As tecnologias automatizadas de deteção de Kaspersky descobriram uma vulnerabilidade desconhecida (“zero-day”) no Windows. O exploit permitiu aos hackers obter privilégios no computador infetado e burlar mecanismos de proteção do motor de busca Google Chrome. O exploit recém-descoberto foi utilizado numa operação maliciosa avançada designada WizardOpium.

As vulnerabilidades “zero-day” são erros desconhecidos num software que, quando identificados em primeiro lugar por hackers, lhes permitem atuar inadvertidamente e sem serem detetados, durante muito tempo, causando danos graves e inesperados. As soluções de segurança comuns não identificam a infeção do sistema, nem conseguem proteger os utilizadores de uma ameaça que ainda não foi reconhecida.

Esta nova vulnerabilidade do Windows foi descoberta por investigadores da Kaspersky graças a outro ataque do mesmo género. Em novembro de 2019, a tecnologia de prevenção de exploits da Kaspersky – integrada na maioria dos seus produtos – também conseguiu detetar um exploit “zero-day” no Google Chrome, que permitia aos invasores executarem códigos arbitrários no equipamento da vítima. Depois de investigarem mais a fundo esta operação, à qual os especialistas deram o nome de WizardOpium, foi descoberta outra vulnerabilidade, desta vez no sistema operativo Windows.

Constatou-se que o novo exploit “zero-day” de elevação de privilégios (EoP) do Windows (CVE-2019-1458) estava incorporado no exploit do Google Chrome detetado anteriormente, tendo sido usado para obter privilégios na máquina infetada, bem como para evitar o Sandbox do Chrome, uma componente criada para proteger tanto o navegador, como o computador da vítima de ataques maliciosos.

A análise detalhada do exploit EoP mostrou que a vulnerabilidade pertence ao driver win32k.sys. Era possível utilizá-la indevidamente nas versões corrigidas mais recentes do Windows 7 e até em algumas antigas do Windows 10 (as novas versões do Windows 10 não foram afetadas).

"Um ataque deste tipo requer muitos recursos. Contudo, oferece vantagens significativas para os atacantes, que não têm dúvidas na hora de explorá-los. O número de ameaças “zero-day” ativas continua a crescer e é pouco provável que esta tendência desapareça. As organizações precisam de recorrer aos relatórios mais recentes de inteligência de ameaças e usar tecnologias de proteção capazes de encontrar estas ameaças desconhecidas de forma proativa", comenta Anton Ivanov, especialista em segurança da Kaspersky.

Os produtos da Kaspersky detetam este exploit com o veredito PDM:Exploit.Win32.Generic. A vulnerabilidade foi reportada à Microsoft e corrigida no dia 10 de dezembro de 2019.

Para evitar a instalação de backdoors por meio da vulnerabilidade de “zero-day” do Windows, a Kaspersky recomenda adotar as seguintes medidas de segurança:

  • Instalar a correção da Microsoft para a nova vulnerabilidade assim que possível. Uma vez instalada, o grupo responsável pelo WizardOpium não poderá mais explorar esta vulnerabilidade;
  • Se estiver preocupado com a segurança da sua organização, não deixar de atualizar todo o software assim que um novo patch de segurança for lançado. Usar produtos de segurança com funcionalidades de avaliação de vulnerabilidades e gestão de correções para automatizar estes processos;

 

  • Usar uma solução de segurança de qualidade com funcionalidades de deteção baseadas em comportamento para identificar ameaças desconhecidas, como o Kaspersky Endpoint Security;
  • Garantir que a sua equipa de segurança tem acesso arelatórios de Threat Intelligence  Conteúdos exclusivos sobre as últimas evoluções do cenário de ameaças estão disponíveis para os clientes deste serviço. Para saber mais, entre em contato pelo e-mail: Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.;

 

  • Usar a tecnologia do Sandbox para analisar objetos suspeitos. O acesso básico ao Kaspersky Cloud Sandbox está disponível em http://opentip.kaspersky.com/.

 

Para mais informações sobre o novo exploit, pode consultar o relatório completo em Securelist. Para saber mais sobre tecnologias que detetam este e outros ataques “zero-day” no Microsoft Windows, basta aceder ao webinar da Kaspersky.

Classifique este item
(1 Vote)
Ler 1686 vezes
Tagged em
Top