Ataques direcionados: o Kaspersky detecta explorações de dia zero no sistema operacional Windows e no Internet Explorer. O ator DarkHotel do APT pode estar por trás das façanhas.
No final da primavera de 2020, as tecnologias de detecção automatizada da Kaspersky impediram um ataque direcionado a uma empresa sul-coreana. Ao examinar o ataque mais de perto, os pesquisadores da Kaspersky descobriram duas vulnerabilidades anteriormente desconhecidas: uma exploração para executar código estrangeiro no Internet Explorer 11 e uma exploração de Elevação de Privilégios (EoP) para obter direitos de acesso mais altos nas versões atuais do Windows 10. Patches para ambos exploits já foram liberados.
Vulnerabilidades de dia zero são bugs de software previamente desconhecidos. Até serem descobertos, os invasores podem usá-los silenciosamente para atividades maliciosas e causar sérios danos.
Explorar no sistema operacional Windows
Os pesquisadores da Kaspersky descobriram duas vulnerabilidades de dia zero enquanto investigavam um ataque direcionado na Coréia. O primeiro exploit "use-after-free" para o Internet Explorer é capaz de executar remotamente código estrangeiro e recebeu a designação CVE-2020-1380. No entanto, como o Internet Explorer funciona em um ambiente isolado, os invasores precisavam de direitos adicionais nos dispositivos infectados. Eles receberam isso por meio de um segundo exploit no sistema operacional Windows. A exploração aproveitou uma vulnerabilidade no serviço de impressão e permitiu a execução de código arbitrário. A exploração no sistema operacional é chamada CVE-2020-0986.
"Ataques reais com vulnerabilidades de dia zero 'na natureza' sempre atraem muito interesse no cenário de segurança cibernética", explica Boris Larin, especialista em segurança da Kaspersky. “A descoberta bem-sucedida de tais vulnerabilidades pressiona os fornecedores a liberar patches imediatamente e força os usuários a instalar as atualizações necessárias. O que é particularmente interessante sobre o ataque descoberto é que os exploits anteriores eram principalmente para obter privilégios mais altos. No entanto, este caso inclui um exploit com recursos de execução remota de código, tornando-o mais perigoso. Juntamente com a capacidade de afetar as compilações mais recentes do Windows 10, o ataque detectado é realmente uma coisa rara atualmente. Isso deve nos lembrar de investir em inteligência superior contra ameaças e tecnologias de proteção comprovadas para detectar ativamente as mais recentes ameaças de dia zero.”
O grupo DarkHotel está por trás das explorações de dia zero?
Os especialistas da Kaspersky suspeitam que o grupo DarkHotel possa estar por trás do ataque, já que a nova exploração tem certas semelhanças com ataques anteriores realizados pelo DarkHotel. O Kaspersky Threat Intelligence Portal fornece informações detalhadas sobre o IoC (indicadores de comprometimento) desse grupo, incluindo hashes de arquivos e servidores C&C. As soluções da Kaspersky detectam as explorações como PDM:Exploit.Win32.Generic.
O patch para a vulnerabilidade relacionada a direitos CVE-2020-0986 foi lançado em 9 de junho de 2020, um para a execução de código estrangeiro (CVE-2020-1380) em 11 de agosto de 2020.
Recomendações de segurança da Kaspersky
- Os patches da Microsoft devem ser instalados o mais rápido possível, pois os invasores não poderão mais explorar essas vulnerabilidades descobertas.
- As equipes de SOC devem ter acesso a informações atualizadas sobre ameaças. O Kaspersky Threat Intelligence Portal pode servir como um balcão único. Ele fornece dados abrangentes sobre ataques cibernéticos e insights que a Kaspersky acumulou ao longo de mais de 20 anos.
- As soluções de EDR, como o Kaspersky Endpoint Detection and Response, ajudam a detectar, investigar e resolver rapidamente incidentes de endpoint.
- Além disso, as empresas devem usar soluções de segurança que detectam ameaças complexas nos estágios iniciais no nível da rede, como o Kaspersky Anti Targeted Attack Platform.
Mais informações sobre essas explorações recém-descobertas estão disponíveis em um relatório em inglês.
Mais sobre isso no SecureList em Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/