No final do primeiro semestre de 2020, as tecnologias de detecção automatizada da Kaspersky evitaram um ataque direcionado a uma empresa sul-coreana. A análise detalhada mostrou que o ataque usou um novo mecanismo de infecção que utilizava duas vulnerabilidades desconhecidas (zero-day): um exploit de execução de código remoto no Internet Explorer 11 e outro de elevação de privilégios (EoP) no Windows. Esta última visava as versões mais recentes do Windows 10.
Uma falha zero-day são bugs no software que eram desconhecidos. E, uma vez descobertos, permitem a execução discreta de atividades maliciosas, capazes de causar danos graves e inesperados. Durante a apuração do ataque, os analistas da Kaspersky encontraram duas dessas vulnerabilidades. A primeira, conhecida como "Use-After-Free", refere-se ao Internet Explorer e permite que invasores realizem a execução de código remotamente. Este exploit foi atribuído como CVE-2020-1380.
No entanto, pelo fato de o Internet Explorer funcionar em um ambiente isolado, os hackers precisavam de mais privilégios na máquina infectada. Por este motivo, foi necessária a segunda vulnerabilidade no Windows que se aproveita de uma falha no serviço de impressão. Este exploit de elevação de privilégios (EoP) – atribuído como CVE-2020-0986 – permite que os invasores executem códigos arbitrários no dispositivo da vítima.
"Quando acontecem ataques por meio de vulnerabilidades 'zero-day', isso sempre é uma notícia importante para a comunidade de cibersegurança. A detecção bem-sucedida dessas vulnerabilidades pressiona os fabricantes a emitir imediatamente uma correção para o software e também reforça a necessidade de atualização dele pelos usuários. Os exploits anteriores que encontramos envolvem principalmente a elevação de privilégios, sendo que um deles explora funcionalidades de execução de código remoto, o que é mais perigoso. Associado à capacidade de afetar as versões mais recentes do Windows 10, o ataque descoberto é realmente raro hoje em dia.
