Image default
Vulnerabilidades

Microsoft descobre exploits zero-day em PoC enviada para o VirusTotal

Pesquisadores de segurança da Microsoft descobriram recentemente duas vulnerabilidades críticas de zero-day, após alguém ter feito o upload de um arquivo PDF malicioso no VirusTotal. Estas vulnerabilidades foram corrigias antes de serem de conhecimento do público.

No final de marco, pesquisadores da ESET encontraram um arquivo PDF malicioso no VirusTotal (normal né?) e compartilharam com a equipe de segurança da Microsoft alertando que o arquivo seria uma “potencial ameaça para explorar uma vulnerabilidade desconhecida no kernel do Windows”.

Após analisar o arquivo malicioso, a Microsoft descobriu dois exploits zero-day: um para o Adobe Acrobat Reader e outro para o Windows.

Como os patches para ambas as vulnerabilidades foram liberados na segunda semana de maio, a Microsoft divulgou detalhes recentemente, após dar aos usuários tempo suficiente para atualizar seus sistemas operacionais vulneráveis e o software da Adobe.

O exploit zero-day fazia parte de uma PoC

De acordo com os pesquisadores, o PDF malicioso, incluindo o exploit zero-day para o Windows, estavam no estágio inicial de desenvolvimento, “dado o fato de que o PDF em si não entregava um payload malicioso e que parecia ser um código de PoC (Proof of Concept ou Prova de Conceito)”.

Parece que o autor poderia ter combinado os exploits para construir alguma arma cibernética perigosa, mas erroneamente acabou perdendo o jogo após ter feito o upload de seu exploit no VirusTotal.

Como funcionam as vulnerabilidades encontradas?

Uma das vulnerabilidades aborda uma falha de execução remota de código no Adobe Acrobat Reader (CVE-2018-4990), e a outra, um erro de escalonamento de privilégios no Windows (CVE-2018-8120).

Funcionamento do arquivo PDF malicioso / Microsoft descobre exploits zero-day em PoC enviada para o VirusTotal
Funcionamento do arquivo PDF malicioso / Microsoft descobre exploits zero-day em PoC enviada para o VirusTotal / Fonte da imagem: https://thehackernews.com/2018/07/windows-adobe-zero-exploit.html

O primeiro exploit ataca o mecanismo de JavaScript no Adobe para executar um shellcode no contexto desse módulo“, diz Matt On, engenheiro de segurança do Windows Defender ATP Research.

O segundo, que não afeta sistemas operacionais mais atuais, como o Windows 10, permite que o shellcode seja executado fora do sanddox do Adobe Reader e com privilégios elevados no kernel do Windows.”

A Microsoft e a Adobe lançaram em maio atualizações de segurança para ambas as vulnerabilidades. Para obter mais detalhes técnicos, você pode acessar os blogs da Microsoft e da ESET.

Fonte

https://thehackernews.com/2018/07/windows-adobe-zero-exploit.html

https://thehackernews.com/2018/05/microsoft-patch-tuesday.html

Posts similares

CVE-2017-12163: Vulnerabilidade afeta protocolo SMBv1 do Samba

O Analista

Falha no kernel do Linux permite a escalação de privilégios no sistema

O Analista

Red Hat volta versão do patch do Spectre após problemas de boot

O Analista
O Analista_