As tecnologias da Kaspersky Lab detectaram novamente uma vulnerabilidade desconhecida no Microsoft Windows. Ela estava sendo explorada por um grupo criminoso desconhecido na tentativa de obter o controle total sobre um dispositivo-alvo. O ataque visa o núcleo do sistema – seu kernel – por meio de um backdoor construído a partir de um elemento essencial do sistema operacional Windows.
Os backdoors são um tipo de malware extremamente perigosos, pois permitem que o criminoso controle as máquinas infectadas de forma discreta para fins maliciosos. Esconder um ganho de privilégios desses das soluções de segurança é algo difícil. No entanto, um backdoor que explora uma vulnerabilidade até então desconhecida (zero-day) tem significativamente mais chances de passar despercebida pelos radares, pois soluções comuns não reconhecerão a infecção do sistema e nem protegerão os usuários dessa ameaça desconhecida.
A tecnologia de prevenção contra exploits da Kaspersky Lab, no entanto, foi capaz de detectar a tentativa do malware de explorar uma vulnerabilidade desconhecida no sistema operacional Microsoft Windows. O contexto deste ataque foi o seguinte: uma vez que o arquivo malicioso foi executado, a instalação do malware teve início. Ela explorou uma vulnerabilidade de dia zero e obteve com sucesso privilégios para se manter na máquina da vítima. Em seguida o malware ativou um backdoor desenvolvido com um elemento legítimo do Windows, um script presente em todas as máquinas Windows chamada de PowerShell.
Isso permitiu que o malware ficasse escondido e evitando sua detecção, sem falar na economia de tempo do criminoso que não precisou escrever o código para funções maliciosas. O malware então baixou outro backdoor a partir de um serviço popular e legítimo de armazenamento de texto, que por sua vez deu aos criminosos controle total sobre o sistema infectado.
“Observamos neste ataque duas grandes tendências que frequentemente vemos em Ameaças Avançadas Persistentes (APTs, Advanced Persistent Threats). Primeiro, o uso de exploits que fazem o escalonamento local de privilégios para se manter na máquina da vítima. Segundo, o uso de recursos legítimos, como o Windows PowerShell, para atividades maliciosas na máquina da vítima. Essa combinação oferece aos grupos especializados a capacidade de contornar as soluções de segurança básicas. Para detectar tais técnicas, a solução de segurança deve usar mecanismos de prevenção de exploit e de detecção comportamental”, explica Anton Ivanov, especialista em segurança da Kaspersky Lab.
Os produtos da Kaspersky Lab detectam esses exploits com os vereditos:
- HEUR:Exploit.Win32.Generic
- HEUR:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic
A vulnerabilidade foi reportada para a Microsoft e corrigida no dia 10 de abril.
Para prevenir a instalação de backdoors por meio de vulnerabilidades desconhecidas, a Kaspersky Lab recomenda as seguintes medidas de segurança:
- Instale a correção do Windows assim que possível. Uma vez disponível e instalada, o grupo criminoso não poderá mais explorar mais esta vulnerabilidade.
- Se estiver preocupado com a segurança geral da organização, faça a atualização de todos os softwares assim que uma nova correção de segurança for lançada. Soluções se segurança com funções de Avaliação de Vulnerabilidades e Gerenciamento de Correções podem automatizar esses processos.
- Use uma solução de segurança de ponta, como o Kaspersky Endpoint Security, que fornece detecções baseadas em comportamento que protegem contra ameaças desconhecidas.
- Igualmente importante, garanta que toda a sua equipe seja treinada nos conceitos básicos da higiene de cibersegurança.
Para mais detalhes sobre o novo exploit, acesse o relatório completo em Securelist.
Para saber mais sobre as tecnologias que detectaram esta e outras vulnerabilidades desconhecidas no Microsoft Windows, acesse o webinar Three Windows zero-days in three months: how we found them in the wild.
