Operação PowerFall – Mais uma campanha de ataque usando explorações de dia zero

A Kaspersky revelou recentemente detalhes sobre uma campanha de ataque, lançada em maio de 2020, contra uma empresa sul-coreana.

O que aconteceu?

Chamada de “ Operação PowerFall ”, a campanha de ataque envolveu a exploração de vulnerabilidades de dia zero no Windows e no Internet Explorer.

• Essas explorações de cadeia completa têm como alvo as compilações mais recentes do Windows 10 OS (compilação 18363 x64) e Internet Explorer 11.
• O ataque consistiu em dois exploits de dia zero: um exploit de execução remota de código para o Internet Explorer (CVE-2020-1380) e um exploit de elevação de privilégios (CVE-2020-0986) para Windows.
• Com base nas semelhanças com vulnerabilidades divulgadas anteriormente, os pesquisadores concluíram que esses ataques foram provavelmente realizados pelo grupo DarkHotel.

Vulnerabilidades recentes no IE

• O conjunto mais recente de exploits de dia zero (CVE-2020-0674, CVE-2019-1429, CVE-2019-0676 e CVE-2018-8653) também contou com as vulnerabilidades no mecanismo JavaScript legado, semelhante ao novo 1.
• Embora o conjunto anterior de vulnerabilidades explorasse uma versão um pouco mais antiga do mecanismo Javascript do IE, um novo exploit foi encontrado visando a versão mais recente (jscript9.dll).

Ataques anteriores no IE

No início deste ano, vários ataques que alavancam vulnerabilidades no IE foram observados em liberdade.

• Em julho de 2020, o kit de exploração Purple Fox adicionou dois novos exploits (CVE-2020-0674 e CVE-2019-1458) visando vulnerabilidades críticas e de alta severidade do Microsoft IE.
• Em março, foi revelado que um grupo não identificado de hackers estava usando cinco vulnerabilidades de dia zero , incluindo CVE-2020-0674 no IE, para atingir profissionais com foco na Coreia do Norte.

O resultado final

Ambas as vulnerabilidades já foram corrigidas pela Microsoft. Devido a ameaças como essa, torna-se ainda mais importante para as organizações praticar contramedidas, como reduzir a superfície de ataque exposta, aproveitar a análise de ameaças baseada em comportamento e implementar um processo rigoroso de gerenciamento de patches.

Fonte: https://cyware.com/news/operation-powerfall-yet-another-attack-campaign-using-zero-day-exploits-1145e02e