Vulnerabilidade de execução remota de código encontrada no Windows Internet Key Exchange
Uma série de explorações foram encontradas nas extensões de protocolo IKE (Internet Key Exchange) do Windows.
De acordo com um novo comunicado recentemente compartilhado pela empresa de segurança Cyfirma com a Infosecurity , as vulnerabilidades descobertas podem ter sido exploradas para atingir quase 1.000 sistemas.
Os ataques observados pela empresa fariam parte de uma campanha que se traduz aproximadamente como “sangrar você” por um ator de ameaça que fala mandarim.
A equipe de pesquisa da Cyfirma também observou hackers desconhecidos compartilhando um link de exploração em fóruns clandestinos, que podem ser usados para atingir sistemas vulneráveis.
“Uma vulnerabilidade crítica foi identificada nas extensões do protocolo IKE do Microsoft Windows”, diz o comunicado.
“Esta vulnerabilidade […] afeta o código desconhecido do componente IKE Protocol Extensions, cuja manipulação leva à execução remota de código (RCE).”
Em particular, Cyfirma escreveu que a vulnerabilidade está no código usado para lidar com o protocolo […] IKEv1, que é obsoleto, mas compatível com sistemas legados.
A empresa também esclareceu que, embora o IKEv2 não seja afetado, a vulnerabilidade afeta todos os servidores Windows porque eles aceitam pacotes V1 e V2, tornando a falha crítica.
“A [prova de conceito] explora um problema de corrupção de memória com o svchost do sistema vulnerável”, diz o artigo técnico.
“A corrupção de memória ocorre quando o Page Heap (um plug-in de depuração) no sistema é ativado para o processo de troca de chaves da Internet. O processo exe que hospeda o serviço de protocolo Internet Key Exchange trava ao tentar ler dados além de um buffer alocado.”
Em termos de atribuição, Cyfirma disse que o ator da ameaça é atualmente desconhecido, mas também que a equipe observou conexões entre a campanha “bleed you” e os cibercriminosos russos.
“Do ponto de vista estratégico sobre a mudança de cenários geopolíticos do gerenciamento do cenário de ameaças externas, observa-se que a Rússia e a China formam um relacionamento estratégico”, escreveu a empresa.
Cyfirma acrescentou que a Microsoft alocou CVE-2022-34721 para o problema e o corrigiu adicionando uma verificação no comprimento dos dados recebidos e ignorando o processamento desses dados se o comprimento for muito pequeno.
