Operação PowerFall: Duas vulnerabilidades 0-day 

Duas vulnerabilidades 0-day (no Internet Explorer 11 e no Windows system service) foram usadas no APT Operação PowerFall

Nossas tecnologias impediram um ataque a uma empresa sul-coreana recentemente. Você pode dizer que foi apenas mais um dia normal para a gente, mas, ao analisar as ferramentas dos cibercriminosos, nossos especialistas descobriram duas vulnerabilidades 0-day. Eles encontraram a primeira em um mecanismo do JavaScript para o Internet Explorer 11. A falha permitiu aos invasores executar um código arbitrário remotamente. A outra, detectada em um serviço do sistema operacional, permite aos invasores aumentar privilégios e executar ações não autorizadas. 

As explorações dessas vulnerabilidades operaram em conjunto. Primeiro, a vítima recebeu um script malicioso que uma lacuna do Internet Explorer 11 permitiu a execução. Em seguida, uma falha no serviço do sistema concedeu ainda mais privilégios ao processo malicioso. Como resultado, os invasores conseguiram assumir o controle do sistema. objetivo deles era comprometer as máquinas de vários funcionários e penetrar na rede interna. 

Nossos especialistas intitularam essa campanha maliciosa de Operação PowerFall. No momento, não encontraram nenhuma ligação indiscutível entre esta campanha e atores conhecidos. No entanto, a julgar pela semelhança dos exploits, não descartaram o envolvimento do grupo DarkHotel. 

Quando nossos pesquisadores informaram para a Microsoft sobre as descobertas, a empresa disse que já sabia sobre a segunda vulnerabilidade (no serviço do sistema) e que até já havia feito uma patch para ela. Mas até o momento em que foram informados sobre a primeira vulnerabilidade (a do Internet Explorer 11), eles consideraram a descoberta improvável. 

Qual é o perigo da CVE-2020-1380? 

A primeira vulnerabilidade está na biblioteca jscript9.dll, que todas as versões do Internet Explorer desde o IE9 usam por padrão. Em outras palavras, a exploração dessa falha é perigosa para as versões atuais do navegador. (“Atuais” talvez seja um nome um pouco impróprio, visto que a Microsoft parou de desenvolver o Internet Explorer após o lançamento do Edge, com o Windows 10). Mas, junto com o Edge, o Internet Explorer ainda é instalado (por padrão) nas versões mais recentes do Windows e continua sendo um componente importante do sistema operacional. 

Mesmo que você não use o IE voluntariamente, e ele não seja seu navegador padrão, isso não significa que o seu sistema não possa ser infectado por uma falha do navegador – alguns aplicativos ainda o usam de vez em quando. Veja o Microsoft Office, por exemplo: ele usa o IE para exibir conteúdo de vídeo em documentos. Os cibercriminosos também podem hackear o Internet Explorer por meio de outras vulnerabilidades. 

CVE-2020-1380 pertence à classe Use-AfterFree – essa vulnerabilidade aproveita o uso incorreto de memória dinâmica. Você pode ler uma descrição técnica detalhada do problema com indicadores de comprometimento no post Cadeia completa das explorações de zero-day do Internet Explorer 11 e do Windows usados ​​na Operação PowerFall” no Securelist. 

Como se proteger 

A Microsoft lançou uma patch para o CVE-2020-0986 (no kernel do Windows) em 9 de junho de 2020. A segunda vulnerabilidade, CVE-2020-1380, foi corrigida em 11 de agosto. Se você atualiza seus sistemas operacionais regularmente, eles já devem estar protegidos contra ataques do tipo identificado na Operação PowerFall. 

No entanto, vulnerabilidades zero-day surgem o tempo todo. Para manter sua empresa segura, você precisa usar uma solução com tecnologias contra essas ameaças, como o Kaspersky Security for Business. Um de seus componentes, o subsistema Exploit Prevention, identifica tentativas de explorar vulnerabilidades zero-day. 

Além disso, recomendamos o uso de navegadores que recebem atualizações de segurança regulares. 

Dicas