Explorar o Windows em um ataque altamente direcionado

Pesquisadores da ESET descobriram e analisaram recentemente uma explora√ß√£o de uma t√©cnica de ataque “0 dias” em um ataque altamente direcionado no Leste Europeu.

A exploração foi baseada no uso de uma vulnerabilidade de Escalação de Privilégios Locais (LPE) no sistema operacional Microsoft Windows. A ESET imediatamente relatou o problema ao Centro de Resposta de Segurança da Microsoft, que por sua vez reparou a vulnerabilidade e lançou um patch.

Explorar

Somente algumas vers√Ķes limitadas do Windows s√£o afetadas por essa explora√ß√£o, como no Windows 8 e posterior, um processo do usu√°rio n√£o pode ser vinculado a uma p√°gina NULL, um par√Ęmetro necess√°rio para o ataque iniciar e ter √™xito.

Essa vulnerabilidade específica do Windows Win32k.sys, como as outras, usa o menu pop-up.

“Por exemplo, no ataque LPE por explora√ß√£o da equipe Sednit que analisamos em 2017, foram usados ‚Äč‚Äčitens de menu e t√©cnicas de explora√ß√£o, muito semelhantes √† explora√ß√£o atual”, explica o pesquisador da ESET Anton Cherepanov, que descobriu a vulnerabilidade recente.

A vulnerabilidade (CVE-2019-1132) afeta as seguintes fun√ß√Ķes: Windows 7 Service Pack 1 para sistemas de 32 bits, Windows 7 Service Pack 1 para vers√Ķes x64, Windows Server 2008 Service Pack 2 para sistemas de 32 bits, Windows Server 2008 Service Pack 2 para sistemas de tecnologia baseados em Itanium, Windows Server 2008 Service Pack 2 para sistemas da vers√£o x64, Windows Server 2008 R2 Service Pack 1 para sistemas baseados na tecnologia Itanium e Windows Server 2008 R2 Service Pack 1 para sistemas da vers√£o x64.

O Windows XP e o Windows Server 2003 tamb√©m s√£o afetados, mas essas vers√Ķes n√£o s√£o suportadas pela Microsoft.

“Os usu√°rios que continuam a usar o Windows 7 Service Pack 1 devem considerar a atualiza√ß√£o para novos sistemas operacionais, pois o amplo suporte ao Windows 7 Service Pack 1 deve expirar em 14 de janeiro de 2020. Isso significa que os usu√°rios do Windows 7 eles n√£o receber√£o atualiza√ß√Ķes cr√≠ticas de seguran√ßa “, acrescentou Cherepanov.

Detalhes mais t√©cnicos sobre a explora√ß√£o “0 dias” podem ser encontrados na vulnerabilidade CVE-2019-1132 usada no ataque direcionado no WeLiveSecurity.com.

_________________