Há um mês, escrevemos sobre termos encontrado um exploit no Microsoft Windows. Pode parecer familiar, mas nossas tecnologias proativas detectaram outro exploit de 0-day que mais uma vez, se aproveita de uma vulnerabilidade previamente desconhecida no sistema operacional. Dessa vez, apenas o Windows 7 e o Server 2008 estão em risco.
No entanto, essa limitação não torna a ameaça menos perigosa. Embora a Microsoft tenha suspendido o suporte geral para o Server 2008 em janeiro de 2015 e oferecido uma atualização gratuita no lançamento do Windows 10, nem todas as pessoas fizeram a instalação. Os desenvolvedores ainda estão oferecendo atualizações de segurança e suporte para ambos os sistemas (e devem continuar até o dia 14 de janeiro de 2020) porque ainda possuem clientes suficientes.
Quando detectamos o exploit, em outubro passado, nossos especialistas imediatamente reportaram a vulnerabilidade à Microsoft, junto com uma prova de conceito. Os desenvolvedores corrigiram prontamente o problema em 13 de novembro.
O que você deve saber sobre esta vulnerabilidade e este exploit?
Trata-se de uma vulnerabilidade de 0-day de elevação de privilégio no driver win32k.sys. Ao explorar essa falha, os cibercriminosos podem garantir os acessos necessários para persistirem no sistema de uma vítima.
O exploit foi utilizado em diversos ataques de APT, principalmente na região do Oriente Médio, e focava apenas nas versões de 32-bits do Windows 7. Você pode encontrar dados técnicos neste post do Securelist. Os assinantes dos nossos relatórios de inteligência de ameaças também podem obter mais informações sobre o ataque pelo endereço de e-mail intelreports@kaspersky.com.
Como se proteger?
Nada de novo por aqui — mas atenção aos nossos conselhos de sempre para vulnerabilidades:
- Instale o patch da Microsoft imediatamente.
- Atualize regularmente todos os softwares que a sua empresa utiliza para as versões mais recentes.
- Pare de utilizar softwares desatualizados antes que seu suporte seja suspenso.
- Utilize produtos de segurança com capacidades de avaliação de vulnerabilidades e gerenciamento de correções para automatizar processos de atualização.
- Utilize uma solução de segurança robusta equipada com funcionalidade de detecção com base em comportamentos para uma proteção efetiva contra ameaças desconhecidas incluindo exploits 0-day.
Note que, mais uma vez, o crédito pela detecção dessa ameaça previamente desconhecida vai para nossas tecnologias proativas: mais propriamente para o mecanismo antimalware e de sandbox avançado da Kaspersky Anti Targeted Attack Platform (uma solução criada especificamente para proteção contra ameaças APT) e a tecnologia de prevenção automática de exploits que formam um subsistema integral do Kaspersky Endpoint Security for Business.