Vulnerabilidade de dia-zero estava sendo explorada por um grupo
desconhecido e visava obter controle total da máquina das vítimas
As tecnologias da Kaspersky Lab detectaram novamente uma vulnerabilidade desconhecida no Microsoft Windows. Ela estava sendo explorada por um grupo criminoso desconhecido na tentativa de obter o controle total sobre um dispositivo-alvo. O ataque visa o núcleo do sistema – seu kernel – por meio de um backdoor construído a partir de um elemento essencial do sistema operacional Windows.
Os backdoors são um tipo de malware extremamente perigosos, pois permitem que o criminoso controle as máquinas infectadas de forma discreta para fins maliciosos. Esconder um ganho de privilégios desses das soluções de segurança é algo difícil. No entanto, um backdoor que explora uma vulnerabilidade até então desconhecida (zero-day) tem significativamente mais chances de passar despercebida pelos radares, pois soluções comuns não reconhecerão a infecção do sistema e nem protegerão os usuários dessa ameaça desconhecida.
A tecnologia de prevenção contra exploits da Kaspersky Lab, no entanto, foi capaz de detectar a tentativa do malware de explorar uma vulnerabilidade desconhecida no sistema operacional Microsoft Windows. O contexto deste ataque foi o seguinte: uma vez que o arquivo malicioso foi executado, a instalação do malware teve início. Ela explorou uma vulnerabilidade de dia zero e obteve com sucesso privilégios para se manter na máquina da vítima. Em seguida o malware ativou um backdoor desenvolvido com um elemento legítimo do Windows, um script presente em todas as máquinas Windows chamada de PowerShell. Isso permitiu que o malware ficasse escondido e evitando sua detecção, sem falar na economia de tempo do criminoso que não precisou escrever o código para funções maliciosas. O malware então baixou outro backdoor a partir de um serviço popular e legítimo de armazenamento de texto, que por sua vez deu aos criminosos controle total sobre o sistema infectado.
As tecnologias da Kaspersky Lab detectaram novamente uma vulnerabilidade desconhecida no Microsoft Windows. Ela estava sendo explorada por um grupo criminoso desconhecido na tentativa de obter o controle total sobre um dispositivo-alvo. O ataque visa o núcleo do sistema – seu kernel – por meio de um backdoor construído a partir de um elemento essencial do sistema operacional Windows.
Os backdoors são um tipo de malware extremamente perigosos, pois permitem que o criminoso controle as máquinas infectadas de forma discreta para fins maliciosos. Esconder um ganho de privilégios desses das soluções de segurança é algo difícil. No entanto, um backdoor que explora uma vulnerabilidade até então desconhecida (zero-day) tem significativamente mais chances de passar despercebida pelos radares, pois soluções comuns não reconhecerão a infecção do sistema e nem protegerão os usuários dessa ameaça desconhecida.
A tecnologia de prevenção contra exploits da Kaspersky Lab, no entanto, foi capaz de detectar a tentativa do malware de explorar uma vulnerabilidade desconhecida no sistema operacional Microsoft Windows. O contexto deste ataque foi o seguinte: uma vez que o arquivo malicioso foi executado, a instalação do malware teve início. Ela explorou uma vulnerabilidade de dia zero e obteve com sucesso privilégios para se manter na máquina da vítima. Em seguida o malware ativou um backdoor desenvolvido com um elemento legítimo do Windows, um script presente em todas as máquinas Windows chamada de PowerShell. Isso permitiu que o malware ficasse escondido e evitando sua detecção, sem falar na economia de tempo do criminoso que não precisou escrever o código para funções maliciosas. O malware então baixou outro backdoor a partir de um serviço popular e legítimo de armazenamento de texto, que por sua vez deu aos criminosos controle total sobre o sistema infectado.
“Observamos neste ataque duas grandes tendências que frequentemente vemos em Ameaças Avançadas Persistentes (APTs, Advanced Persistent Threats). Primeiro, o uso de exploits que fazem o escalonamento local de privilégios para se manter na máquina da vítima. Segundo, o uso de recursos legítimos, como o Windows PowerShell, para atividades maliciosas na máquina da vítima. Essa combinação oferece aos grupos especializados a capacidade de contornar as soluções de segurança básicas. Para detectar tais técnicas, a solução de segurança deve usar mecanismos de prevenção de exploit e de detecção comportamental”, explica Anton Ivanov, especialista em segurança da Kaspersky Lab.
Os produtos da Kaspersky Lab detectam esses exploits com os vereditos:
- HEUR:Exploit.Win32.Generic
- HEUR:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic
A vulnerabilidade foi reportada para a Microsoft e corrigida no dia 10 de abril.
Para prevenir a instalação de backdoors por meio de vulnerabilidades desconhecidas, a Kaspersky Lab recomenda as seguintes medidas de segurança:
- Instale a correção do Windows assim que possível. Uma vez disponível e instalada, o grupo criminoso não poderá mais explorar mais esta vulnerabilidade.
- Se estiver preocupado com a segurança geral da organização, faça a atualização de todos os softwares assim que uma nova correção de segurança for lançada. Soluções se segurança com funções de Avaliação de Vulnerabilidades e Gerenciamento de Correções podem automatizar esses processos.
- Use uma solução de segurança de ponta, como o Kaspersky Endpoint Security, que fornece detecções baseadas em comportamento que protegem contra ameaças desconhecidas.
- Garanta que a equipe de segurança tenha acesso a relatórios de Threat Intelligence mais recente. Relatórios privados sobre as últimas evoluções do cenário de ameaças estão disponíveis para os clientes do serviço Kaspersky APT Intelligence Reporting. Para saber mais, contate: intelreports@kaspersky.com.
- Igualmente importante, garanta que toda a sua equipe seja treinada nos conceitos básicos da higiene de cibersegurança.
Para mais detalhes sobre o novo exploit,
acesse o relatório completo em Securelist.
Para saber mais sobre as tecnologias que detectaram esta e outras vulnerabilidades desconhecidas no Microsoft Windows, acesse o webinar Three Windows zero-days in three months: how we found them in the wild.
Para saber mais sobre as tecnologias que detectaram esta e outras vulnerabilidades desconhecidas no Microsoft Windows, acesse o webinar Three Windows zero-days in three months: how we found them in the wild.
Kaspersky
Lab
Nenhum comentário:
Postar um comentário