CVE-2016-0167, a-dia zero explorar abordada em abril de Patch Tuesday, aparentemente foi alavancado por atacantes, pesquisa FireEye revela. Cyber criminosos têm explorado a vulnerabilidade em ataques direcionados em mais de 100 empresas norte-americanas.
A postagem do blog da FireEye sobre o assunto revela que os atores da ameaça iniciaram ataques de spear-phishing em março deste ano. As vítimas das campanhas incluem empresas de vários setores, como varejo, restaurante, e hospitalidade.
CVE-2016-0167 Descrição oficial
(De cve.mitre.org)
Q O driver do modo kernel no Microsoft Windows Vista SP2, Windows Server 2008 SP2 e R2 SP1, janelas 7 SP1, janelas 8.1, Windows Server 2012 Ouro e R2, Windows RT 8.1, e Windows 10 Ouro e 1511 permite que usuários locais obtenham privilégios por meio de um aplicativo criado, aka “Vulnerabilidade de elevação de privilégio do Win32k,” uma vulnerabilidade diferente de CVE-2016-0143 e CVE-2016-0165.
Uma análise do ataque CVE-2016-0167
Onde a vulnerabilidade de escalada de privilégios estava localizada exatamente? No subsistema Win32l do Windows Graphics. “CVE-2016-0167 é uma vulnerabilidade de elevação local de privilégio no subsistema win32k do Windows Graphics. Um invasor que já alcançou a execução remota de código (RCE) pode explorar esta vulnerabilidade para elevar privilégios“, Pesquisadores FireEye escrevem.
Quanto aos ataques de spear phishing, sabe-se que foram enviados e-mails de spear phishing contendo anexos maliciosos do Microsoft Word.
Aprender mais sobre Phishing e seus formulários
Ao abrir o anexo, macros incorporadas executaria um downloader identificado como Punchbuggy.
O que é Punchbuggy?
É um downloader DLL, que tem versões de 32 e 64 bits. O downloader transfere código malicioso por meio de HTTPS. Foi empregado pelos invasores para interagir com os sistemas visados e “mover-se lateralmente nos ambientes das vítimas“.
Contudo, a exploração da vulnerabilidade não fez o trabalho sujo por si só, já que foi combinado com uma ferramenta de eliminação de memória de ponto de venda conhecida como Punchtrack. O cenário levou ao ataque em mais 100 empresas norte-americanas, e como resultado, acompanhar 1 e 2 Os dados do cartão de crédito foram roubados dos sistemas PoS das empresas.
Felizmente, a vulnerabilidade foi corrigida nas atualizações recentes da Microsoft. Contudo, se um sistema não aplicou a correção, ainda pode estar vulnerável. assim, verifique se o Windows está atualizado, e não oferece aos atacantes uma maneira de explorar você e suas finanças.
Dê uma olhada em Última atualização da Microsoft na terça-feira
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: