{"id":17609,"date":"2021-06-14T20:12:38","date_gmt":"2021-06-14T23:12:38","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=17609"},"modified":"2021-06-17T05:25:12","modified_gmt":"2021-06-17T08:25:12","slug":"chrome-windows-zero-day","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/chrome-windows-zero-day\/17609\/","title":{"rendered":"Tecnologia Kaspersky bloqueia ataques PuzzleMaker"},"content":{"rendered":"<p>Detec\u00e7\u00e3o de amea\u00e7as comportamentais e tecnologias de preven\u00e7\u00e3o de exploits no <a href=\"https:\/\/www.kaspersky.com.br\/small-to-medium-business-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Security for Business<\/a> identificaram uma onda de ataques altamente direcionados a v\u00e1rias empresas. Esses ataques usaram uma cadeia de exploits 0-day do navegador Google Chrome e vulnerabilidades do Microsoft Windows. As patches para as falhas est\u00e3o dispon\u00edveis (atualiza\u00e7\u00e3o da Microsoft lan\u00e7ada em 8 de junho), portanto, recomendamos atualizar o navegador e o sistema operacional. Demos o nome de PuzzleMaker ao autor desses ataques.<\/p>\n<h2>O que h\u00e1 de t\u00e3o perigoso nos ataques do PuzzleMaker?<\/h2>\n<p>Os invasores usam uma vulnerabilidade do Google Chrome para executar c\u00f3digo malicioso na m\u00e1quina alvo e continuam usando duas vulnerabilidades do Windows 10 para escapar da \u201csandbox\u201d e obter privil\u00e9gios de sistema. Eles continuam a carregar o primeiro m\u00f3dulo de malware (stager), para a m\u00e1quina da v\u00edtima junto com um bloco de configura\u00e7\u00e3o personalizado (endere\u00e7o do servidor de comando, ID de sess\u00e3o, chaves de descriptografia para o pr\u00f3ximo m\u00f3dulo e assim por diante).<\/p>\n<p>O stager notifica os invasores sobre a infec\u00e7\u00e3o bem-sucedida, baixa e descriptografa um m\u00f3dulo dropper, que, por sua vez, instala dois execut\u00e1veis que se passam por leg\u00edtimos. O primeiro, WmiPrvMon.ex\u0435, se registra como um servi\u00e7o e executa o segundo, wmimon.dll. Este segundo execut\u00e1vel \u00e9 a \u201ccarga \u00fatil\u201d (payload, em ingl\u00eas) principal do ataque, formado como um shell remoto.<\/p>\n<p>Os atacantes usam esse shell para desfrutar de controle total da m\u00e1quina-alvo. Eles podem fazer upload e download de arquivos, criar processos, hibernar por um determinado per\u00edodo de tempo e at\u00e9 mesmo livrar o dispositivo de quaisquer vest\u00edgios do ataque. Este componente de malware se comunica com o servidor de comando por meio de uma conex\u00e3o criptografada.<\/p>\n<h2>Quais exploits e vulnerabilidades?<\/h2>\n<p>Infelizmente, nossos especialistas n\u00e3o conseguiram analisar o exploit de execu\u00e7\u00e3o remota de c\u00f3digo que o PuzzleMaker usou para atacar o Google Chrome, mas realizaram uma investiga\u00e7\u00e3o completa e conclu\u00edram que os invasores provavelmente dependiam da <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-21224\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-21224<\/a>. Se voc\u00ea estiver interessado em como e por que eles chegaram a essa conclus\u00e3o, incentivamos voc\u00ea a ler sobre o racioc\u00ednio deles neste artigo da <a href=\"https:\/\/securelist.com\/puzzlemaker-chrome-zero-day-exploit-chain\/102771\/\" target=\"_blank\" rel=\"noopener\">Securelist<\/a>. Em qualquer caso, o Google lan\u00e7ou um patch para essa vulnerabilidade em 20 de abril de 2021, menos de uma semana depois de descobrirmos a onda de ataques.<\/p>\n<p>O exploit de eleva\u00e7\u00e3o de privil\u00e9gio usa duas vulnerabilidades do Windows 10 ao mesmo tempo. O primeiro, <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-31955\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-31955<\/a>, \u00e9 uma vulnerabilidade de divulga\u00e7\u00e3o de informa\u00e7\u00f5es no arquivo ntoskrnl.exe. O exploit o utilizou para determinar os endere\u00e7os do kernel da estrutura EPROCESS para os processos executados. A segunda vulnerabilidade, <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-31956\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-31956<\/a>, est\u00e1 no driver ntfs.sys e pertence \u00e0 classe de vulnerabilidades heap overflow. Criminosos o usavam junto com o Windows Notification Facility para ler e gravar dados na mem\u00f3ria. Este exploit funciona nas compila\u00e7\u00f5es mais comuns do Windows 10: 17763 (Redstone 5), 18362 (19H1), 18363 (19H2), 19041 (20H1) e 19042 (20H2). Build 19043 (21H1) tamb\u00e9m \u00e9 vulner\u00e1vel, embora nossas tecnologias n\u00e3o tenham detectado ataques a esta vers\u00e3o, que foi lan\u00e7ada ap\u00f3s detectarmos o PuzzleMaker. O Securelist publicou um artigo contendo uma descri\u00e7\u00e3o t\u00e9cnica detalhada e listando os indicadores de comprometimento.<\/p>\n<h2>Prote\u00e7\u00e3o contra este e outros ataques semelhantes<\/h2>\n<p>Para proteger sua rede corporativa contra os exploits usados no ataque PuzzleMaker, primeiro atualize o Chrome e instale (do site da Microsoft) as patches que corrigem as vulnerabilidades <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-31955\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-31955<\/a> e <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-31956\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-31956<\/a>.<\/p>\n<p>Dito isso, para evitar a amea\u00e7a de outras vulnerabilidades 0-day, todo tipo de empresa precisa usar produtos de ciberseguran\u00e7a que possam identificar tais tentativas de exploit analisando comportamentos suspeitos. Por exemplo, nossos produtos detectaram este ataque usando a tecnologia Behavioral Detection Engine e o subsistema Exploit Prevention no <a href=\"https:\/\/www.kaspersky.com.br\/small-to-medium-business-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Security for business<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Nossas tecnologias detectaram ataques direcionados envolvendo uma s\u00e9rie de ataques 0-day.<\/p>\n","protected":false},"author":700,"featured_media":17610,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[1185,30,72,267,230],"class_list":{"0":"post-17609","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-business","10":"tag-chrome","11":"tag-exploits","12":"tag-vulnerabilidades","13":"tag-windows"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/chrome-windows-zero-day\/17609\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/chrome-windows-zero-day\/22945\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/chrome-windows-zero-day\/18438\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/chrome-windows-zero-day\/24889\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/chrome-windows-zero-day\/22882\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/chrome-windows-zero-day\/22099\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/chrome-windows-zero-day\/25457\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/chrome-windows-zero-day\/24893\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/chrome-windows-zero-day\/30891\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/chrome-windows-zero-day\/9728\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/chrome-windows-zero-day\/40191\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/chrome-windows-zero-day\/17104\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/chrome-windows-zero-day\/14905\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/chrome-windows-zero-day\/26918\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/chrome-windows-zero-day\/31022\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/chrome-windows-zero-day\/27149\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/chrome-windows-zero-day\/24006\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/chrome-windows-zero-day\/29322\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/chrome-windows-zero-day\/29126\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17609","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=17609"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17609\/revisions"}],"predecessor-version":[{"id":17635,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17609\/revisions\/17635"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/17610"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=17609"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=17609"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=17609"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}