{"id":18275,"date":"2021-10-14T14:22:28","date_gmt":"2021-10-14T17:22:28","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=18275"},"modified":"2021-10-14T14:23:01","modified_gmt":"2021-10-14T17:23:01","slug":"mysterysnail-cve-2021-40449","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/mysterysnail-cve-2021-40449\/18275\/","title":{"rendered":"MysterySnail usa falha 0-day para atacar Windows"},"content":{"rendered":"<p>Nosso mecanismo de detec\u00e7\u00e3o comportamental e tecnologias de preven\u00e7\u00e3o de explora\u00e7\u00e3o de vulnerabilidades emitiu recentemente um alerta sobre uma brecha no driver do kernel Win32k. A descoberta desencadeou uma investiga\u00e7\u00e3o complexa de uma rede criminosa que atuava por meio desta falha de seguran\u00e7a. Relatamos a vulnerabilidade (<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-40449\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-40449<\/a>) \u00e0 Microsoft, e a empresa a corrigiu em uma atualiza\u00e7\u00e3o regular lan\u00e7ada em 12 de outubro. Portanto, como de costume ap\u00f3s a Patch Tuesday, \u201cter\u00e7a-feira da atualiza\u00e7\u00e3o\u201d, recomendamos atualizar o Microsoft Windows o mais rapidamente o poss\u00edvel.<\/p>\n<h2>Para que a CVE-2021-40449 foi usada<\/h2>\n<p>A CVE-2021-40449 \u00e9 uma vulnerabilidade <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/use-after-free\/\" target=\"_blank\" rel=\"noopener\"><em>use-after-free<\/em><\/a> na fun\u00e7\u00e3o NtGdiResetDC do driver Win32k. Uma descri\u00e7\u00e3o t\u00e9cnica detalhada est\u00e1 dispon\u00edvel no <a href=\"https:\/\/securelist.com\/mysterysnail-attacks-with-windows-zero-day\/104509\/\" target=\"_blank\" rel=\"noopener\">Securelist<\/a>. De maneira resumida, a falha pode levar ao vazamento de endere\u00e7os de m\u00f3dulo de kernel na mem\u00f3ria do computador. Os cibercriminosos ent\u00e3o usam o vazamento para elevar os privil\u00e9gios de outro processo malicioso.<\/p>\n<p>Por meio do aumento de privil\u00e9gios, os invasores conseguiram baixar e iniciar o MysterySnail, um <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/rat-remote-access-tools\/\" target=\"_blank\" rel=\"noopener\">Trojan de acesso remoto (RAT)<\/a> que d\u00e1 aos invasores acesso ao sistema da v\u00edtima.<\/p>\n<h2>Como o MysterySnail opera?<\/h2>\n<p>O Trojan come\u00e7a reunindo informa\u00e7\u00f5es sobre o sistema infectado e as envia para o servidor C&amp;C. Ent\u00e3o, por meio do MysterySnail, os invasores podem emitir v\u00e1rios comandos. Por exemplo, podem criar, ler ou excluir um arquivo espec\u00edfico; criar ou excluir um processo; obter uma lista de diret\u00f3rios; ou abrir um canal proxy e enviar dados por ele.<\/p>\n<p>Outros recursos do MysterySnail incluem a capacidade de visualizar a lista de unidades conectadas, monitorar a conex\u00e3o de unidades externas em segundo plano e muito mais. O Trojan tamb\u00e9m pode iniciar o shell interativo cmd.exe (copiando o arquivo cmd.exe para uma pasta tempor\u00e1ria com um nome diferente).<\/p>\n<h2>Ataques por meio da CVE-2021-40449<\/h2>\n<p>A abrang\u00eancia desta vulnerabilidade atinge uma s\u00e9rie de sistemas operacionais da fam\u00edlia Microsoft Windows: Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (build 14393), Server 2016 (build 14393), 10 (vers\u00e3o 17763) e Server 2019 (vers\u00e3o 17763). De acordo com nossos especialistas, a explora\u00e7\u00e3o existe especificamente para aumentar os privil\u00e9gios nas vers\u00f5es de servidor do sistema operacional.<\/p>\n<p>Depois de detectar a amea\u00e7a, nossos especialistas estabeleceram que o exploit e o malware MysterySnail que carrega no sistema foram amplamente usados em opera\u00e7\u00f5es de espionagem contra empresas de TI, organiza\u00e7\u00f5es diplom\u00e1ticas e empresas que trabalham para a ind\u00fastria de defesa.<\/p>\n<p>Gra\u00e7as ao Kaspersky Threat Attribution Engine, nossos especialistas conseguiram encontrar semelhan\u00e7as no c\u00f3digo e na funcionalidade do MysterySnail e do malware usado pelo grupo IronHusky. Al\u00e9m disso, um grupo APT de l\u00edngua chinesa usou alguns dos endere\u00e7os de servidor C&amp;C do MysterySnail em 2012.<\/p>\n<h2>Como se manter seguro<\/h2>\n<p>Comece instalando as patches mais recentes da Microsoft e evite ser alvo de futuras vulnerabilidades 0-day, instalando solu\u00e7\u00f5es de seguran\u00e7a robustas que detectam e interrompem a explora\u00e7\u00e3o de vulnerabilidades de maneira proativa em todos os computadores com acesso \u00e0 Internet. As tecnologias Behavioral Detection Engine e Exploit Prevention, como as dispon\u00edveis no <a href=\"https:\/\/www.kaspersky.com.br\/small-to-medium-business-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Security for Business<\/a>, detectaram as fragilidades da CVE-2021-40449.<br>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\"><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nossas tecnologias de seguran\u00e7a detectaram a explora\u00e7\u00e3o de uma vulnerabilidade anteriormente desconhecida no driver Win32k.<\/p>\n","protected":false},"author":2581,"featured_media":18276,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1655,1656],"tags":[72,254,807,267,230],"class_list":{"0":"post-18275","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-smb","11":"tag-exploits","12":"tag-rat","13":"tag-trojans","14":"tag-vulnerabilidades","15":"tag-windows"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/mysterysnail-cve-2021-40449\/18275\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/mysterysnail-cve-2021-40449\/23490\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/18967\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/9499\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/25567\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/mysterysnail-cve-2021-40449\/23639\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/23102\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/mysterysnail-cve-2021-40449\/26246\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/mysterysnail-cve-2021-40449\/25784\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/mysterysnail-cve-2021-40449\/31702\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/mysterysnail-cve-2021-40449\/10158\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/42448\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/mysterysnail-cve-2021-40449\/15406\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/mysterysnail-cve-2021-40449\/27564\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/mysterysnail-cve-2021-40449\/31798\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/mysterysnail-cve-2021-40449\/27720\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/mysterysnail-cve-2021-40449\/24480\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/mysterysnail-cve-2021-40449\/29842\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/mysterysnail-cve-2021-40449\/29640\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18275","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=18275"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18275\/revisions"}],"predecessor-version":[{"id":18278,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18275\/revisions\/18278"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/18276"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=18275"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=18275"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=18275"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}