Uma análise detalhada da vulnerabilidade CVE-2021-1732 usada pelo grupo BITTER APT e encontrada no início do ano permitiu que os pesquisadores da Kaspersky descobrissem mais uma vulnerabilidade desconhecida (zero day) em um programa da Microsoft. A empresa foi informada em fevereiro, assim que a falha foi descoberta. Após a confirmação do fato pela desenvolvedora, esta vulnerabilidade recebeu a designação CVE-2021-28310.
Uma vulnerabilidade zero day é um bug no programa que é desconhecido pelo seu desenvolvedor e que permite que um invasor realize atividades maliciosas de maneira silenciosa, caso seja descoberta. Segundo os pesquisadores da Kaspersky, a nova vulnerabilidade está ativa e possivelmente usada por vários grupos especializados em ataques direcionados.
Ela foi classificada como uma vulnerabilidade que permite elevar os privilégios (escalation of privilege ou EoP, em inglês) do usuário e foi encontrada no programa Desktop Window Manager. Além disso, é possível usá-la para executar atividades maliciosas na máquina da vítima. Segundo os pesquisadores da Kaspersky é provável que a vulnerabilidade CVE-2021-28310 esteja sendo usada em conjunto com vulnerabilidades presentes nos navegadores para, dessa forma, evitar a detecção pelo uso de tecnologias de Sandbox ou para obter privilégios para ampliar o acesso ao sistema.
A investigação inicial da Kaspersky não revelou toda a cadeia de infecção em que este exploit foi usado, então ainda não se sabe se essa vulnerabilidade foi usada com alguma outra vulnerabilidade zero day, ou se estava relacionada a falhas que já foram corrigidas. Os especialistas ainda não conseguiram associar se essa possível segunda vulnerabilidade estaria conectada a algum outro grupo especializado em ataques direcionados.
“A vulnerabilidade CVE-2021-28310 foi identificada inicialmente por nossa tecnologia de prevenção avançada contra exploits (AEP). Sempre reforçamos nossa missão de proteger nossos clientes e também trabalhamos em conjunto com o desenvolver para corrigi-la e garantir a segurança de todos. Este processo é chamado de divulgação responsável e deve ser adotado por todos que trabalham no mercado”, defende Fabio Assolini, analista de segurança sênior da Kaspersky no Brasil.
Para se proteger deste tipo de ameaça, a Kaspersky recomenda adotar as seguintes medidas de segurança:
• Instale as atualizações e correções nos programas e sistemas operacionais sempre que elas forem disponibilizadas. Uma vez corrigidas, os grupos que comandam o exploit não poderão mais usá-lo para infectar um dispositivo.
• Use uma solução de segurança que ofereça o gerenciamento de vulnerabilidades e correções para automatizar este processos e manter os equipamentos sempre protegidos e atualizado.
• Permita que sua equipe de segurança ou SOC tenha acesso a relatórios inteligência com informações de novas ameaças. Além de saber sobre novas vulnerabilidade em primeira mão, as informações permitem que sua equipe atue proativamente na detecção e combate de incidentes.
• Além do proteção tradicional, é importante contar com soluções avançadas, capazes de detectar ameaças complexas atuando na rede corporativa e no estágio inicial.