Invasores conseguiam privilégios elevados no computador infectado e burlavam mecanismos de proteção do navegador Google Chrome. O exploit foi utilizado em uma campanha maliciosa chamada “WizardOpium”
As tecnologias automatizadas de detecção da Kaspersky descobriram uma vulnerabilidade desconhecida (0-Day) no Windows. Usando um exploit para ela, os invasores conseguiram privilégios elevados no computador infectado e burlaram mecanismos de proteção no navegador Google Chrome. O exploit foi utilizado em uma campanha maliciosa avançada chamada “WizardOpium”. A nova vulnerabilidade do Windows foi descoberta pelos pesquisadores da Kaspersky ao analisarem outro ataque do mesmo tipo. No mês passado, a tecnologia de prevenção de exploits da companhia detectou um exploit de desconhecido no Google Chrome. Ele permitia que invasores executassem códigos à sua escolha na máquina da vítima. Pesquisando melhor a operação, que os especialistas batizaram de ‘WizardOpium’, foi descoberta outra vulnerabilidade desconhecida, dessa vez no sistema operacional Windows.
O exploit do Windows (registrado como CVE-2019-1458) estava incorporado ao exploit do Google Chrome descoberto anteriormente. Usado para obter privilégios elevados na máquina infectada, ele escapava inclusive da sandbox de processos do Chrome, um componente criado para proteger o navegador e o computador da vítima de ataques maliciosos.
A análise detalhada do exploit mostrou que a vulnerabilidade utilizada pertence ao driver win32k.sys. Era possível usá-la indevidamente nas versões corrigidas mais recentes do Windows 7 e até em algumas versões do Windows 10 (as novas versões do Windows 10 não são afetadas).
A vulnerabilidade foi informada à Microsoft e corrigida em 10 de dezembro de 2019. Anton Ivanov, especialista em segurança da Kaspersky, explica que esse tipo de ataque exige muitos recursos, mas traz vantagens para os atacantes: “O número de ameaças de ‘0-Day’ ativas continua aumentando e é pouco provável que esta tendência desapareça. As organizações precisam recorrer aos relatórios de inteligência de ameaças mais recentes e usar tecnologias de proteção capazes de encontrar ameaças desconhecidas de maneira proativa”.
