A empresa de segurança Kaspersky detectou novamente uma vulnerabilidade crítica do Windows, que estava desconhecida até então. O ataque visa o núcleo do sistema – seu kernel – por meio de um backdoor construído a partir de um elemento essencial do sistema operacional Windows. O ataque tem como objetivo controlar o dispositivo-alvo.
Os produtos da Kaspersky Lab detectam esses exploits com os vereditos:
- HEUR:Exploit.Win32.Generic
- HEUR:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic
“Os backdoors são um tipo de malware extremamente perigosos, pois permitem que o criminoso controle as máquinas infectadas de forma discreta para fins maliciosos. Esconder um ganho de privilégios desses das soluções de segurança é algo difícil. No entanto, um backdoor que explora uma vulnerabilidade até então desconhecida (zero-day) tem significativamente mais chances de passar despercebida pelos radares, pois soluções comuns não reconhecerão a infecção do sistema e nem protegerão os usuários dessa ameaça desconhecida”, explica a Kaspersky.
Uma vez que o arquivo malicioso é executado, a instalação do malware tem início. Ela explora uma vulnerabilidade de dia zero, obtendo com sucesso privilégios para se manter na máquina da vítima. Em seguida o malware ativa um backdoor desenvolvido com um elemento legítimo do Windows, um script presente em todas as máquinas Windows chamada de PowerShell. Isso permite que o malware fique escondido, evitando sua detecção. Sem falar na economia de tempo do criminoso que não precisou escrever o código para funções maliciosas. O malware então baixa outro backdoor a partir de um serviço popular e legítimo de armazenamento de texto, que por sua vez deu aos criminosos controle total sobre o sistema infectado.
“Observamos neste ataque duas grandes tendências que frequentemente vemos em Ameaças Avançadas Persistentes (APTs, Advanced Persistent Threats). Primeiro, o uso de exploits que fazem o escalonamento local de privilégios para se manter na máquina da vítima. Segundo, o uso de recursos legítimos, como o Windows PowerShell, para atividades maliciosas na máquina da vítima. Essa combinação oferece aos grupos especializados a capacidade de contornar as soluções de segurança básicas. Para detectar tais técnicas, a solução de segurança deve usar mecanismos de prevenção de exploit e de detecção comportamental”, explica Anton Ivanov, especialista em segurança da KasperskyLab.
Felizmente, a Microsoft corrigiu essa vulnerabilidade no dia 10 de abril. Clique aqui para baixar o update. A atualização foi liberada para o Windows 10, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 e Windows Server 2019.
Além da instalação do update da Kaspersky recomenda as seguintes orientações:
- Se estiver preocupado com a segurança geral da organização, faça a atualização de todos os softwares assim que uma nova correção de segurança for lançada. Soluções se segurança com funções de Avaliação de Vulnerabilidades e Gerenciamento de Correções podem automatizar esses processos.
- Use uma solução de segurança de ponta.
- Garanta que a equipe de segurança tenha acesso a relatórios de Threat Intelligence mais recente. Relatórios privados sobre as últimas evoluções do cenário de ameaças estão disponíveis para os clientes do serviço Kaspersky APT Intelligence Reporting. Para saber mais, contate: intelreports@kaspersky.com.
- Igualmente importante, garanta que toda a sua equipe seja treinada nos conceitos básicos da higiene de cibersegurança.