Imagem ilustrativa - Divulgação Check Point Software
Os pesquisadores da Check Point
Research (CPR) revelaram uma vulnerabilidade à Microsoft em maio deste ano que
publicou os patches no dia 9 de julho (ontem); os atacantes estão atraindo
usuários de Windows 10 e 11 para habilitarem a execução remota de código e
acessarem seus computadores
Os pesquisadores da Check Point Research (CPR), divisão de
Inteligência em Ameaças da Check Point Software, alertam sobre um novo ataque de
falsificação realizado por agentes de ameaças que estão utilizando arquivos de
atalho do Internet Explorer para atrair usuários do Windows 10/11 e executar
código remoto. A equipe da CPR recomenda que os usuários/clientes da Microsoft
apliquem os patches
imediatamente.
Os cibercriminosos estão “explorando” o Internet Explorer em novo
ataque de falsificação de Dia Zero (vulnerabilidade CVE-2024-38112). As
principais descobertas dos pesquisadores da Check Point Software sobre isto
foram:
• Atacantes estão atraindo usuários do Windows 10/11 a habilitar a
execução remota de código e acessar seus computadores.
• Essa vulnerabilidade tem sido explorada em ambientes reais há
mais de um ano, potencialmente afetando milhões de usuários.
• A CPR revelou a vulnerabilidade à Microsoft em maio de 2024; a
Microsoft publicou os patches em 9 de julho de 2024.
• A CPR recomenda que os usuários façam atualizações e apliquem
patches regulares em todos os softwares para garantir a máxima proteção contra
ameaças cibernéticas.
Os pesquisadores da CPR apontaram que os atacantes estão
utilizando truques novos (ou desconhecidos anteriormente) para atrair usuários
do Windows, a fim de realizarem execução remota de código. Especificamente, os
atacantes usaram arquivos especiais de Atalho da Internet do Windows (extensão[.]url)
que, quando clicados, chamariam o “aposentado” Internet Explorer (IE) para
visitar a URL controlada pelo atacante. Um truque adicional no IE foi usado
para esconder a extensão maliciosa “[.]hta”.
Ao abrir a URL com o Internet Explorer, em vez dos navegadores
modernos e muito mais seguros como o Chrome ou Edge no Windows, o atacante
ganhou vantagens significativas para explorar o computador da vítima, mesmo que
o computador esteja rodando o moderno sistema operacional Windows 10/11.
Uma observação relevantes dos pesquisadores da CPR: não é
incomum que
agentes de ameaças usem arquivos [.]url como um vetor de ataque inicial em suas
campanhas. Até mesmo o uso de vulnerabilidades novas ou de dia zero
relacionadas a arquivos [.]url já aconteceu anteriormente — a vulnerabilidade CVE-2023-36025, que foi corrigida em novembro de
2023, é um bom exemplo disso.
Os arquivos [.]url maliciosos descobertos pela CPR datam de janeiro de
2023 até
13 de maio
de 2024. Isso
sugere que os cibercriminosos estão usando essas técnicas de ataque há bastante
tempo.
Os pesquisadores da Check Point Software recomendam que os
usuários do Windows permaneçam atentos quanto a arquivos [.]url enviados de
fontes não confiáveis. Este ataque permite que os cibercriminosos utilizem o
Internet Explorer (IE), em vez dos navegadores mais seguros atuais como Chrome
e Edge.
Basicamente, o ataque funciona de duas maneiras:
• O truque “mhtml” que permite ao atacante chamar (ou
“ressuscitar”) o navegador IE;
• Enganar o usuário para que abrir o que ele pensará ser um
arquivo PDF, mas, na verdade, será um aplicativo perigoso [.]hta.
Soluções para defesa e mitigação
A Check Point Software lançou meses atrás (antes desta divulgação)
as seguintes proteções em seus produtos IPS e na solução Harmony
Email and Collaboration: a assinatura IPS chamada "Execução Remota de
Código em Arquivos de Atalho da Internet" (em inglês, “Internet Shortcut
File Remote Code Execution”) para clientes protegerem-se contra esse ataque de
dia zero.
Além disso, os usuários do Windows devem instalar imediatamente o patch da
Microsoft.
Para a análise completa desse ataque pelos pesquisadores da Check
Point Research (CPR), visite o
site.
Check
Point Research
Check Point
Software Technologies Ltd
.
Check Point Software
Nenhum comentário:
Postar um comentário