Tecnologia Kaspersky bloqueia ataques PuzzleMaker

Nossas tecnologias detectaram ataques direcionados envolvendo uma série de ataques 0-day.

Detecção de ameaças comportamentais e tecnologias de prevenção de exploits no Kaspersky Endpoint Security for Business identificaram uma onda de ataques altamente direcionados a várias empresas. Esses ataques usaram uma cadeia de exploits 0-day do navegador Google Chrome e vulnerabilidades do Microsoft Windows. As patches para as falhas estão disponíveis (atualização da Microsoft lançada em 8 de junho), portanto, recomendamos atualizar o navegador e o sistema operacional. Demos o nome de PuzzleMaker ao autor desses ataques.

O que há de tão perigoso nos ataques do PuzzleMaker?

Os invasores usam uma vulnerabilidade do Google Chrome para executar código malicioso na máquina alvo e continuam usando duas vulnerabilidades do Windows 10 para escapar da “sandbox” e obter privilégios de sistema. Eles continuam a carregar o primeiro módulo de malware (stager), para a máquina da vítima junto com um bloco de configuração personalizado (endereço do servidor de comando, ID de sessão, chaves de descriptografia para o próximo módulo e assim por diante).

O stager notifica os invasores sobre a infecção bem-sucedida, baixa e descriptografa um módulo dropper, que, por sua vez, instala dois executáveis que se passam por legítimos. O primeiro, WmiPrvMon.exе, se registra como um serviço e executa o segundo, wmimon.dll. Este segundo executável é a “carga útil” (payload, em inglês) principal do ataque, formado como um shell remoto.

Os atacantes usam esse shell para desfrutar de controle total da máquina-alvo. Eles podem fazer upload e download de arquivos, criar processos, hibernar por um determinado período de tempo e até mesmo livrar o dispositivo de quaisquer vestígios do ataque. Este componente de malware se comunica com o servidor de comando por meio de uma conexão criptografada.

Quais exploits e vulnerabilidades?

Infelizmente, nossos especialistas não conseguiram analisar o exploit de execução remota de código que o PuzzleMaker usou para atacar o Google Chrome, mas realizaram uma investigação completa e concluíram que os invasores provavelmente dependiam da CVE-2021-21224. Se você estiver interessado em como e por que eles chegaram a essa conclusão, incentivamos você a ler sobre o raciocínio deles neste artigo da Securelist. Em qualquer caso, o Google lançou um patch para essa vulnerabilidade em 20 de abril de 2021, menos de uma semana depois de descobrirmos a onda de ataques.

O exploit de elevação de privilégio usa duas vulnerabilidades do Windows 10 ao mesmo tempo. O primeiro, CVE-2021-31955, é uma vulnerabilidade de divulgação de informações no arquivo ntoskrnl.exe. O exploit o utilizou para determinar os endereços do kernel da estrutura EPROCESS para os processos executados. A segunda vulnerabilidade, CVE-2021-31956, está no driver ntfs.sys e pertence à classe de vulnerabilidades heap overflow. Criminosos o usavam junto com o Windows Notification Facility para ler e gravar dados na memória. Este exploit funciona nas compilações mais comuns do Windows 10: 17763 (Redstone 5), 18362 (19H1), 18363 (19H2), 19041 (20H1) e 19042 (20H2). Build 19043 (21H1) também é vulnerável, embora nossas tecnologias não tenham detectado ataques a esta versão, que foi lançada após detectarmos o PuzzleMaker. O Securelist publicou um artigo contendo uma descrição técnica detalhada e listando os indicadores de comprometimento.

Proteção contra este e outros ataques semelhantes

Para proteger sua rede corporativa contra os exploits usados no ataque PuzzleMaker, primeiro atualize o Chrome e instale (do site da Microsoft) as patches que corrigem as vulnerabilidades CVE-2021-31955 e CVE-2021-31956.

Dito isso, para evitar a ameaça de outras vulnerabilidades 0-day, todo tipo de empresa precisa usar produtos de cibersegurança que possam identificar tais tentativas de exploit analisando comportamentos suspeitos. Por exemplo, nossos produtos detectaram este ataque usando a tecnologia Behavioral Detection Engine e o subsistema Exploit Prevention no Kaspersky Endpoint Security for business.

Dicas