No final do primeiro semestre deste ano, as tecnologias de detecção automatizada da Kaspersky evitaram um ataque direcionado a uma empresa sul-coreana. Uma análise detalhada mostrou que a investida usou um novo mecanismo de infecção que utilizava duas vulnerabilidades zero day: um exploit de execução de código remoto no Internet Explorer 11 e outro de elevação de privilégios no Windows 10.
- Conheça a Kr00k, nova vulnerabilidade que assola bilhões de dispositivos WiFi
- Vulnerabilidade zero day coloca app Mail de dispositivos iOS em risco
- Pesquisador encontra falha no “Iniciar sessão com a Apple” e ganha US$ 100 mil
Uma falha zero day é um bug cuja existência é desconhecida pela empresa responsável, e, uma vez descoberta, permite a execução discreta de atividades maliciosas. A primeira falha detectada durante tal ataque, conhecida como “Use-After-Free”, refere-se ao Internet Explorer e permite que invasores realizem a execução de código remotamente.
No entanto, pelo fato de o Internet Explorer funcionar em um ambiente isolado, os criminosos precisavam de mais privilégios na máquina infectada. Por este motivo, foi necessária a segunda vulnerabilidade no Windows que se aproveita de uma falha no serviço de impressão. Este exploit de elevação de privilégios – atribuído como CVE-2020-0986 – permite que os invasores executem códigos arbitrários no dispositivo da vítima.
"Quando acontecem ataques por meio de vulnerabilidades zero day, isso sempre é uma notícia importante para a comunidade de cibersegurança. A detecção bem-sucedida dessas vulnerabilidades pressiona os fabricantes a emitir imediatamente uma correção para o software e também reforça a necessidade de atualização dele pelos usuários", explica Boris Larin, especialista em segurança da Kaspersky.
"Os exploits anteriores que encontramos envolvem principalmente a elevação de privilégios, sendo que um deles explora funcionalidades de execução de código remoto, o que é mais perigoso. Associado à capacidade de afetar as versões mais recentes do Windows 10, o ataque descoberto é realmente raro hoje em dia. Ele nos lembra mais uma vez de investir em inteligência de ameaças e tecnologias de proteção de qualidade para poder detectar proativamente as mais recentes ameaças desconhecidas”, finaliza.
A correção para a vulnerabilidade de elevação de privilégios CVE-2020-0986 foi lançada em 9 de junho de 2020. Já a correção para a vulnerabilidade de execução de código remoto CVE-2020-1380 foi disponibilizada em 11 de agosto de 2020.
Fonte: Kaspersky