Exploit capaz de afetar versões desde o Windows 2000 ao Windows 10 é vendido em fórum
Pesquisadores da equipe SpiderLabs, uma equipe de hackers éticos e investigadores forenses da empresa Trustwave que ajudam as organizações a lutar contra a cibercriminalidade, descobriram um exploit de Dia Zero do tipo Local Privilege Escalation em um fórum de malwares russo chamado Exploit.in.
De acordo com a SpiderLabs, houve um crescimento praticamente exponencial na economia clandestina em fóruns como o Exploit.in, e "os criminosos estão organizando os seus esforços on-line em uma escala que não vimos antes". Criam formas de lucrar através do anonimato que fóruns privados proporcionam, usando criptomoeda e redes anônimas.
Batizado com o nome de BuggiCorp, os efeitos desse exploit (um software ou uma sequência de códigos que explora uma falha do sistema para realizar ataques) afeta todas as versões do Windows a partir do Windows 2000 até o Windows 10. O usuário que tem posse do exploit está tentando vendê-lo pela soma de US$ 90.000.
O usuário afirma que a falha está localizada no driver do modo kernel do Windows win32k.sys, e existe através da maneira como o Windows lida com objetos "com certas propriedades". A vulnerabilidade é alegadamente um bug para local de escalonamento de privilégios (ato de explorar uma falha de configurações do sistema operacional) no Windows, o que requer acesso de administrador para executar código malicioso no sistema.
De acordo com o vendedor do exploit:
Em uma atualização postada pelo vendedor em 23 de maio afirma-se que o exploit será vendido exclusivamente a um único comprador. Além disso, o vendedor fornece dois vídeos com provas de que a exploração funciona, para que os interessados possam verificar a autenticidade da oferta. O primeiro vídeo mostra um Windows 10 totalmente atualizado que está sendo explorado com êxito. O segundo vídeo mostra o exploit ignorando com sucesso todas as proteções EMET para a versão mais recentes do produto.
De acordo com a SpiderLabs, o produto não pode fornecer os meios de infecção inicial, como seria um exploit do tipo Remote Code Execution (RCE). No entanto, ainda é uma peça muito necessária no processo global de infecção. Por exemplo, esse exploit emparelhado com um RCE pode permitir que um invasor consiga escapar de uma proteção sandbox em aplicativos (por exemplo: Google Chrome, Adobe Reader, etc).
Em termos gerais, essa exploração pode ser aproveitada em quase qualquer tipo de cenário de ataque. A SpiderLabs já informou à Microsoft sobre o exploit e continuará acompanhando a situação.
Fonte: tudocelular.com
A vulnerabilidade existe na manipulação incorreta de objetos que tem certas propriedades, e [a vulnerabilidade] existe em todos os sistemas operacionais [versões] a partir do Windows 2000. [O] exploit é implementado para todas as arquiteturas de sistema operacional (x86 e x64), a partir do Windows XP, incluindo versões do Windows Server, e até variantes atuais do Windows 10.Ele afirma ainda que a descrição foi testada em todas as versões do Windows, a partir de XP, e em pelo menos 20 variantes diferentes do sistema operacional Windows, incluindo versões do Windows Server.
Em uma atualização postada pelo vendedor em 23 de maio afirma-se que o exploit será vendido exclusivamente a um único comprador. Além disso, o vendedor fornece dois vídeos com provas de que a exploração funciona, para que os interessados possam verificar a autenticidade da oferta. O primeiro vídeo mostra um Windows 10 totalmente atualizado que está sendo explorado com êxito. O segundo vídeo mostra o exploit ignorando com sucesso todas as proteções EMET para a versão mais recentes do produto.
De acordo com a SpiderLabs, o produto não pode fornecer os meios de infecção inicial, como seria um exploit do tipo Remote Code Execution (RCE). No entanto, ainda é uma peça muito necessária no processo global de infecção. Por exemplo, esse exploit emparelhado com um RCE pode permitir que um invasor consiga escapar de uma proteção sandbox em aplicativos (por exemplo: Google Chrome, Adobe Reader, etc).
Em termos gerais, essa exploração pode ser aproveitada em quase qualquer tipo de cenário de ataque. A SpiderLabs já informou à Microsoft sobre o exploit e continuará acompanhando a situação.
Fonte: tudocelular.com
