Exploit é usado em ataques direcionados e permite a execução de códigos remotos e arbitrários nos dispositivos atacados afirma estudo da Kaspersky
No final do primeiro semestre de 2020, as tecnologias de detecção automatizada da Kaspersky evitaram um ataque direcionado a uma empresa sul-coreana.
A análise detalhada mostrou que o ataque usou um novo mecanismo de infecção que utilizava duas vulnerabilidades desconhecidas (zero-day): um exploit de execução de código remoto no Internet Explorer 11 e outro de elevação de privilégios (EoP) no Windows. Esta última visava as versões mais recentes do Windows 10.
Uma falha zero-day são bugs no software que eram desconhecidos. E, uma vez descobertos, permitem a execução discreta de atividades maliciosas, capazes de causar danos graves e inesperados.
Durante a apuração do ataque, os analistas da Kaspersky encontraram duas dessas vulnerabilidades. A primeira, conhecida como “Use-After-Free”, refere-se ao Internet Explorer e permite que invasores realizem a execução de código remotamente. Este exploit foi atribuído como CVE-2020-1380.
No entanto, pelo fato de o Internet Explorer funcionar em um ambiente isolado, os hackers precisavam de mais privilégios na máquina infectada. Por este motivo, foi necessária a segunda vulnerabilidade no Windows que se aproveita de uma falha no serviço de impressão.
Este exploit de elevação de privilégios (EoP) – atribuído como CVE-2020-0986 – permite que os invasores executem códigos arbitrários no dispositivo da vítima.
“Quando acontecem ataques por meio de vulnerabilidades ‘zero-day’, isso sempre é uma notícia importante para a comunidade de cibersegurança. A detecção bem-sucedida dessas vulnerabilidades pressiona os fabricantes a emitir imediatamente uma correção para o software e também reforça a necessidade de atualização dele pelos usuários.”
“Os exploits anteriores que encontramos envolvem principalmente a elevação de privilégios, sendo que um deles explora funcionalidades de execução de código remoto, o que é mais perigoso. Associado à capacidade de afetar as versões mais recentes do Windows 10, o ataque descoberto é realmente raro hoje em dia.”
“Ele nos lembra mais uma vez de investir em inteligência de ameaças e tecnologias de proteção de qualidade para poder detectar proativamente as mais recentes ameaças desconhecidas”, comenta Boris Larin, especialista em segurança da Kaspersky.
Especialistas da Kaspersky afirmaram ainda ter encontrado pequenas semelhanças dessa nova exploit com outras detectadas anteriormente e atribuídas ao DarkHotel, o que levanta a suposição que o ataque tenha sido feito pelo mesmo grupo.
Informações detalhadas sobre os Indicadores de Comprometimento relacionados ao DarkHotel, incluindo hashes de arquivos e servidores C2, podem ser acessadas no Kaspersky Threat Intelligence Portal.
Os produtos da Kaspersky detectam essas exploits com o veredito PDM:Exploit.Win32.Generic.
A correção para a vulnerabilidade de elevação de privilégios CVE-2020-0986 foi lançada em 9 de junho de 2020. Já a correção para a vulnerabilidade de execução de código remoto CVE-2020-1380 foi disponibilizada em 11 de agosto de 2020.
FONTE CRYPTO ID
Nenhum comentário:
Postar um comentário