Windows tem quinta vulnerabilidade crítica descoberta pela Kaspersky

Pela quinta vez, uma vulnerabilidade de dia zero (zero day) foi descoberta no Windows pela Kaspersky. Segundo a empresa de segurança e pesquisa, a falha assegurava controles administrativos, dando o controle total da máquina ao invasor por meio de um acesso direto ao núcleo (kernel) do sistema, feito através da ativação de um backdoor desenvolvido com um elemento legítimo e essencial do sistema operacional, o script conhecido como “PowerShell”.

Detalhando o ataque, a Kaspersky disse que uma vez que o arquivo malicioso é executado, a instalação do malware tem início, explorando a vulnerabilidade em questão e obtendo privilégios de usuário para se manter instalada na máquina da vítima. Em seguida, é ativado o backdoor mencionado para que o malware se mantenha escondido, longe de detecção. Um outro backdoor é baixado a partir de um serviço popular e legítimo de armazenamento de texto, que por sua vez dá aos criminosos controle total sobre o sistema infectado.

“Observamos neste ataque duas grandes tendências que frequentemente vemos em Ameaças Avançadas Persistentes (APTs, Advanced Persistent Threats)”, explica Anton Ivanov, especialista em segurança da Kaspersky.

“Primeiro, o uso de exploits que fazem o escalonamento local de privilégios para se manter na máquina da vítima. Segundo, o uso de recursos legítimos, como o Windows PowerShell, para atividades maliciosas na máquina da vítima. Essa combinação oferece aos grupos especializados a capacidade de contornar as soluções de segurança básicas. Para detectar tais técnicas, a solução de segurança deve usar mecanismos de prevenção de exploit e de detecção comportamental”.

Os exploits a seguir foram detectados pela empresa, em relação à nova ameaça: “HEUR:Exploit.Win32.Generic”, “HEUR:Trojan.Win32.Generic” e “PDM:Exploit.Win32.Generic”. A vulnerabilidade foi relatada à Microsoft, que corrigiu o problema via atualização em 10 de abril de 2019.