Em abril, os especialistas da Kaspersky descobriram uma série de ataques cibernéticos altamente direcionados usando explorações contra várias empresas que usavam zero-days não descobertos anteriormente para o Google Chrome e o Microsoft Windows. O novo agente de ameaças, PuzzleMaker, está em ação.
A Kaspersky não conseguiu se conectar a agentes de ameaças conhecidos até agora, por isso chama esse novo agente de ameaça de PuzzleMaker. Um dos exploits foi usado para execução remota de código no navegador Chrome, o outro foi usado para elevação de privilégio e teve como alvo as compilações mais recentes e populares do Windows 10. Este último explora duas vulnerabilidades no kernel do sistema operacional Microsoft Windows: a vulnerabilidade CVE-2021-31955 e a vulnerabilidade de elevação de privilégio CVE-2021-31956. A Microsoft corrigiu ambos ontem à noite como parte do Patch Tuesday.
Criador de Quebra-Cabeças Dia Zero
Nos últimos meses, houve várias atividades de ameaças avançadas que exploram dias zero. Em meados de abril, os especialistas da Kaspersky descobriram uma nova onda de ataques de exploração altamente direcionados contra várias empresas, onde os invasores podem comprometer secretamente as redes visadas. Todos os ataques foram realizados via Chrome e usaram um exploit que permitia a execução remota de código.
Os pesquisadores da Kaspersky não conseguiram obter o código para a exploração de execução remota, mas o tempo e a disponibilidade indicam que os invasores exploraram a vulnerabilidade agora corrigida CVE-2021-21224. Isso está relacionado a um bug de incompatibilidade de tipo no V8 - um mecanismo JavaScript usado pelos navegadores Chrome e Chromium. Isso permitiu que os agentes de ameaças explorassem o processo do renderizador do Chrome, que é responsável pelo que acontece dentro da guia do usuário.
Duas vulnerabilidades no kernel do Microsoft Windows
No entanto, os especialistas da Kaspersky conseguiram identificar e analisar a segunda exploração. Esta é uma exploração de Elevação de Privilégio que explora duas vulnerabilidades no kernel do sistema operacional Microsoft Windows. A primeira é uma vulnerabilidade de divulgação de informações chamada CVE-2021-31955 que vaza informações confidenciais do kernel. A vulnerabilidade está relacionada ao SuperFetch, um recurso introduzido pela primeira vez no Windows Vista que foi projetado para reduzir o tempo de carregamento de software pré-carregando aplicativos usados com frequência na memória.
A segunda é uma vulnerabilidade de elevação de privilégio que permite que invasores comprometam o kernel e obtenham acesso elevado ao computador. Ele tem a designação CVE-2021-31956 e é um estouro de buffer baseado em heap. Os invasores usaram a vulnerabilidade CVE-2021-31956 junto com o Windows Notification Facility (WNF) para criar primitivas arbitrárias de leitura e gravação na memória e executar módulos de malware com privilégios de sistema.
O conta-gotas de malware recarrega o módulo shell remoto
Depois que os invasores usaram as explorações do Chrome e do Windows para obter uma posição no sistema de destino, o módulo stager baixa e executa um dropper de malware mais sofisticado de um servidor remoto. Isso então instala dois arquivos executáveis disfarçados de arquivos legítimos do sistema operacional Microsoft Windows. O segundo desses dois executáveis é um módulo shell remoto capaz de fazer download e upload de arquivos, criar processos, ficar inativo por um determinado período de tempo e excluir-se do sistema infectado. A Microsoft lançou um patch para ambas as vulnerabilidades do Windows como parte do Patch Tuesday.
Mais em Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/