No final do primeiro semestre de 2020, as tecnologias de detecção automatizada da Kaspersky evitaram um ataque direcionado a uma empresa sul-coreana. A análise detalhada mostrou que o ataque usou um novo mecanismo de infecção que utilizava duas vulnerabilidades desconhecidas (zero-day): um exploit de execução de código remoto no Internet Explorer 11 e outro de elevação de privilégios (EoP) no Windows. Esta última visava as versões mais recentes do Windows 10.
Uma falha zero-day são bugs no software que eram desconhecidos. E, uma vez descobertos, permitem a execução discreta de atividades maliciosas, capazes de causar danos graves e inesperados. Durante a apuração do ataque, os analistas da Kaspersky encontraram duas dessas vulnerabilidades. A primeira, conhecida como “Use-After-Free”, refere-se ao Internet Explorer e permite que invasores realizem a execução de código remotamente. Este exploit foi atribuído como CVE-2020-1380.
No entanto, pelo fato de o Internet Explorer funcionar em um ambiente isolado, os hackers precisavam de mais privilégios na máquina infectada. Por este motivo, foi necessária a segunda vulnerabilidade no Windows que se aproveita de uma falha no serviço de impressão. Este exploit de elevação de privilégios (EoP) – atribuído como CVE-2020-0986 – permite que os invasores executem códigos arbitrários no dispositivo da vítima.
“Quando acontecem ataques por meio de vulnerabilidades ‘zero-day’, isso sempre é uma notícia importante para a comunidade de cibersegurança. A detecção bem-sucedida dessas vulnerabilidades pressiona os fabricantes a emitir imediatamente uma correção para o software e também reforça a necessidade de atualização dele pelos usuários. Os exploits anteriores que encontramos envolvem principalmente a elevação de privilégios, sendo que um deles explora funcionalidades de execução de código remoto, o que é mais perigoso. Associado à capacidade de afetar as versões mais recentes do Windows 10, o ataque descoberto é realmente raro hoje em dia. Ele nos lembra mais uma vez de investir em inteligência de ameaças e tecnologias de proteção de qualidade para poder detectar proativamente as mais recentes ameaças desconhecidas”, comenta Boris Larin, especialista em segurança da Kaspersky.
Especialistas da Kaspersky afirmaram ainda ter encontrado pequenas semelhanças dessa nova exploit com outras detectadas anteriormente e atribuídas ao DarkHotel, o que levanta a suposição que o ataque tenha sido feito pelo mesmo grupo. Informações detalhadas sobre os Indicadores de Comprometimento relacionados ao DarkHotel, incluindo hashes de arquivos e servidores C2, podem ser acessadas no Kaspersky Threat Intelligence Portal.
Os produtos da Kaspersky detectam essas exploits com o veredito PDM:Exploit.Win32.Generic.
A correção para a vulnerabilidade de elevação de privilégios CVE-2020-0986 foi lançada em 9 de junho de 2020. Já a correção para a vulnerabilidade de execução de código remoto CVE-2020-1380 foi disponibilizada em 11 de agosto de 2020.
A Kaspersky recomenda adotar as seguintes medidas de segurança para se proteger da ameaça:
• Instale as correções da Microsoft para as novas vulnerabilidades o mais rápido possível. Depois que os dois patches forem baixados, não será mais possível explorar as vulnerabilidades.
• Permita que a equipe SOC tenha acesso a relatórios de inteligência de ameaças mais recente. O Kaspersky Threat Intelligence Portal é um ponto único de acesso ao serviço de inteligência de ameaças da companhia, fornecendo dados e insights de ciberataques que vem sendo coletados pela Kaspersky há mais de 20 anos.
• Para a detecção, investigação e rápida neutralização de incidentes em nível de endpoints, implemente soluções de EDR, como o Kaspersky Endpoint Detection and Response e o Kaspersky EDR Optimum.
• Além de adotar a proteção de endpoints essencial, implemente uma solução de segurança de nível corporativo, capaz de detectar ameaças avançadas em nível de rede precocemente, como a Kaspersky Anti Targeted Attack Platform.
