No final de abril de 2018, os produtos da Kaspersky
Lab detectaram, de maneira proativa, uma ameaça anteriormente desconhecida que,
depois da análise dos especialistas da empresa, foi percebido que estava usando
uma vulnerabilidade de “dia zero” CVE-2018-8174 para o Internet Explorer. De
acordo com os especialistas, a tecnologia foi usada em ataques direcionados.
Um fato particularmente interessante é que, pela primeira vez, o exploit foi passado e baixado de um documento de Microsoft Word. Além disso, os cibercriminosos exploraram uma versão totalmente atualizada e corrigida do mesmo programa. Depois da descoberta, a Kaspersky Lab reportou a vulnerabilidade para a Microsoft, e uma nova versão corrigida está disponível desde terça-feira (8/5): https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8174.
Um exploit é um tipo de software que pode tirar vantagens de um bug ou de uma vulnerabilidade em outro software para afetar vítimas com um código malicioso. Exploits são muito utilizados tanto por cibercriminosos que querem ganhar dinheiro quanto por aqueles mais sofisticados, apoiados por nações, mas com fins maliciosos também.
Nesse caso em particular, o exploit identificado teve como base o código malicioso de exploração de “dia zero” – um bug do tipo use-after-free (UAF), quando um código executável legítimo, como o do Internet Explorer, apresenta uma lógica de processamento de memória incorreta. Isso leva a uma comunicação de código com memória liberada. Embora na maioria dos casos isso resulte em uma simples falha do navegador, com o exploit, os invasores usam esse bug para que eles mesmos controlem as máquinas.
Uma análise mais profunda mostrou que a cadeia de infecção consiste nas seguintes etapas:
- A vítima recebe um documento malicioso do Microsoft Office RTF;
Um fato particularmente interessante é que, pela primeira vez, o exploit foi passado e baixado de um documento de Microsoft Word. Além disso, os cibercriminosos exploraram uma versão totalmente atualizada e corrigida do mesmo programa. Depois da descoberta, a Kaspersky Lab reportou a vulnerabilidade para a Microsoft, e uma nova versão corrigida está disponível desde terça-feira (8/5): https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8174.
Um exploit é um tipo de software que pode tirar vantagens de um bug ou de uma vulnerabilidade em outro software para afetar vítimas com um código malicioso. Exploits são muito utilizados tanto por cibercriminosos que querem ganhar dinheiro quanto por aqueles mais sofisticados, apoiados por nações, mas com fins maliciosos também.
Nesse caso em particular, o exploit identificado teve como base o código malicioso de exploração de “dia zero” – um bug do tipo use-after-free (UAF), quando um código executável legítimo, como o do Internet Explorer, apresenta uma lógica de processamento de memória incorreta. Isso leva a uma comunicação de código com memória liberada. Embora na maioria dos casos isso resulte em uma simples falha do navegador, com o exploit, os invasores usam esse bug para que eles mesmos controlem as máquinas.
Uma análise mais profunda mostrou que a cadeia de infecção consiste nas seguintes etapas:
- A vítima recebe um documento malicioso do Microsoft Office RTF;
- Depois de abrir o documento malicioso, o segundo estágio do exploit é baixado
– uma página HTML com código malicioso;
- O código aciona o erro UAF de corrupção de memória;
- O shellcode que baixa a carga maliciosa é então executado.
“Essa técnica, até ser corrigida, permitia que criminosos forçassem o Internet Explorer a carregar, não importando qual navegador usasse normalmente – aumentando ainda mais uma superfície de ataque. Felizmente, a descoberta proativa da ameaça levou à liberação oportuna do patch de segurança pela Microsoft. Indicamos as organizações e usuários particulares a instalarem os patches recentes imediatamente, pois não demorará muito para que as explorações dessa vulnerabilidade cheguem aos kits de exploração populares e sejam usadas não apenas por agentes de ameaças sofisticadas, mas também por cibercriminosos padrão”, alerta Anton Ivanov, analista de segurança, Kaspersky Lab.
Os produtos da Kaspersky Lab detectam e bloqueiam com sucesso todos os estágios da cadeia de exploração e carga baseados nas seguintes decisões:
- HEUR:Exploit.MSOffice.Generic – documento RTF
- PDM:Exploit.Win32.Generic – E exploit – detectado com tecnologia de prevenção automática de exploit
- HEUR:Exploit.Script.Generic – IE exploit
- HEUR:Trojan.Win32.Generic – Payload
