A Kaspersky descobriu uma vulnerabilidade zero day (dia zero) no Windows. Usando um exploit, os invasores conseguiram privilégios elevados no computador infectado e burlaram mecanismos de proteção no navegador Google Chrome. O exploit recém-descoberto foi usado em uma campanha maliciosa avançada chamada WizardOpium.
Kaspersky descobre novo ransomware que visa backups em rede
A nova vulnerabilidade do Windows foi descoberta pelos pesquisadores da Kaspersky graças a outro ataque do mesmo tipo. Em novembro de 2019, a tecnologia de prevenção de exploits da companhia conseguiu detectar um exploit de “dia zero” no Google Chrome. Ele permitia que invasores executassem códigos arbitrários na máquina da vítima. Pesquisando melhor a operação, que os especialistas chamaram de ‘WizardOpium’, foi descoberta outra vulnerabilidade desconhecida, dessa vez no sistema operacional Windows.
Assim, constatou-se que o novo exploit do Windows (CVE-2019-1458) estava incorporado no exploit do Google Chrome descoberto anteriormente. Ele foi usado para obter privilégios elevados na máquina infectada, além de escapar da Sandbox de processos do Chrome, um componente criado para proteger o navegador e o computador da vítima de ataques maliciosos.
A análise detalhada do exploit EoP mostrou que a vulnerabilidade utilizada pertence ao driver win32k.sys. Era possível usá-la indevidamente nas versões corrigidas mais recentes do Windows 7 e até em alguns builds do Windows 10 (as novas versões do Windows 10 não foram afetadas). A vulnerabilidade foi informada à Microsoft e corrigida em 10 de dezembro de 2019.
Para evitar a instalação de backdoors por meio da vulnerabilidade de “dia zero” do Windows, a Kaspersky recomenda adotar as seguintes medidas de segurança:
• Instale a correção da Microsoft para a nova vulnerabilidade assim que possível. Depois que ela for baixada, o grupo por trás do WizardOpium não poderá mais explorar esta vulnerabilidade;
• Se estiver preocupado com a segurança de toda a sua organização, não deixe de atualizar todo o software assim que um novo patch de segurança for lançado. Use produtos de segurança com funcionalidades de avaliação de vulnerabilidades e gerenciamento de correções para automatizar estes processos;
• Use uma solução de segurança de qualidade com funcionalidades de detecção baseadas em comportamento para identificar ameaças desconhecidas;
• Use a tecnologia de Sandbox para analisar objetos suspeitos.
Participe das comunidades IPNews no Facebook, LinkedIn e Twitter e comente as nossas reportagens.
