Vulnerabilidades no Windows e Chrome são usadas em ciberataques

0
30

Em abril, os especialistas da Kaspersky descobriram uma série de ataques direcionados contra várias empresas e que utilizava exploits (código que explora vulnerabilidades) desconhecidos (zero-day) no Google Chrome e do Microsoft Windows.

Uma das ameaças conseguia executar comandos no navegador Chrome e a outra conseguia obter privilégios de administrador no sistema para atacar as novas versões (builds) do Windows 10. Este último exploit faz uso de duas vulnerabilidades no núcleo (kernel) do sistema operacional Windows, que foram identificadas como CVE-2021-31955 e CVE-2021-31956. A Microsoft acaba de publicar as correções para ambas vulnerabilidades hoje, dentro do Patch Tuesday.

Nos últimos meses, houve uma onda de atividades maliciosas avançadas envolvendo exploits desconhecidos. Em meados de abril, os especialistas da Kaspersky descobriram ataques de exploits direcionados contra empresas que permitiam que os atacantes comprometessem as redes, permanecendo invisíveis.

A Kaspersky ainda não encontrou nenhuma conexão entre esses ataques e os grupos especializados conhecidos. Por isso, a empresa está chamando este grupo de PuzzleMaker.
Todos os ataques foram realizados pelo navegador Google Chrome e utilizaram um exploit que permitia a execução remota de comandos. Infelizmente, os pesquisadores da Kaspersky não conseguiram recuperar os códigos que o exploit executava remotamente, mas sua cronologia e disponibilidade sugere que os atacantes estavam usando a vulnerabilidade CVE-2021-21224, agora corrigida. Essa vulnerabilidade estava relacionada a um bug de tipos incompatíveis no V8 – um mecanismo JavaScript usado pelos navegadores Chrome e Chromium. Ela permite que os atacantes explorem o processo do renderização do Chrome – que são as ações responsáveis pelo que acontece dentro da guia dos usuários.

De qualquer forma, os especialistas da Kaspersky conseguiram localizar e analisar o segundo exploit: um malware com a função de obter privilégios no sistema operacional e que explora duas vulnerabilidades diferentes no núcleo do Windows. A primeira é uma vulnerabilidade de divulgação de informações (que vaza informações sigilosas do kernel), atribuída como CVE-2021-31955. Especificamente, essa vulnerabilidade está relacionada ao SuperFetch – um recurso introduzido no Windows Vista que tem como objetivo reduzir o tempo de carregamento dos aplicativos mais usados, através de um pré-carregamento na memória.

A segunda vulnerabilidade – de elevação de privilégios (que permite que os atacantes explorem o kernel para ganhar permissões de administrador no computador) – foi atribuída com o nome CVE-2021-31956, trata-se de um estouro de buffer baseado no heap. Os atacantes usaram esta vulnerabilidade junto com o Windows Notification Facility (WNF) para executar malware no sistema.

Os exploits do Chrome e do Windows eram apenas a forma de entrar e permanecer no sistema-alvo. Após esta etapa, o ataque ainda conta com uma fase de preparação – que usa um dropper de malware complexo – e a instalação de dois executáveis que se passam como arquivos legítimos do sistema operacional Windows. Entre as funcionalidades destes malware estão a capacidade de baixar e fazer upload de arquivos, a criação de processos, colocar-se em suspensão por um determinado tempo e efetuar sua autoexclusão no sistema infectado.

As vulnerabilidades foram corrigidas pela Microsoft hoje, como parte do Patch Tuesday.
"Embora esses ataques sejam altamente direcionados, ainda precisamos associá-los a algum grupo especializado. Por isso o apelidamos de "PuzzleMaker" e vamos monitorar de perto suas atividades e novos insights sobre o grupo. No geral, temos observados várias ondas de atividade maliciosas usando exploits desconhecidos (zero-day). Trata-se de um lembrete de que as vulnerabilidades continuam sendo um método eficaz de infecção. Agora que essas vulnerabilidades foram corrigidas e tornaram-se públicas, é possível que haja um aumento em seu uso por outros grupos. Em outras palavras, é importantíssimo que as empresas instalem essas correções o mais rápido possível", comenta Boris Larin, pesquisador sênior em segurança da Kaspersky.

Deixe seu comentário