Microsoft corrige vulnerabilidade de dia zero explorada por espiões chineses

Microsoft corrige vulnerabilidade de dia zero supostamente explorada por espiões chineses. O plano de correção de patches da empresa em outubro também inclui esta vulnerabilidade de dia zero entre 71 outras. Este ano já está contado como o mais rico em violações de dia zero, mas a festa parece estar longe de acabar.

Espiões chineses por trás da vulnerabilidade de dia zero CVE-2021-40449

A empresa costuma lançar patches na segunda terça-feira de cada mês, conhecido como Patch Tuesday. Este tempo de liberação corrige 71 imperfeições, entre eles um explorado ativamente. Falhas de segurança foram encontradas no navegador Edge, Microsoft Office, Estúdio visual, Servidor Exchange, e MSHTML. Todos eles receberam atualizações de segurança. Especialistas em segurança cibernética atribuíram duas delas classificações críticas, 68 tão importante e uma classificação de baixa gravidade. Três já foram divulgados antes do lançamento dos patches e um que passa pela identificação CVE-2021-40449 foi descoberto na selva.

Este exploit foi detectado e relatado por Boris Larin, o analista de malware. Ele é responsável pela detecção e prevenção de ameaças avançadas, como exploits. De acordo com o relatório, a exploração foi usada para visar servidores Microsoft Windows.

“Além de encontrar o dia zero na natureza, analisamos a carga de malware usada junto com a exploração de dia zero, e descobri que variantes do malware foram detectadas em campanhas de espionagem generalizadas contra empresas de TI, empreiteiros militares / de defesa, e entidades diplomáticas,”Colegas Costin Raiu e Larin escreveram no blog de segurança cibernética.¹

A primeira atividade específica de ataque de elevação de privilégio observada em servidores Windows foi detectada no final de agosto e início de setembro deste mesmo ano. CVE-2021-40449 ajudou invasores a burlar a segurança do Windows. It was a “use-after-free” information disclosure issue. The attackers were identified as a Chinese-speaking “IronHusky” APT group that has been on the scene since 2012. Eles usaram a vulnerabilidade Win32k para espionar, os pesquisadores dizem. Os hackers geralmente fazem um Trojan de acesso remoto (RATO) para estabelecer um ponto de comando e controle no Windows Server. Code that was used in these attacks got the “MysterySnail” name.

Outra falha nos servidores Exchange relatada pelos EUA. Agencia de Segurança Nacional

Outra falha que chamou a atenção da mídia é CVE-2021-26427. Ele tem uma pontuação CVSS de 9.0 e foi relatado pelos EUA. Agencia de Segurança Nacional. Em março, os hackers usaram para drenar e-mails de e injetar backdoors em centenas de empresas. Os servidores Exchange são alvos de alto valor para hackers que buscam sondar redes de negócios. A gravidade também é reforçada pelo fato de que tudo é limitado à topologia logicamente adjacente e isso não implica diretamente sobre a exploração da Internet.

A Microsoft marcou esta falha como provavelmente não sob radar de exploração. O motivo é que os hackers precisam ter acesso à sua rede para usar esta vulnerabilidade. Mas os especialistas em segurança cibernética alertam que isso pode não ser a primeira coisa a se fazer ao consertar os patches, mas certamente precisa ser mantido em vista. Os e-mails sempre foram o principal alvo dos hackers. É simplesmente por causa dos dados neles contidos que podem ser usados ​​para diferentes fins maliciosos.

1. https://redmondmag.com/articles/2021/10/13/espionage-attackers-were-using-windows-zero-day-vulnerability.aspx