0
0
Grupo Puzzlemaker atacou com exploit ainda desconhecido vulnerabilidades no Chrome, Chromium e Windows
Várias empresas foram atacadas no mundo inteiro em abril com exploits direcionados a zero days no Chrome e no Windows. O alerta sobre esses ataques foi feito pelos especialistas da Kaspersky, porque os exploits conseguiam comprometer redes e permanecer invisíveis. Uma das ameaças conseguia executar comandos no Chrome e a outra obtinha privilégios de administrador no sistema para atacar as novas versões do Windows 10. Este último aproveita duas vulnerabilidades no kernel do Windows, identificadas como CVE-2021-31955 e CVE-2021-31956. Ambas foram corrigidas no Patch Tuesday desta semana.
O pessoal da Kaspersky ainda não encontrou nenhuma conexão entre esses ataques e os grupos APTs. Por isso, a empresa está chamando o grupo de PuzzleMaker.
Todos os ataques foram realizados pelo navegador Google Chrome e utilizaram um exploit que permitia a execução remota de comandos. Infelizmente, os pesquisadores da Kaspersky não conseguiram recuperar os códigos que o exploit executava remotamente, mas sua cronologia e disponibilidade sugere que os atacantes estavam usando a vulnerabilidade CVE-2021-21224, agora corrigida. Essa vulnerabilidade estava relacionada a um bug de tipos incompatíveis no V8 – um mecanismo JavaScript usado pelos navegadores Chrome e Chromium. Ela permite que os atacantes explorem o processo do renderização do Chrome – que são as ações responsáveis pelo que acontece dentro da guia dos usuários.
De qualquer forma, os especialistas da Kaspersky conseguiram localizar e analisar o segundo exploit: um malware com a função de obter privilégios no sistema operacional e que explora duas vulnerabilidades diferentes no núcleo do Windows. A primeira é uma vulnerabilidade de divulgação de informações (que vaza informações sigilosas do kernel), atribuída como CVE-2021-31955. Especificamente, essa vulnerabilidade está relacionada ao SuperFetch – um recurso introduzido no Windows Vista que tem como objetivo reduzir o tempo de carregamento dos aplicativos mais usados, através de um pré-carregamento na memória.
A segunda vulnerabilidade – de elevação de privilégios (que permite que os atacantes explorem o kernel para ganhar permissões de administrador no computador) – foi atribuída com o nome CVE-2021-31956, trata-se de um estouro de buffer baseado no heap. Os atacantes usaram esta vulnerabilidade junto com o Windows Notification Facility (WNF) para executar malware no sistema.
Os exploits do Chrome e do Windows eram apenas a forma de entrar e permanecer no sistema-alvo. Após esta etapa, o ataque ainda conta com uma fase de preparação – que usa um dropper de malware complexo – e a instalação de dois executáveis que se passam como arquivos legítimos do sistema operacional Windows. Entre as funcionalidades destes malware estão a capacidade de baixar e fazer upload de arquivos, a criação de processos, colocar-se em suspensão por um determinado tempo e efetuar sua autoexclusão no sistema infectado.
“Embora esses ataques sejam altamente direcionados, ainda precisamos associá-los a algum grupo especializado. Por isso o apelidamos de “PuzzleMaker” e vamos monitorar de perto suas atividades e novos insights sobre o grupo. No geral, temos observados várias ondas de atividade maliciosas usando exploits desconhecidos (zero-day). Trata-se de um lembrete de que as vulnerabilidades continuam sendo um método eficaz de infecção. Agora que essas vulnerabilidades foram corrigidas e tornaram-se públicas, é possível que haja um aumento em seu uso por outros grupos. Em outras palavras, é importantíssimo que as empresas instalem essas correções o mais rápido possível”, comenta Boris Larin, pesquisador sênior em segurança da Kaspersky.
FONTE: CISO ADVISOR