banner senha segura
senhasegura
window-1231893_1280.jpg

Zero days explorados no Chrome e no Windows

Grupo Puzzlemaker atacou com exploit ainda desconhecido vulnerabilidades no Chrome, Chromium e Windows
Da Redação
10/06/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Várias empresas foram atacadas no mundo inteiro em abril com exploits direcionados a zero days no Chrome e no Windows. O alerta sobre esses ataques foi feito pelos especialistas da Kaspersky, porque os exploits conseguiam comprometer redes e permanecer invisíveis. Uma das ameaças conseguia executar comandos no Chrome e a outra obtinha privilégios de administrador no sistema para atacar as novas versões do Windows 10. Este último aproveita duas vulnerabilidades no kernel do Windows, identificadas como CVE-2021-31955 e CVE-2021-31956. Ambas foram corrigidas no Patch Tuesday desta semana.

O pessoal da Kaspersky ainda não encontrou nenhuma conexão entre esses ataques e os grupos APTs. Por isso, a empresa está chamando o grupo de PuzzleMaker.

Todos os ataques foram realizados pelo navegador Google Chrome e utilizaram um exploit que permitia a execução remota de comandos. Infelizmente, os pesquisadores da Kaspersky não conseguiram recuperar os códigos que o exploit executava remotamente, mas sua cronologia e disponibilidade sugere que os atacantes estavam usando a vulnerabilidade CVE-2021-21224, agora corrigida. Essa vulnerabilidade estava relacionada a um bug de tipos incompatíveis no V8 – um mecanismo JavaScript usado pelos navegadores Chrome e Chromium. Ela permite que os atacantes explorem o processo do renderização do Chrome – que são as ações responsáveis pelo que acontece dentro da guia dos usuários.

Veja isso
Novo malware usa ICMP para capturar código de ataque
Kaspersky e Alias Robotics firmam acordo para proteger robôs

De qualquer forma, os especialistas da Kaspersky conseguiram localizar e analisar o segundo exploit: um malware com a função de obter privilégios no sistema operacional e que explora duas vulnerabilidades diferentes no núcleo do Windows. A primeira é uma vulnerabilidade de divulgação de informações (que vaza informações sigilosas do kernel), atribuída como CVE-2021-31955. Especificamente, essa vulnerabilidade está relacionada ao SuperFetch – um recurso introduzido no Windows Vista que tem como objetivo reduzir o tempo de carregamento dos aplicativos mais usados, através de um pré-carregamento na memória.

A segunda vulnerabilidade – de elevação de privilégios (que permite que os atacantes explorem o kernel para ganhar permissões de administrador no computador) – foi atribuída com o nome CVE-2021-31956, trata-se de um estouro de buffer baseado no heap. Os atacantes usaram esta vulnerabilidade junto com o Windows Notification Facility (WNF) para executar malware no sistema.

Os exploits do Chrome e do Windows eram apenas a forma de entrar e permanecer no sistema-alvo. Após esta etapa, o ataque ainda conta com uma fase de preparação – que usa um dropper de malware complexo – e a instalação de dois executáveis que se passam como arquivos legítimos do sistema operacional Windows. Entre as funcionalidades destes malware estão a capacidade de baixar e fazer upload de arquivos, a criação de processos, colocar-se em suspensão por um determinado tempo e efetuar sua autoexclusão no sistema infectado.

“Embora esses ataques sejam altamente direcionados, ainda precisamos associá-los a algum grupo especializado. Por isso o apelidamos de “PuzzleMaker” e vamos monitorar de perto suas atividades e novos insights sobre o grupo. No geral, temos observados várias ondas de atividade maliciosas usando exploits desconhecidos (zero-day). Trata-se de um lembrete de que as vulnerabilidades continuam sendo um método eficaz de infecção. Agora que essas vulnerabilidades foram corrigidas e tornaram-se públicas, é possível que haja um aumento em seu uso por outros grupos. Em outras palavras, é importantíssimo que as empresas instalem essas correções o mais rápido possível”, comenta Boris Larin, pesquisador sênior em segurança da Kaspersky.

Com informações da assessoria de imprensa

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório