Kaspersky Lab identifica vulnerabilidade no Windows utilizada por grupo de hackers desconhecido

Os backdoors são um tipo de malware extremamente perigoso, já que permitem que os hackers possam controlar de forma muito discreta os dispositivos que querem afetar, com finalidades maliciosas. Este tipo de situações costumam ser difíceis de ocultar para uma solução de segurança.

Contudo, um backdoor que se aproveita de um erro previamente desconhecido no sistema, como as vulnerabilidades zero day, tem muitas mais possibilidades de passar despercebido. As soluções de segurança standards não chegam a identificar essa infeção do sistema nem podem proteger os utilizadores perante algo que não se sabe o que é ou se existe.

Cibersegurança

Contudo, a tecnologia de prevenção de exploit da Kaspersky Lab foi capaz de detetar a tentativa de aproveitar uma vulnerabilidade desconhecida do sistema operativo Windows da Microsoft. O cenário do ataque foi o seguinte: uma vez que o arquivo malicioso .exe foi executado, começou a instalação do malware. A infeção utilizou uma vulnerabilidade zero day e conseguiu fazer-se com privilégios para permanecer dentro da equipa da vítima.

Utilizando um marco de scripting chamado Windows PowerShell, um elemento legítimo do Windows presente em todas as máquinas que utilizam este sistema operativo, o malware executou um backdoor. Isto permitiu aos hackers uma atuação silenciosa, bem como o evitar da deteção, ficando com tempo na etapa do código das ferramentas maliciosas. O malware, em continuação, descarregou outro backdoor a partir do conhecido serviço de armazenamento de texto, dando aos hackers o controlo total sobre o sistema infetado.

No ataque pudemos observar duas tendências principais que por vezes vemos nas APT (Ameaças Persistentes Avançadas). Primeiro está o uso de expoits com privilégios locais para permanecer dentro da máquina da vítima. Segundo está o uso de elementos legítimos, como o Windows PowerShell, para levar a cabo atividades maliciosas dentro da máquina da vítima. A combinação de ambas dá aos hackers a capacidade de evitar as soluções de segurança standard. Para detetar este tipo de técnicas, a solução de segurança deve utilizar motores de prevenção de vulnerabilidades e de deteção de comportamentos,” explica Anton Ivanov, especialista de segurança na Kaspersky Lab.

As soluções da Kaspersky Lab detetam exploits como:

  • HEUR:Exploit.Win32.Generic
  • HEUR:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic

A Microsoft foi informada da vulnerabilidade e do parche a 10 de abril.

Para evitar a instalação de um backdoor através da vulnerabilidade zero day do Windows, a Kaspersky Lab recomenda tomar las seguintes medidas de segurança:

  • Uma vez que a vulnerabilidade e o parche estejam descarregados, os hackers perdem a oportunidade de a utilizar. Instalar o parche disponível da Microsoft o quanto antes.
  • Garantir que todo o software da organização é atualizado regularmente, sobretudo quando há um novo parche disponível. Os produtos de segurança que contam com funcionalidades de avaliação de ameaças e gestão de parches podem ajudar a automatizar estes processos.
  • Utilizar uma solução de segurança aprovada, como o Kaspersky Endpoint Security, que dispõe de funcionalidades de deteção baseadas em comportamentos para haver uma proteção perante ameaças desconhecidas.
  • Garantir que a equipa de segurança tem acesso à informação mais recente sobre ciber ameaças. Os clientes do Kaspersky Intelligence Reporting dispõem de acesso a relatórios privados sobre os últimos desenvolvimentos no panorama de ameaças.
  • Finalmente, garantir que a equipa está formada relativamente às medidas mais elementares no campo da cibersegurança.

Para mais informação sobre o novo exploit, leia o relatório completo em Securelist.

Para ver com maior detalhe as tecnologias que detetaram esta e outras vulnerabilidades de zero day no Microsoft Windows, pode descarregar o webinar gravado da Kaspersky Lab.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here