Exploit “zero-day” no Google Chrome utilizado em operações maliciosas

“Zero-day” é nome dado a vulnerabilidades ou erros desconhecidos num software. Quando descobertos por hackers, estes podem atuar sem serem descobertos e causar assim duras e inesperadas consequências.

Visto que as soluções de segurança mais comuns, não reconhecem esta contaminação do sistema, não conseguem proteger os utilizadores de uma ameaça que ainda não foi identificada.

Em novembro de 2019, as tecnologias automatizadas de deteção de Kaspersky detetaram um exploit “zero-day” no Google Chrome, que permitia aos invasores executarem códigos arbitrários no equipamento da vítima. Depois de investigarem mais a fundo esta operação, à qual os especialistas deram o nome de WizardOpium, foi descoberta outra vulnerabilidade, desta vez no sistema operativo Windows.

O exploit recém-descoberto de elevação de privilégios (EoP) do Windows (CVE-2019-1458) estava incorporado no exploit do Google Chrome detetado anteriormente, tendo sido usado para obter privilégios na máquina infetada, bem como para evitar o sandbox do Chrome, uma componente criada para proteger tanto o navegador, como o computador da vítima de ataques mal intencionados.

A análise detalhada do exploit EoP mostrou que a vulnerabilidade pertence ao driver win32k.sys. Era possível utilizá-la indevidamente nas versões corrigidas mais recentes do Windows 7 e até em algumas antigas do Windows 10 (as novas versões do Windows 10 não foram afetadas).

Para evitar a instalação de backdoors através desta vulnerabilidade de “zero-day” do Windows, a Kaspersky recomenda adotar as seguintes medidas de segurança:

• Instalar a correção da Microsoft contra esta vulnerabilidade. Uma vez instalada, os responsáveis pelo WizardOpium não conseguem explorar mais esta vulnerabilidade;
• Atualizar todo o software assim que um novo patch de segurança for lançado, usando produtos de segurança com funcionalidades de avaliação de vulnerabilidades e gestão de correções para proteger a segurança da sua organização;
• Usar uma solução de segurança baseada em comportamento para identificar ameaças desconhecidas; 

• É importante que as equipas de segurança de cada empresa tenham acesso aos relatórios de Threat Intelligence recentes.
• Usar a tecnologia sandbox para analisar objetos suspeitos.

"Um ataque deste tipo requer muitos recursos. Contudo, oferece vantagens significativas para os atacantes, que não têm dúvidas na hora de explorá-los. O número de ameaças “zero-day” ativas continua a crescer e é pouco provável que esta tendência desapareça. As organizações precisam de recorrer aos relatórios mais recentes de inteligência de ameaças e usar tecnologias de proteção capazes de encontrar estas ameaças desconhecidas de forma proativa", garante Anton Ivanov, especialista em segurança da Kaspersky.