No início de março, nossas tecnologias proativas de segurança descobriram uma tentativa de explorar uma vulnerabilidade no Microsoft Windows. A análise revelou uma falha 0-day em nosso velho amigo win32k.sys, no qual falhas similares foram encontradas outras quatro vezes. Reportamos o problema para o desenvolvedor e a vulnerabilidade foi corrigida com um patch, lançado 10 de abril.
Com o que estamos lidando?
A CVE-2019-0859 é uma vulnerabilidade Use-After-Free na função do sistema que cuida das janelas de diálogo ou, mais especificamente, de seus estilos adicionais. O padrão do exploit encontrado in the wild tinha como alvo as versões 64-bit do SO, desde o Windows 7 até as últimas fases do Windows 10. A exploração dessa vulnerabilidade permite que o malware baixe e execute um script escrito pelos criminosos que, no pior dos cenários, resulta no controle completo sobre o computador infectado.
Ou, pelo menos, foi assim que um ainda não identificado grupo de APTs tentou utilizá-la. Com a vulnerabilidade, garantiram privilégios suficientes para instalar uma backdoor criada com o Windows PowerShell. Teoricamente, isso permite que os cibercriminosos se mantenham escondidos. Por meio dessa backdoor a carga de munição foi carregada, o que então permitiu aos criminosos ganharem acesso completo à máquina infectada. Acesse o Securelist para mais detalhes.
Como se proteger
Todos os métodos de proteção a seguir já foram indicados diversas vezes, e não temos nada particularmente novo para adicionar.
- Primeiro, instale a atualização lançada pela Microsoft para fechar a vulnerabilidade.
- Atualize regularmente todos os softwares usados na sua empresa, principalmente sistemas operacionais, para as versões mais recentes.
- Utilize soluções de segurança com tecnologias de análise comportamental que podem até mesmo detectar ameaças ainda desconhecidas.
O exploit para a vulnerabilidade CVE-2019-0859 foi inicialmente identificado por meio das tecnologias de Prevenção Automática contra Exploits e o Mecanismo de Detecção Comportamental, que fazem parte da nossa solução Kaspersky Endpoint Security for Business.
Se seus administradores ou equipe de segurança da informação precisam de um conhecimento mais profundo sobre os métodos aplicados para detectar ameaças 0-day da Microsoft, recomendamos a gravação do webinar Windows zero-days in three months: How we found them in the wild.