Operação PowerFall – Mais uma campanha de ataque usando explorações de dia zero
A Kaspersky revelou recentemente detalhes sobre uma campanha de ataque, lançada em maio de 2020, contra uma empresa sul-coreana.
A Kaspersky revelou recentemente detalhes sobre uma campanha de ataque, lançada em maio de 2020, contra uma empresa sul-coreana.
O que aconteceu?
Chamada de “ Operação PowerFall ”, a campanha de ataque envolveu a exploração de vulnerabilidades de dia zero no Windows e no Internet Explorer.
- Essas explorações de cadeia completa têm como alvo as compilações mais recentes do Windows 10 OS (compilação 18363 x64) e Internet Explorer 11.
- O ataque consistiu em dois exploits de dia zero: um exploit de execução remota de código para o Internet Explorer (CVE-2020-1380) e um exploit de elevação de privilégios (CVE-2020-0986) para Windows.
- Com base nas semelhanças com vulnerabilidades divulgadas anteriormente, os pesquisadores concluíram que esses ataques foram provavelmente realizados pelo grupo DarkHotel.
Vulnerabilidades recentes no IE
- O conjunto mais recente de exploits de dia zero (CVE-2020-0674, CVE-2019-1429, CVE-2019-0676 e CVE-2018-8653) também contou com as vulnerabilidades no mecanismo JavaScript legado, semelhante ao novo 1.
- Embora o conjunto anterior de vulnerabilidades explorasse uma versão um pouco mais antiga do mecanismo Javascript do IE, um novo exploit foi encontrado visando a versão mais recente (jscript9.dll).
Ataques anteriores no IE
No início deste ano, vários ataques que alavancam vulnerabilidades no IE foram observados em liberdade.
- Em julho de 2020, o kit de exploração Purple Fox adicionou dois novos exploits (CVE-2020-0674 e CVE-2019-1458) visando vulnerabilidades críticas e de alta severidade do Microsoft IE.
- Em março, foi revelado que um grupo não identificado de hackers estava usando cinco vulnerabilidades de dia zero , incluindo CVE-2020-0674 no IE, para atingir profissionais com foco na Coreia do Norte.
O resultado final
Ambas as vulnerabilidades já foram corrigidas pela Microsoft. Devido a ameaças como essa, torna-se ainda mais importante para as organizações praticar contramedidas, como reduzir a superfície de ataque exposta, aproveitar a análise de ameaças baseada em comportamento e implementar um processo rigoroso de gerenciamento de patches.
