Novo Exploit "DoubleClickjacking" contorna proteções de segurança e compromete contas em grandes sites.

 Pesquisadores de segurança divulgaram uma nova vulnerabilidade, chamada DoubleClickjacking, que explora uma sequência de duplo clique para realizar ataques de clickjacking e comprometer contas em diversos sites populares. Desenvolvida por Paulos Yibelo, essa técnica contorna proteções tradicionais, como o cabeçalho X-Frame-Options e cookies configurados com SameSite: Lax/Strict. O clickjacking tradicional engana o usuário a interagir com elementos aparentemente inofensivos de uma página, mas que na realidade executam ações maliciosas ou permitem o roubo de dados. O DoubleClickjacking aprimora essa abordagem ao explorar o intervalo de tempo entre dois cliques consecutivos, possibilitando que atacantes manipulem a interface do usuário (UI) e realizem ações indesejadas com mínima interação do usuário.

Microsoft Corrige Vulnerabilidades Críticas no Dynamics 365 e Power Apps.

Recentemente, foram revelados detalhes sobre três vulnerabilidades críticas, agora corrigidas, no Microsoft Dynamics 365 e na API Web do Power Apps, que poderiam expor dados sensíveis. Essas falhas foram descobertas pela empresa de cibersegurança australiana Stratus Security e corrigidas pela Microsoft em maio de 2024. Duas das vulnerabilidades estavam no OData Web API Filter do Power Platform, enquanto a terceira residia na API FetchXML. A primeira falha estava relacionada à ausência de controles de acesso adequados no OData Web API Filter, permitindo o acesso à tabela de contatos. Essa tabela armazenava informações sensíveis, incluindo nomes completos, números de telefone, endereços, dados financeiros e hashes de senhas. Um invasor poderia explorar essa brecha para realizar ataques de busca booleana e extrair hashes de senhas, testando cada caractere sequencialmente até obter o valor completo.