Falhas de ‘dia zero’ no Windows e IE permitem ataques direcionados

No final do primeiro semestre, as tecnologias de detecção automatizada da Kaspersky evitaram um ataque direcionado a uma empresa sul-coreana. A análise detalhada mostrou que o ataque usou um novo mecanismo de infecção que utilizava duas vulnerabilidades desconhecidas (zero-day): um exploitde execução de código remoto no Internet Explorer 11 e outro de elevação de privilégios (EoP) no Windows. Esta última visava as versões mais recentes do Windows 10.

Uma falha zero-day são bugs no software que eram desconhecidos. E, uma vez descobertos, permitem a execução discreta de atividades maliciosas, capazes de causar danos graves e inesperados. Durante a apuração do ataque, os analistas da Kaspersky encontraram duas dessas vulnerabilidades. A primeira, conhecida como “Use-After-Free”, refere-se ao Internet Explorer e permite que invasores realizem a execução de código remotamente. Este exploit foi atribuído como CVE-2020-1380.

Veja isso
Brecha crítica no RCE do Explorer abre portas a invasores
Nova botnet explora vulnerabilidades do Windows SMB

No entanto, pelo fato de o Internet Explorer funcionar em um ambiente isolado, os hackers precisavam de mais privilégios na máquina infectada. Por este motivo, foi necessária a segunda vulnerabilidade no Windows que se aproveita de uma falha no serviço de impressão. Este exploit de elevação de privilégios (EoP) — atribuído como CVE-2020-0986 — permite que os invasores executem códigos arbitrários no dispositivo da vítima.

Especialistas da Kaspersky afirmaram ainda ter encontrado pequenas semelhanças desse novo exploit com outras detectadas anteriormente e atribuídas ao DarkHotel, o que levanta a suposição que o ataque tenha sido feito pelo mesmo grupo. A correção para a vulnerabilidade de elevação de privilégios CVE-2020-0986 foi lançada em 9 de junho. Já a correção para a vulnerabilidade de execução de código remoto CVE-2020-1380 foi disponibilizada nesta terça-feira, 11.