTr_pSXYA7nPuVEA5SirnT94xactDSI4OXGtJLR79MHSycMEijJstR2thwWIwwpYT7RJrgzP3HPg3nrH76Q0Xuo26OPaFn9e\/s728-rw-e365\/exploit.png\" alt=\"\"\/><\/a><\/figure>\n\n\n\n<p class=\"\">&#8220;Para que esse ataque seja bem-sucedido, o invasor precisa que uma fun\u00e7\u00e3o de escaneamento SMB ou FTP seja configurada no cat\u00e1logo de endere\u00e7os do usu\u00e1rio, bem como acesso f\u00edsico ao console da impressora ou acesso ao console de controle remoto por meio da interface da web&#8221;, observou Heiland. &#8220;Isso pode exigir acesso de administrador, a menos que o acesso de n\u00edvel de usu\u00e1rio ao console de controle remoto tenha sido habilitado.&#8221;<\/p>\n\n\n\n<p class=\"\">Ap\u00f3s divulga\u00e7\u00e3o respons\u00e1vel em 26 de mar\u00e7o de 2024, as vulnerabilidades foram corrigidas como parte do&nbsp;<a href=\"https:\/\/www.support.xerox.com\/en-us\/product\/versalink-c7020-c7025-c7030\/content\/169633\" rel=\"noreferrer noopener\" target=\"_blank\">Service Pack 57.75.53<\/a>&nbsp;lan\u00e7ado no final do m\u00eas passado para impressoras VersaLink s\u00e9ries C7020, 7025 e 7030.<\/p>\n\n\n\n<p class=\"\">Se a aplica\u00e7\u00e3o imediata de patches n\u00e3o for uma op\u00e7\u00e3o, \u00e9 recomend\u00e1vel que os usu\u00e1rios definam uma senha complexa para a conta de administrador, evitem usar contas de autentica\u00e7\u00e3o do Windows que tenham privil\u00e9gios elevados e desabilitem o console de controle remoto para usu\u00e1rios n\u00e3o autenticados.<\/p>\n\n\n\n<p class=\"\">O desenvolvimento ocorre no momento em que o fundador e CEO da Specular, Peyton Smith, detalhou uma vulnerabilidade de inje\u00e7\u00e3o de SQL n\u00e3o autenticada que afeta um software de sa\u00fade amplamente implantado chamado&nbsp;<a href=\"https:\/\/www.healthstream.com\/solution\/credentialing\/provider-credentialing\/msow\" rel=\"noreferrer noopener\" target=\"_blank\">HealthStream MSOW<\/a>&nbsp;(CVE-2024-56735), o que pode levar ao comprometimento total do banco de dados, permitindo que agentes de amea\u00e7as acessem dados confidenciais de 23 organiza\u00e7\u00f5es de sa\u00fade pela Internet p\u00fablica.<\/p>\n\n\n\n<p class=\"\">A empresa disse ter identificado 50 casos de MSOW expostos \u00e0 Internet, dos quais 23 s\u00e3o suscet\u00edveis a falhas de seguran\u00e7a.<\/p>\n\n\n\n<p class=\"\">A vulnerabilidade pode permitir que &#8220;todo o banco de dados seja retornado em banda, o que significa que um invasor pode recuperar o conte\u00fado do banco de dados em texto simples em uma resposta HTTP de uma carga \u00fatil HTTP de inje\u00e7\u00e3o de SQL criada&#8221;,&nbsp;<a href=\"https:\/\/www.specular.ai\/blog\/breaching-the-perimeter-using-ai-to-compromise-23-healthcare-organizations\" rel=\"noreferrer noopener\" target=\"_blank\">disse<\/a>&nbsp;Smith .<\/p>\n\n\n\n<p class=\"\"><em>Fonte: thehackernews.com<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Vulnerabilidades de seguran\u00e7a foram divulgadas em impressoras multifuncionais (MFPs) Xerox VersaLink C7025 que podem permitir que invasores capturem credenciais de autentica\u00e7\u00e3o por meio de ataques de pass-back via Lightweight Directory Access Protocol (&nbsp;LDAP&nbsp;) e servi\u00e7os SMB\/FTP. &#8220;Esse ataque no estilo pass-back aproveita uma vulnerabilidade que permite que um agente malicioso altere a configura\u00e7\u00e3o do MFP [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":761,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"nf_dc_page":"","sfsi_plus_gutenberg_text_before_share":"","sfsi_plus_gutenberg_show_text_before_share":"","sfsi_plus_gutenberg_icon_type":"","sfsi_plus_gutenberg_icon_alignemt":"","sfsi_plus_gutenburg_max_per_row":"","footnotes":""},"categories":[7],"tags":[],"class_list":["post-760","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hackers"],"_links":{"self":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/760","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/comments?post=760"}],"version-history":[{"count":1,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/760\/revisions"}],"predecessor-version":[{"id":762,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/760\/revisions\/762"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media\/761"}],"wp:attachment":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media?parent=760"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/categories?post=760"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/tags?post=760"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}