Nossas tecnologias impediram um ataque a uma empresa sul-coreana recentemente. Você pode dizer que foi apenas mais um dia normal para a gente, mas, ao analisar as ferramentas dos cibercriminosos, nossos especialistas descobriram duas vulnerabilidades 0-day. Eles encontraram a primeira em um mecanismo do JavaScript para o Internet Explorer 11. A falha permitiu aos invasores executar um código arbitrário remotamente. A outra, detectada em um serviço do sistema operacional, permite aos invasores aumentar privilégios e executar ações não autorizadas.
As explorações dessas vulnerabilidades operaram em conjunto. Primeiro, a vítima recebeu um script malicioso que uma lacuna do Internet Explorer 11 permitiu a execução. Em seguida, uma falha no serviço do sistema concedeu ainda mais privilégios ao processo malicioso. Como resultado, os invasores conseguiram assumir o controle do sistema. O objetivo deles era comprometer as máquinas de vários funcionários e penetrar na rede interna.
Nossos especialistas intitularam essa campanha maliciosa de Operação PowerFall. No momento, não encontraram nenhuma ligação indiscutível entre esta campanha e atores conhecidos. No entanto, a julgar pela semelhança dos exploits, não descartaram o envolvimento do grupo DarkHotel.
Quando nossos pesquisadores informaram para a Microsoft sobre as descobertas, a empresa disse que já sabia sobre a segunda vulnerabilidade (no serviço do sistema) e que até já havia feito uma patch para ela. Mas até o momento em que foram informados sobre a primeira vulnerabilidade (a do Internet Explorer 11), eles consideraram a descoberta improvável.
Qual é o perigo da CVE-2020-1380?
A primeira vulnerabilidade está na biblioteca jscript9.dll, que todas as versões do Internet Explorer desde o IE9 usam por padrão. Em outras palavras, a exploração dessa falha é perigosa para as versões atuais do navegador. (“Atuais” talvez seja um nome um pouco impróprio, visto que a Microsoft parou de desenvolver o Internet Explorer após o lançamento do Edge, com o Windows 10). Mas, junto com o Edge, o Internet Explorer ainda é instalado (por padrão) nas versões mais recentes do Windows e continua sendo um componente importante do sistema operacional.
Mesmo que você não use o IE voluntariamente, e ele não seja seu navegador padrão, isso não significa que o seu sistema não possa ser infectado por uma falha do navegador – alguns aplicativos ainda o usam de vez em quando. Veja o Microsoft Office, por exemplo: ele usa o IE para exibir conteúdo de vídeo em documentos. Os cibercriminosos também podem hackear o Internet Explorer por meio de outras vulnerabilidades.
CVE-2020-1380 pertence à classe Use-After–Free – essa vulnerabilidade aproveita o uso incorreto de memória dinâmica. Você pode ler uma descrição técnica detalhada do problema com indicadores de comprometimento no post “Cadeia completa das explorações de zero-day do Internet Explorer 11 e do Windows usados na Operação PowerFall” no Securelist.
Como se proteger
A Microsoft lançou uma patch para o CVE-2020-0986 (no kernel do Windows) em 9 de junho de 2020. A segunda vulnerabilidade, CVE-2020-1380, foi corrigida em 11 de agosto. Se você atualiza seus sistemas operacionais regularmente, eles já devem estar protegidos contra ataques do tipo identificado na Operação PowerFall.
No entanto, vulnerabilidades zero-day surgem o tempo todo. Para manter sua empresa segura, você precisa usar uma solução com tecnologias contra essas ameaças, como o Kaspersky Security for Business. Um de seus componentes, o subsistema Exploit Prevention, identifica tentativas de explorar vulnerabilidades zero-day.
Além disso, recomendamos o uso de navegadores que recebem atualizações de segurança regulares.