Criminosos chineses exploram falha de dia zero do Windows para infectar usuários
Por Dácio Castelo Branco | Editado por Claudio Yuge | 13 de Outubro de 2021 às 15h14
E o mundo da segurança digital continua ganhando novas ameaças em um ritmo rápido. Segundo informações divulgadas em um relatório feito pela firma de segurança Kaspersky, um grupo de criminosos chineses usou uma vulnerabilidade de dia zero (até então desconhecida desde o lançamento do software) que afetava do Windows 7 até o Windows 11 para a distribuição de um malware cavalo de troia com capacidades de acesso remoto.
- Criminoso usava rede de 100 mil aparelhos em ataques de negação de serviço
- Microsoft adicionará proteção contra ataques Bronze Bit em sistema de segurança
- Falha do LibreOffice e do OpenOffice permite a alteração de assinaturas digitais
A vulnerabilidade de dia zero do Windows, identificada pelo código CVE-2021-40449, permite que terceiros modifiquem privilégios de arquivos e processos no sistema, permitindo assim que invasores que se aproveitem da brecha possam realizar funções de administradores na máquina. O estudo divulgado pela Kaspersky também afirma que essa falha já havia sido identificada com outros códigos, como o CVE-2016-3309, de 2016, mas que uma análise mais aprofundada mostrou que se trata de um problema de dia zero, presente em versões anteriores do Windows.
A vulnerabilidade de dia-zero foi corrigida pela Microsoft na terça (12). Ela afetava desde o Windows 7 e Windows Server 2008 até o Windows Server 2022 e o recém-lançado Windows 11, mas a Kaspersky afirma só ter encontrado sinais de uso ativo da falha nos sistemas feitos para gerenciamento e controle de servidores.
Segundo o relatório da Kaspersky, o cavalo de troia chamado MisterySnail em várias máquinas executando Windows Servers, versão do sistema com foco em controle de servidores, entre o final de agosto e começo de setembro de 2021. A pesquisa afirma que os criminosos usavam a vulnerabilidade do Windows CVE-2021-40449 para modificar privilégios e infectar os sistemas com o malware.
O MysterySnail, após infectar uma máquina, consegue realizar uma série de funções, como a criação e encerramento de processos, monitoramento de armazenamento externo e o uso de interfaces interativas para disfarçar dos usuários ações que estão sendo executadas pela ameaça.
Semelhanças
Boris Larin e Costin Raiu, pesquisadores da Kaspersky, afirmaram que durante a análise do MysterySnail, foram identificados ameaças datadas desde 2012 usadas em golpes de espionagem contra empresas de TI, setores militares e instituições diplomáticas, que contam com semelhanças com o cavalo de tróia recém-descoberta, principalmente na estrutura de comando e controle (usada para que os criminosos possam controlar o malware a distância) e no código.
Os pesquisadores citam em especial o IronHusky APT, ameaça persistente avançada chinesa que foi identificada pela primeira vez pela Kaspersky em 2017, enquanto realizava ataques contra instituições da Rússia e da Mongólia, como entidades governamentais,companhias de aviação e institutos de pesquisa, com o objetivo de coletar informações sobre as negociações militares entre os dois países.
É recomendado que, para se proteger do MisterySnail, todos os usuários dos sistemas Windows realizem a instalação da correção de segurança disponibilizada pela Microsoft na terça (12), principalmente se fizerem uso das versões Windows Server lançadas a partir de 2008. O processo de aplicação da atualização pode ser encontrado aqui.
Fonte: BleepingComputer, ITpro, SecureList, Microsoft