Kaspersky descobre mais uma falha desconhecida do Windows

13 mar 2019

As tecnologias automatizadas de proteção da Kaspersky Lab detectaram uma nova vulnerabilidade no Microsoft Windows. Acredita-se que foi usada em ataques direcionados por pelo menos dois grupos especializados em APTs, inclusive o recém-descoberto SandCat. É o quarto exploit 0-day em atividade descoberto por nossa Tecnologia de Prevenção Automática contra Exploits. A empresa notificou a falha CVE-2019-0797 à Microsoft, que já lançou uma atualização.
As vulnerabilidades 0-day são falhas desconhecidos no software que podem ser exploradas por invasores para violar o dispositivo e a rede da vítima. O novo exploit usa uma vulnerabilidade no subsistema gráfico do Microsoft Windows para conseguir privilégios locais e obter controle total do computador invadido. A amostra de malware examinada pelos pesquisadores da Kaspersky Lab mostra que o exploit visa as versões do sistema operacional do Windows 8 ao 10.

Os pesquisadores acreditam também que vários grupos especializados em APTs, como o FruityArmor e SandCat, podem ter usado o exploit detectado, mas possivelmente não apenas esses. O FruityArmor é conhecido por já ter usado exploits 0-day e o SandCat é um novo grupo descoberto recentemente.

“A descoberta de uma vulnerabilidade desconhecida no Windows e explorada ativamente mostra que essas ferramentas caras e raras continuam interessando muito aos grupos especializados em APTs e as organizações precisam de soluções de segurança capazes de protegê-las contras essas ameaças desconhecidas. Isso também reafirma a importância da colaboração entre o setor de segurança e os desenvolvedores de software: a busca de falhas, sua divulgação responsável e a correção imediata são as melhores maneiras de manter os usuários a salvo de novas ameaças”, afirma Anton Ivanov, especialista em segurança da Kaspersky Lab.

A vulnerabilidade explorada foi detectada pela tecnologia de Prevenção Automática contra Exploits da Kaspersky Lab, incorporada na maioria dos produtos da empresa. As soluções da Kaspersky Lab identificam esse exploit como:

  • HEUR:Exploit.Win32.Generic
  • HEUR:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic

A Kaspersky Lab recomenda a adoção das seguintes medidas de segurança:

  • Instale a atualização da Microsoft para corrigir a vulnerabilidade assim que possível.
  • Não deixe de atualizar regularmente todos os softwares usados em sua organização e sempre que for lançado uma nova correção de segurança. Os produtos de segurança com funcionalidades de Avaliação de Vulnerabilidades e Gerenciamento de Correções ajudam a automatizar esses processos.
  • Use uma solução de segurança de ponta, como o Kaspersky Endpoint Security, que fornece funcionalidades de detecção baseadas em comportamento para proporcionar proteção eficiente contra ameaças conhecidas e desconhecidas, incluindo exploits como este.
  • Para empresas que necessitam de uma proteção sofisticada, use ferramentas de segurança avançadas, como a Kaspersky Anti Targeted Attack Platform.
  • Garanta que a sua equipe de segurança tenha acesso a relatórios de Threat Intelligence mais recente.  Relatórios privados sobre as últimas evoluções do cenário de ameaças estão disponíveis para os clientes do serviço Kaspersky APT Intelligence Reporting. Para saber mais, contate: intelreports@kaspersky.com.
  • Igualmente importante, garanta que toda a sua equipe seja treinada nos conceitos básicos da higiene de cibersegurança.

Para mais informações sobre o novo exploit, veja o Securelist.

Caso queira saber mais sobre as tecnologias que detectaram essa e outras vulnerabilidades 0-day do Windows, veja este webinar da Kaspersky Lab.

*Com informações da Jeffrey Group