Pesquisadores da Kaspersky Lab descobrem vulnerabilidade no Windows

Da Redação
10 de outubro de 2018 - 16h00
Vulnerabilidade do tipo zero-day tinha como alvo clientes corporativos no Oriente Médio; Microsoft reparou brecha de segurança nesta semana

Pesquisadores da Kaspersky Lab detectaram tentativas de ciberataques direcionados que exploravam vulnerabilidade do tipo zero-day no sistema operacional da Microsoft. As ações maliciosas tinham como alvo clientes corporativos e foram detectadas pela solução Kaspersky Lab Automatic Exploit Prevention, incorporada na maioria das soluções endpoint ofertadas pela empresa. Os ataques recorriam a um novo malware que explorava uma vulnerabilidade anteriormente desconhecida no Windows. A Kaspersky informa que reportou a brecha a Microsoft assim que foi descoberta e que a companhia de Seattle já reparou a vulnerabilidade no dia 9 de outubro.

Com o ataque, cibercriminosos buscavam ganhar acesso aos sistemas de vítimas no Oriente Médio.  A Kaspersky ressalta que um ataque do tipo zero-day por meio de uma vulnerabilidade é uma das ciberameaças mais perigosas, uma vez que envolve a exploração de uma vulnerabilidade que ainda está a ser descoberta e reparada. Se for encontrada por agentes maliciosos, uma vulnerabilidade dessas pode ser usado para a criação de um exploit que irá abrir acesso para todo o sistema. Este cenário de ataque é amplamente usado por agentes sofisticados em ataques APT, e foi utilizado neste caso indicado pela Kaspersky.

O exploit descoberto foi entregue às vítimas por meio de uma backdoor PowerShell. Depois, executado de forma que pudesse obter os privilégios necessários para os sistemas-alvo. Os pesquisadores da Kaspersky dizem que o código do malware é altamente sofisticado e foi escrito para permitir a exploração confiável de quantas builds Windows fossem possíveis. 

Os ataques tinham como alvo cerca de 12 organizações diferentes no Oriente Médio e aconteceram no último verão dos Estados Unidos. A suspeita da Kaspersky é que o ator por trás do ataque poderia ser relacionado ao grupo FruitArmor, uma vez que uma backdoor PowerShell já foi usada por esse grupo no passado. 

"Quando falamos de vulnerabilidades do tipo zero-day, é crítico monitorar ativamente o cenário de ameaças para novos exploits. Na Kaspersky Lab, nossa constante pesquisa de inteligência de ameaças visa não somente encontrar novos ataques, e estabelecer os alvos de diferentes atores de ameaças, como também estamos empenhados em aprender que tecnologias maliciosas esses criminosos usam. Como resultado de nossa pesquisa, temos uma camada básica de tecnologias de detecção que nos permitem impedir ataques - como o que pretendia usar essa vulnerabilidade ”, disse Anton Ivanov, especialista em segurança da Kaspersky Lab.