A Kaspersky Lab detectou uma vulnerabilidade de dia zero (CVE-2018-8174) no navegador Internet Explorer. Segundo os especialistas da empresa, a tecnologia foi utilizada em ataques direcionados.
Ao TecMundo, Dmitry Bestuzhev, diretor da Equipe de Análise e Pesquisa da Kaspersky Lab para a América Latina, explicou que dia zero "é um código micro (programa) capaz de abusar / explorar a vulnerabilidade de um outro código para obter acesso ao sistema do usuário. Infelizmente, existem as vulnerabilidades porque os softwares que usamos são desenvolvidos por humanos e, como sabemos, os humanos não são perfeitos. Assim, isso permite que outras pessoas acabem encontrando novas falhas / vulnerabilidades de segurança, permitindo que eles tenham acesso à máquina da vítima que está abusando desse software".
Indicamos as organizações e usuários particulares a instalarem os patches recentes imediatamente
"Por que é chamado de "Dia Zero"?", explica Dmitry. "Esse termo vem da natureza do ataque, o que essencialmente significa que ainda não há solução; o fornecedor do software não está ciente dessa vulnerabilidade, portanto, não há atualização para corrigi-lo, e todos os usuários em todo o mundo que têm esse software estão expostos a ataques usando essa exploração específica de dia zero".
Voltando para a vulnerabilidade encontrada no Internet Explorer, a Kaspersky comenta que o exploit foi passado e baixado por meio de um documento Word. Ainda, que atacantes exploraram uma versão totalmente atualizada e corrigida do mesmo programa.
A empresa ainda comentou que o exploit possuía como base o código malicioso de exploração de “dia zero” — um bug do tipo use-after-free (UAF), quando um código executável legítimo, como o do Internet Explorer, apresenta uma lógica de processamento de memória incorreta. "Isso leva a uma comunicação de código com memória liberada. Embora na maioria dos casos isso resulte em uma simples falha do navegador, com o exploit, os invasores usam esse bug para que eles mesmos controlem as máquinas", adiciona.
A cadeia de infecção da vulnerabilidade é a seguinte:
- A vítima recebe um documento malicioso do Microsoft Office RTF
- Depois de abrir o documento malicioso, o segundo estágio do exploit é baixado – uma página HTML com código malicioso;
- O código aciona o erro UAF de corrupção de memória
- O shellcode que baixa a carga maliciosa é então executado
"Essa técnica, até ser corrigida, permitia que criminosos forçassem o Internet Explorer a carregar, não importando qual navegador usasse normalmente – aumentando ainda mais uma superfície de ataque. Felizmente, a descoberta proativa da ameaça levou à liberação oportuna do patch de segurança pela Microsoft. Indicamos as organizações e usuários particulares a instalarem os patches recentes imediatamente, pois não demorará muito para que as explorações dessa vulnerabilidade cheguem aos kits de exploração populares e sejam usadas não apenas por agentes de ameaças sofisticadas, mas também por cibercriminosos padrão", alerta Anton Ivanov, analista de segurança, Kaspersky Lab.
Ok, mas o que acontece comigo?
Sobre os problemas que as vulnerabilidades de dia zero podem causar à vítima, Dmitry Bestuzhev explicou o seguinte ao TecMundo:
"Pode ser absolutamente qualquer tipo de problema. A resposta depende apenas da motivação do agente de ameaça. Se a missão é roubar dinheiro, o invasor abusará dessa vulnerabilidade de dia zero para eliminar malware financeiro sem qualquer notificação à vítima, mesmo que a vítima tenha todos os softwares atualizados, senhas fortes e assim por diante. Se o agente de ameaça estiver procurando roubar documentos, a mesma coisa acontecerá. Um exploit de dia zero penetra no sistema da vítima da mesma forma que uma faca corta a manteiga. A única diferença é que a vítima não tem a menor ideia sobre o ataque - nenhuma mensagem pop-up, nenhuma pergunta sobre o download e a execução de arquivos, nada. Apenas silencie e elimine qualquer código malicioso com qualquer capacidade técnica".
A Microsoft foi alertada sobre a vulnerabilidade e uma versão corrigida foi disponibilizada pela empresa na terça-feira passada (08) — clique aqui para acessar.
Fontes
Categorias
