Kaspersky encontra vulnerabilidade de dia zero no Windows

0
0

As tecnologias automatizadas de detecção da Kaspersky descobriram uma vulnerabilidade desconhecida (de "dia zero") no Windows. Usando um exploit para ela, os invasores conseguiram privilégios elevados no computador infectado e burlaram mecanismos de proteção no navegador Google Chrome. O exploit recém-descoberto foi usado em uma campanha maliciosa avançada chamada WizardOpium.

Antigamente, as vulnerabilidades de "dia zero" eram bugs desconhecidos em um software que, se descobertas primeiro por criminosos, permitiam que eles trabalhassem por muito tempo sem serem notados, causando danos graves e inesperados. Soluções de segurança comuns não identificam a infecção e nem conseguem proteger os usuários de uma ameaça que ainda não é conhecida.

A nova vulnerabilidade do Windows foi descoberta pelos pesquisadores da Kaspersky graças a outro ataque do mesmo tipo. Em novembro de 2019, a tecnologia de prevenção de exploits da companhia – presente na maioria dos produtos da empresa – conseguiu detectar um exploit de "dia zero" no Google Chrome . Ele permitia que invasores executassem códigos arbitrários na máquina da vítima. Pesquisando melhor a operação, que os especialistas chamaram de 'WizardOpium', foi descoberta outra vulnerabilidade desconhecida, dessa vez no sistema operacional Windows.

Assim, constatou-se que o recém-descoberto exploit de "dia zero" de elevação de privilégios (EoP) do Windows (CVE-2019-1458) estava incorporado no exploit do Google Chrome descoberto anteriormente. Ele foi usado para obter privilégios elevados na máquina infectada, além de escapar da Sandbox de processos do Chrome, um componente criado para proteger o navegador e o computador da vítima de ataques maliciosos.

A análise detalhada do exploit EoP mostrou que a vulnerabilidade utilizada pertence ao driver win32k.sys. Era possível usá-la indevidamente nas versões corrigidas mais recentes do Windows 7 e até em alguns builds do Windows 10 (as novas versões do Windows 10 não foram afetadas).

"Este tipo de ataque requer muitos recursos. Porém, oferece vantagens importantes para os atacantes e, como podemos ver, eles estão satisfeitos em explorá-lo. O número de ameaças de 'dia zero' ativas continua aumentando e é pouco provável que esta tendência suma. As organizações precisam recorrer aos relatórios de Threat Intelligence mais recentes e usar tecnologias de proteção capazes de encontrar ameaças desconhecidas, como exploits de 'dia zero', de maneira proativa", comenta Anton Ivanov, especialista em segurança da Kaspersky.

Deixe seu comentário