Kaspersky Lab descobre 5ª vulnerabilidade crítica no Windows

As tecnologias da Kaspersky Lab detectaram novamente uma vulnerabilidade desconhecida no Microsoft Windows. Ela estava sendo explorada por um grupo criminoso desconhecido na tentativa de obter o controle total sobre um dispositivo-alvo. O ataque visa o núcleo do sistema – seu kernel – por meio de um backdoor construído a partir de um elemento essencial do sistema operacional Windows.

Os backdoors são um tipo de malware extremamente perigosos, pois permitem que o criminoso controle as máquinas infectadas de forma discreta para fins maliciosos. Esconder um ganho de privilégios desses das soluções de segurança é algo difícil. No entanto, um backdoor que explora uma vulnerabilidade até então desconhecida (zero-day) tem significativamente mais chances de passar despercebida pelos radares, pois soluções comuns não reconhecerão a infecção do sistema e nem protegerão os usuários dessa ameaça desconhecida.

A tecnologia de prevenção contra exploits da Kaspersky Lab, no entanto, foi capaz de detectar a tentativa do malware de explorar uma vulnerabilidade desconhecida no sistema operacional Microsoft Windows. O contexto deste ataque foi o seguinte: uma vez que o arquivo malicioso foi executado, a instalação do malware teve início. Ela explorou uma vulnerabilidade de dia zero e obteve com sucesso privilégios para se manter na máquina da vítima. Em seguida o malware ativou um backdoor desenvolvido com um elemento legítimo do Windows, um script presente em todas as máquinas Windows chamada de PowerShell. Isso permitiu que o malware ficasse escondido e evitando sua detecção, sem falar na economia de tempo do criminoso que não precisou escrever o código para funções maliciosas. O malware então baixou outro backdoor a partir de um serviço popular e legítimo de armazenamento de texto, que por sua vez deu aos criminosos controle total sobre o sistema infectado.

“Observamos neste ataque duas grandes tendências que frequentemente vemos em Ameaças Avançadas Persistentes (APTs, Advanced Persistent Threats). Primeiro, o uso de exploits que fazem o escalonamento local de privilégios para se manter na máquina da vítima. Segundo, o uso de recursos legítimos, como o Windows PowerShell, para atividades maliciosas na máquina da vítima. Essa combinação oferece aos grupos especializados a capacidade de contornar as soluções de segurança básicas. Para detectar tais técnicas, a solução de segurança deve usar mecanismos de prevenção de exploit e de detecção comportamental”, explica Anton Ivanov, especialista em segurança da Kaspersky Lab.

Os produtos da Kaspersky Lab detectam esses exploits com os vereditos:

HEUR:Exploit.Win32.Generic
HEUR:Trojan.Win32.Generic
PDM:Exploit.Win32.Generic

A vulnerabilidade foi reportada para a Microsoft e corrigida no dia 10 de abril.

Para prevenir a instalação de backdoors por meio de vulnerabilidades desconhecidas, a Kaspersky Lab recomenda as seguintes medidas de segurança:

Instale a correção do Windows assim que possível. Uma vez disponível e instalada, o grupo criminoso não poderá mais explorar mais esta vulnerabilidade.
Se estiver preocupado com a segurança geral da organização, faça a atualização de todos os softwares assim que uma nova correção de segurança for lançada. Soluções se segurança com funções de Avaliação de Vulnerabilidades e Gerenciamento de Correções podem automatizar esses processos.
Use uma solução de segurança de ponta, como o Kaspersky Endpoint Security, que fornece detecções baseadas em comportamento que protegem contra ameaças desconhecidas.
Garanta que a equipe de segurança tenha acesso a relatórios de Threat Intelligence mais recente. Relatórios privados sobre as últimas evoluções do cenário de ameaças estão disponíveis para os clientes do serviço Kaspersky APT Intelligence Reporting. Para saber mais, contate: .
Igualmente importante, garanta que toda a sua equipe seja treinada nos conceitos básicos da higiene de cibersegurança.

Para mais detalhes sobre o novo exploit, acesse o relatório completo em Securelist.

Para saber mais sobre as tecnologias que detectaram esta e outras vulnerabilidades desconhecidas no Microsoft Windows, acesse o webinar Three Windows zero-days in three months: how we found them in the wild.
Sobre a Kaspersky Lab
A Kaspersky Lab é uma empresa internacional de cibersegurança que tem mais de 21 anos de operações no mercado. A detalhada inteligência de ameaças e a especialização em segurança da Kaspersky Lab se transformam continuamente em soluções e serviços de segurança da próxima geração para proteger empresas, infraestruturas críticas, governos e consumidores finais do mundo inteiro. O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky Lab, e ajudamos 270.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais em www.kaspersky.com.br.
Copyright © 2014 JeffreyGroup Brasil, All rights reserved.

Informações para a Imprensa:

JeffreyGroup Brasil -