Análise da Kaspersky indica vulnerabilidade desconhecida no Windows
O exploit faz parte de uma campanha maliciosa avançada que burlava a proteção do Google Chrome 


As tecnologias automatizadas de detecção da Kaspersky descobriram uma vulnerabilidade desconhecida (de "dia zero") no Windows. Usando um exploit para ela, os invasores conseguiram privilégios elevados no computador infectado e burlaram mecanismos de proteção no navegador Google Chrome. O exploit recém-descoberto foi usado em uma campanha maliciosa avançada chamada WizardOpium. 

Antigamente, as vulnerabilidades de "dia zero" eram bugs desconhecidos em um software que, se descobertas primeiro por criminosos, permitiam que eles trabalhassem por muito tempo sem serem notados, causando danos graves e inesperados. Soluções de segurança comuns não identificam a infecção e nem conseguem proteger os usuários de uma ameaça que ainda não é conhecida. 
A nova vulnerabilidade do Windows foi descoberta pelos pesquisadores da Kaspersky graças a outro ataque do mesmo tipo. Em novembro de 2019, a tecnologia de prevenção de exploits da companhia - presente na maioria dos produtos da empresa - conseguiu detectar um exploit de "dia zero" no Google Chrome . Ele permitia que invasores executassem códigos arbitrários na máquina da vítima. Pesquisando melhor a operação, que os especialistas chamaram de ‘WizardOpium’, foi descoberta outra vulnerabilidade desconhecida, dessa vez no sistema operacional Windows. 
Assim, constatou-se que o recém-descoberto exploit de "dia zero" de elevação de privilégios (EoP) do Windows (CVE-2019-1458) estava incorporado no exploit do Google Chrome descoberto anteriormente. Ele foi usado para obter privilégios elevados na máquina infectada, além de escapar da Sandbox de processos do Chrome, um componente criado para proteger o navegador e o computador da vítima de ataques maliciosos. 
A análise detalhada do exploit EoP mostrou que a vulnerabilidade utilizada pertence ao driver win32k.sys. Era possível usá-la indevidamente nas versões corrigidas mais recentes do Windows 7 e até em alguns builds do Windows 10 (as novas versões do Windows 10 não foram afetadas). "Este tipo de ataque requer muitos recursos. Porém, oferece vantagens importantes para os atacantes e, como podemos ver, eles estão satisfeitos em explorá-lo. O número de ameaças de ‘dia zero’ ativas continua aumentando e é pouco provável que esta tendência suma. As organizações precisam recorrer aos relatórios de Threat Intelligence mais recentes e usar tecnologias de proteção capazes de encontrar ameaças desconhecidas, como exploits de ‘dia zero’, de maneira proativa",  afirma Anton Ivanov, especialista em segurança da Kaspersky. 
Os produtos da Kaspersky detectam este exploit com o veredito PDM:Exploit.Win32.Generic. 
A vulnerabilidade foi informada à Microsoft e corrigida em 10 de dezembro de 2019. 
Para evitar a instalação de backdoors por meio da vulnerabilidade de "dia zero" do Windows, a Kaspersky recomenda adotar as seguintes medidas de segurança: 
• Instale a correção da Microsoft para a nova vulnerabilidade assim que possível. Depois que ela for baixada, o grupo por trás do WizardOpium não poderá mais explorar esta vulnerabilidade; 
• Se estiver preocupado com a segurança de toda a sua organização, não deixe de atualizar todo o software assim que um novo patch de segurança for lançado. Use produtos de segurança com funcionalidades de avaliação de vulnerabilidades e gerenciamento de correções para automatizar estes processos; 
• Use uma solução de segurança de qualidade com funcionalidades de detecção baseadas em comportamento para identificar ameaças desconhecidas, como o Kaspersky Endpoint Security; 
• Garanta que a sua equipe de segurança tenha acesso a relatórios de Threat Intelligence recentes. Conteúdos exclusivos sobre as últimas evoluções do cenário de ameaças estão disponíveis para os clientes deste serviço. Para saber mais, entre em contato pelo e-mail: intelreports@kaspersky.com; 
• Use a tecnologia de Sandbox para analisar objetos suspeitos. O acesso básico ao Kaspersky Cloud Sandbox está disponível em http://opentip.kaspersky.com/. 
Para mais informações sobre o novo exploit, acesse o relatório completo em Securelist. 
Vale ressaltar que para conhecer melhor as tecnologias que detectaram esta e outras vulnerabilidades de "dia zero" no Microsoft Windows, há um webinar da Kaspersky disponível, sob demanda.