Nosso mecanismo de detecção comportamental e tecnologias de prevenção de exploração de vulnerabilidades emitiu recentemente um alerta sobre uma brecha no driver do kernel Win32k. A descoberta desencadeou uma investigação complexa de uma rede criminosa que atuava por meio desta falha de segurança. Relatamos a vulnerabilidade (CVE-2021-40449) à Microsoft, e a empresa a corrigiu em uma atualização regular lançada em 12 de outubro. Portanto, como de costume após a Patch Tuesday, “terça-feira da atualização”, recomendamos atualizar o Microsoft Windows o mais rapidamente o possível.
Para que a CVE-2021-40449 foi usada
A CVE-2021-40449 é uma vulnerabilidade use-after-free na função NtGdiResetDC do driver Win32k. Uma descrição técnica detalhada está disponível no Securelist. De maneira resumida, a falha pode levar ao vazamento de endereços de módulo de kernel na memória do computador. Os cibercriminosos então usam o vazamento para elevar os privilégios de outro processo malicioso.
Por meio do aumento de privilégios, os invasores conseguiram baixar e iniciar o MysterySnail, um Trojan de acesso remoto (RAT) que dá aos invasores acesso ao sistema da vítima.
Como o MysterySnail opera?
O Trojan começa reunindo informações sobre o sistema infectado e as envia para o servidor C&C. Então, por meio do MysterySnail, os invasores podem emitir vários comandos. Por exemplo, podem criar, ler ou excluir um arquivo específico; criar ou excluir um processo; obter uma lista de diretórios; ou abrir um canal proxy e enviar dados por ele.
Outros recursos do MysterySnail incluem a capacidade de visualizar a lista de unidades conectadas, monitorar a conexão de unidades externas em segundo plano e muito mais. O Trojan também pode iniciar o shell interativo cmd.exe (copiando o arquivo cmd.exe para uma pasta temporária com um nome diferente).
Ataques por meio da CVE-2021-40449
A abrangência desta vulnerabilidade atinge uma série de sistemas operacionais da família Microsoft Windows: Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (build 14393), Server 2016 (build 14393), 10 (versão 17763) e Server 2019 (versão 17763). De acordo com nossos especialistas, a exploração existe especificamente para aumentar os privilégios nas versões de servidor do sistema operacional.
Depois de detectar a ameaça, nossos especialistas estabeleceram que o exploit e o malware MysterySnail que carrega no sistema foram amplamente usados em operações de espionagem contra empresas de TI, organizações diplomáticas e empresas que trabalham para a indústria de defesa.
Graças ao Kaspersky Threat Attribution Engine, nossos especialistas conseguiram encontrar semelhanças no código e na funcionalidade do MysterySnail e do malware usado pelo grupo IronHusky. Além disso, um grupo APT de língua chinesa usou alguns dos endereços de servidor C&C do MysterySnail em 2012.
Como se manter seguro
Comece instalando as patches mais recentes da Microsoft e evite ser alvo de futuras vulnerabilidades 0-day, instalando soluções de segurança robustas que detectam e interrompem a exploração de vulnerabilidades de maneira proativa em todos os computadores com acesso à Internet. As tecnologias Behavioral Detection Engine e Exploit Prevention, como as disponíveis no Kaspersky Endpoint Security for Business, detectaram as fragilidades da CVE-2021-40449.