0
0
Programa explorando essa vulnerabilidade foi encontrado em fevereiro, e a Kaspersky prontamente notificou a Microsoft – que lança correção hoje.
Uma análise detalhada da vulnerabilidade CVE-2021-1732 usada pelo grupo BITTER APT e encontrada no início do ano permitiu que os pesquisadores da Kaspersky descobrissem mais uma vulnerabilidade desconhecida (zero day) em um programa da Microsoft. A empresa foi informada em fevereiro, assim que a falha foi descoberta. Após a confirmação do fato pela desenvolvedora, esta vulnerabilidade recebeu a designação CVE-2021-28310.
Uma vulnerabilidade zero day é um bug no programa que é desconhecido pelo seu desenvolvedor e que permite que um invasor realize atividades maliciosas de maneira silenciosa, caso seja descoberta. Segundo os pesquisadores da Kaspersky, a nova vulnerabilidade está ativa e possivelmente usada por vários grupos especializados em ataques direcionados.
Ela foi classificada como uma vulnerabilidade que permite elevar os privilégios (escalation of privilege ou EoP, em inglês) do usuário e foi encontrada no programa Desktop Window Manager. Além disso, é possível usá-la para executar atividades maliciosas na máquina da vítima. Segundo os pesquisadores da Kaspersky é provável que a vulnerabilidade CVE-2021-28310 esteja sendo usada em conjunto com vulnerabilidades presentes nos navegadores para, dessa forma, evitar a detecção pelo uso de tecnologias de Sandbox ou para obter privilégios para ampliar o acesso ao sistema.
A investigação inicial da Kaspersky não revelou toda a cadeia de infecção em que este exploit foi usado, então ainda não se sabe se essa vulnerabilidade foi usada com alguma outra vulnerabilidade zero day, ou se estava relacionada a falhas que já foram corrigidas. Os especialistas ainda não conseguiram associar se essa possível segunda vulnerabilidade estaria conectada a algum outro grupo especializado em ataques direcionados.
“A vulnerabilidade CVE-2021-28310 foi identificada inicialmente por nossa tecnologia de prevenção avançada contra exploits (AEP). Nos últimos anos, criamos uma infinidade de tecnologias de proteção contra vulnerabilidades em nossos produtos que estão detectando várias falhas desconhecidas – o que está comprovando sua eficácia. Mas o mais importante é o que fazemos com esta nova informação: primeiramente reforçamos nossa missão de proteger nossos clientes e também trabalhamos em conjunto com o desenvolver para corrigi-la e garantir a segurança de todos. Este processo é chamado de divulgação responsável e deve ser adotado por todos que trabalham no mercado”, defende Fabio Assolini, analista de segurança sênior da Kaspersky no Brasil .
A correção para a vulnerabilidade EoP CVE-2021-28310 foi lançada hoje (13 de abril de 2021). E as soluções da Kaspersky detectam este exploit como:
• HEUR:Exploit.Win32.Generic
• HEUR:Trojan.Win32.Generic
• PDM:Exploit.Win32.Generic
Para se proteger deste tipo de ameaça, a Kaspersky recomenda adotar as seguintes medidas de segurança:
• Instale as atualizações e correções nos programas e sistemas operacionais sempre que elas forem disponibilizadas. Uma vez corrigidas, os grupos que comandam o exploit não poderão mais usá-lo para infectar um dispositivo.
• Use uma solução de segurança que ofereça o gerenciamento de vulnerabilidades e correções para automatizar este processos e manter os equipamentos sempre protegidos e atualizado.
• Permita que sua equipe de segurança ou SOC tenha acesso a relatórios inteligência com informações de novas ameaças, como o Kaspersky Threat Intelligence Portal. Além de saber sobre novas vulnerabilidade em primeira mão, as informações permitem que sua equipe atue proativamente na detecção e combate de incidentes.
• Alem do proteção tradicional, é importante contar com soluções avançadas, capazes de detectar ameaças complexas atuando na rede corporativa e no estágio inicial, como a plataforma Kaspersky Anti Targeted Attack .
Para mais detalhes sobre a vulnerabilidade, acesse o relatório completo em Securelist. Mais informações sobre o APT BITTER e os índices de comprometimentos desta ameaça (IoCs) estão disponíveis para os clientes do Kaspersky Intelligence Reporting. Para ter acesso, contate intelreports@kaspersky.com .
Para saber mais as tecnologias que detectaram esta e outras vulnerabilidades zero day no Microsoft Windows, assista o webinar da Kaspersky que está disponível online.
FONTE: SEGS