Investigadores estão a utilizar um exploit que explora uma vulnerabilidade de dia zero no Windows recentemente corrigida, e com isso estão a alavancar ataques do Operation WizardOpium, juntamente com o exploit da vulnerabilidade de dia zero do Chrome do mês passado.
A operação WizardOpium tem sido observada desde novembro, e o ataque foi observado inicialmente pelos investigadores da Kaspersky que descobriram que a vulnerabilidade zero-day do Chrome foi usada em parte neste ataque.
Further detailed investigation revealed that the exploit for Google Chrome embeds a 0-day EoP exploit (CVE-2019-1458) that is used to gain higher privileges on the infected machine and also escape the Chrome process sandbox.
Os investigadores observaram dois estágios diferentes do exploit. Um é um loader de PE files e outro é uma ameaça atual. Os produtos da Kaspersky detectam esta ameaça como: PDM: Exploit.Win32.Generic.
O exploit EoP indica que a vulnerabilidade usada pertence ao driver win32k.sys e que o exploit EoP é um exploit de dia zero também, uma vez que consegue tirar partido de sistema operativos Windows 7 e 10 totalmete atualizados.
According to Kaspersky research ” The vulnerability itself is related to windows switching functionality (for example, the one triggered using the Alt-Tab key combination). That’s why the exploit’s code uses a few WinAPI calls (GetKeyState/SetKeyState) to emulate a key press operation.”
Mais detalhes sobre a vulnerabilidade aqui.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.