windows-10-1535765_1280.jpg

Falhas de ‘dia zero’ no Windows e IE permitem ataques direcionados

Exploit permite a execução de códigos remotos e arbitrários e elevação de privilégios nos dispositivos atacados
Da Redação
12/08/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

No final do primeiro semestre, as tecnologias de detecção automatizada da Kaspersky evitaram um ataque direcionado a uma empresa sul-coreana. A análise detalhada mostrou que o ataque usou um novo mecanismo de infecção que utilizava duas vulnerabilidades desconhecidas (zero-day): um exploitde execução de código remoto no Internet Explorer 11 e outro de elevação de privilégios (EoP) no Windows. Esta última visava as versões mais recentes do Windows 10.

Uma falha zero-day são bugs no software que eram desconhecidos. E, uma vez descobertos, permitem a execução discreta de atividades maliciosas, capazes de causar danos graves e inesperados. Durante a apuração do ataque, os analistas da Kaspersky encontraram duas dessas vulnerabilidades. A primeira, conhecida como “Use-After-Free”, refere-se ao Internet Explorer e permite que invasores realizem a execução de código remotamente. Este exploit foi atribuído como CVE-2020-1380.

Veja isso
Brecha crítica no RCE do Explorer abre portas a invasores
Nova botnet explora vulnerabilidades do Windows SMB

No entanto, pelo fato de o Internet Explorer funcionar em um ambiente isolado, os hackers precisavam de mais privilégios na máquina infectada. Por este motivo, foi necessária a segunda vulnerabilidade no Windows que se aproveita de uma falha no serviço de impressão. Este exploit de elevação de privilégios (EoP) — atribuído como CVE-2020-0986 — permite que os invasores executem códigos arbitrários no dispositivo da vítima.

Especialistas da Kaspersky afirmaram ainda ter encontrado pequenas semelhanças desse novo exploit com outras detectadas anteriormente e atribuídas ao DarkHotel, o que levanta a suposição que o ataque tenha sido feito pelo mesmo grupo. A correção para a vulnerabilidade de elevação de privilégios CVE-2020-0986 foi lançada em 9 de junho. Já a correção para a vulnerabilidade de execução de código remoto CVE-2020-1380 foi disponibilizada nesta terça-feira, 11.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório