Em abril, os especialistas da Kaspersky descobriram uma série de ataques direcionados contra várias empresas e que utilizava exploits (código que explora vulnerabilidades) desconhecidos (zero-day) no Google Chrome e do Microsoft Windows. Uma das ameaças conseguia executar comandos no navegador Chrome e a outra conseguia obter privilégios de administrador no sistema para atacar as novas versões (builds) do Windows 10. Este último exploit faz uso de duas vulnerabilidades no núcleo (kernel) do sistema operacional Windows, que foram identificadas como CVE-2021-31955 e CVE-2021-31956. A Microsoft acaba de publicar as correções para ambas vulnerabilidades hoje, dentro do Patch Tuesday.

Nos últimos meses, houve uma onda de atividades maliciosas avançadas envolvendo exploits desconhecidos. Em meados de abril, os especialistas da Kaspersky descobriram ataques de exploits direcionados contra empresas que permitiam que os atacantes comprometessem as redes, permanecendo invisíveis.

A Kaspersky ainda não encontrou nenhuma conexão entre esses ataques e os grupos especializados conhecidos. Por isso, a empresa está chamando este grupo de PuzzleMaker.

Todos os ataques foram realizados pelo navegador Google Chrome e utilizaram um exploit que permitia a execução remota de comandos. Infelizmente, os pesquisadores da Kaspersky não conseguiram recuperar os códigos que o exploit executava remotamente, mas sua cronologia e disponibilidade sugere que os atacantes estavam usando a vulnerabilidade CVE-2021-21224, agora corrigida. Essa vulnerabilidade estava relacionada a um bug de tipos incompatíveis no V8 - um mecanismo JavaScript usado pelos navegadores Chrome e Chromium. Ela permite que os atacantes explorem o processo do renderização do Chrome - que são as ações responsáveis pelo que acontece dentro da guia dos usuários.

De qualquer forma, os especialistas da Kaspersky conseguiram localizar e analisar o segundo exploit: um malware com a função de obter privilégios no sistema operacional e que explora duas vulnerabilidades diferentes no núcleo do Windows. A primeira é uma vulnerabilidade de divulgação de informações (que vaza informações sigilosas do kernel), atribuída como CVE-2021-31955. Especificamente, essa vulnerabilidade está relacionada ao SuperFetch - um recurso introduzido no Windows Vista que tem como objetivo reduzir o tempo de carregamento dos aplicativos mais usados, através de um pré-carregamento na memória.

A segunda vulnerabilidade - de elevação de privilégios (que permite que os atacantes explorem o kernel para ganhar permissões de administrador no computador) - foi atribuída com o nome CVE-2021-31956, trata-se de um estouro de buffer baseado no heap. Os atacantes usaram esta vulnerabilidade junto com o Windows Notification Facility (WNF) para executar malware no sistema.

Os exploits do Chrome e do Windows eram apenas a forma de entrar e permanecer no sistema-alvo. Após esta etapa, o ataque ainda conta com uma fase de preparação - que usa um dropper de malware complexo - e a instalação de dois executáveis que se passam como arquivos legítimos do sistema operacional Windows. Entre as funcionalidades destes malware estão a capacidade de baixar e fazer upload de arquivos, a criação de processos, colocar-se em suspensão por um determinado tempo e efetuar sua autoexclusão no sistema infectado.

As vulnerabilidades foram corrigidas pela Microsoft hoje, como parte do Patch Tuesday.

"Embora esses ataques sejam altamente direcionados, ainda precisamos associá-los a algum grupo especializado. Por isso o apelidamos de "PuzzleMaker" e vamos monitorar de perto suas atividades e novos insights sobre o grupo. No geral, temos observados várias ondas de atividade maliciosas usando exploits desconhecidos (zero-day). Trata-se de um lembrete de que as vulnerabilidades continuam sendo um método eficaz de infecção. Agora que essas vulnerabilidades foram corrigidas e tornaram-se públicas, é possível que haja um aumento em seu uso por outros grupos. Em outras palavras, é importantíssimo que as empresas instalem essas correções o mais rápido possível", comenta Boris Larin, pesquisador sênior em segurança da Kaspersky.

Todos os produtos da Kaspersky detectam e bloqueiam a exploração das vulnerabilidades acima, assim como dos malware usados nos ataques. Para detalhes técnicos sobre os exploits, confira o Securelist .

Para proteger as organizações de ataques que exploram essas vulnerabilidades, a Kaspersky recomenda:

• Atualize o navegador Chrome e o Microsoft Windows assim que possível, e mantenha uma rotina de atualização.

• Conte com uma solução de segurança confiável, como o Kaspersky Endpoint Security for Business, que conta prevenção de exploits, gerenciamento de atualizações, detecção por comportamento e um mecanismo de neutralização capaz de reverter ações maliciosas.

• Instale soluções anti-APTs e de EDR, ativando as funcionalidades de descoberta e detecção de ameaças, investigação e rápida neutralização de incidentes.

• Dê acesso à equipe de SOC a relatórios de Threat Intelligence recentes e realize treinamentos de qualificação para que os profissionais saibam operar essas informações (actionable intelligence). Confira as ofertas da empresa na estrutura Kaspersky Expert Security.

• Caso a empresa não conte com uma equipe de investigação, identificação de ameaças e resposta à incidentes, é possível contratar este serviço de forma terceirizada, como pelo Kaspersky Managed Detection and Response, que permite agir nos primeiros estágios e evitar que o atacante alcance seu objetivo.

Sobre a Kaspersky

A Kaspersky é uma empresa internacional de cibersegurança e privacidade digital fundada em 1997. Seu conhecimento detalhado de Threat Intelligence e especialização em segurança se transformam continuamente em soluções e serviços de segurança inovadores para proteger empresas, infraestruturas industriais, governos e consumidores finais do mundo inteiro. O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky e ela ajuda 240.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais no site da empresa.