Um guia para os ataques de dia zero mais populares

[vc_row] [vc_column] [vc_column_text]Os exploits de dia zero são vulnerabilidades de software que não são conhecidas por desenvolvedores ou empresas de antivírus. “Dia zero” representa o número de dias que o desenvolvedor sabe sobre a vulnerabilidade. O Stuxnet, apelidado de “Operação Jogos Olímpicos”, foi a primeira arma digital do mundo, criada para atacar o programa nuclear iraniano; ela aproveitou explorações de dia zero para infectar máquinas Windows. O worm malicioso de computador foi um produto dos esforços conjuntos da NSA, da CIA e da inteligência israelense. O Stuxnet usou quatro explorações de dia zero junto com vulnerabilidades como a vulnerabilidade do worm CPLINK e Conficker. O hack da Sony Pictures e o hack do DNC são outros exemplos populares de ataques de dia zero.

Descobrindo a Operação Olímpica

Em 24 de junho de 2010, analistas da empresa antimalware VirusBlokada, Sergey Ulasen e Oleg Kupreev, recebeu uma solicitação para analisar um incidente bastante incomum; um conjunto de arquivos suspeitos que estavam fazendo com que computadores no Irã entrassem em um ciclo interminável de reinicialização. Em uma tentativa inútil, eles até consideraram limpar o computador inteiro e reinstalar todo o software. E ainda assim, de alguma forma, os arquivos reinfectaram o sistema.

Análise

Oleg e Sergey analisaram os arquivos e descobriram que o tamanho do arquivo era muito grande em comparação com a maioria dos vírus. Embora o tamanho dos vírus geralmente seja de apenas 10 a 15 KB, o tamanho desse arquivo compactado era de 500 KB. Ao descompactar, o tamanho do arquivo aumentou para 1,2 MB, o que era considerado incomum para vírus na época. Depois que os arquivos foram transferidos para outro computador, eles foram instalados e executados sem intervenção humana. Chocou os analistas o fato de os arquivos nem mesmo terem acionado um alarme ou um aviso no sistema. Isso só é possível se o worm for fornecido com um rootkit no nível do kernel que permita que ele evite a detecção.

A maioria dos vírus explora o recurso Windows Autorun. No entanto, o Stuxnet incluiu apenas arquivos.LINK que o Windows usa para exibir arquivos e aplicativos como ícones. Todos os 4 arquivos.LINK infectaram todas as versões desde o Windows 2000. A desativação do recurso Autorun não teve efeito no Stuxnet. Ele se propagou por meio de pen drives que tinham certificados digitais genuínos assinados pela taiwanesa Realtek Semiconductor Corp. O worm foi projetado de forma a infectar apenas sistemas que continham determinados softwares usados para automação de máquinas na indústria de armas nucleares. E se uma máquina não contivesse um software específico, o worm se desligava sozinho sem infectar o sistema.

Em 24 de junho de 2012, o Stuxnet parou de funcionar, o que também impediu a disseminação da sofisticada arma cibernética. A autodestruição foi configurada no Stuxnet, mas esses arquivos de código não foram encontrados durante a investigação.

Outros grandes ataques de dia zero

Aqui estão os detalhes de outros ataques populares de dia zero dos últimos cinco anos:

Microsoft/ CVE-2016-0167

Essa vulnerabilidade permite a elevação local de privilégios no componente gráfico do Windows Win32k. Um hacker que tenha alcançado o RCE poderia facilmente explorar essa vulnerabilidade para executar processos com privilégios elevados. Um ataque que explorou essa vulnerabilidade normalmente começou com um ataque de spear phishing que utilizou vários documentos do Word incorporados com macros. Um downloader malicioso, apelidado de PUNCHBUGGY, é então executado. Os atacantes, então, carregam e executam um malware de captura de POS (ponto de venda) chamado PUNCHTRACK.

Azul eterno//CVE-2017-0144

O CVE-2017-0144 é uma vulnerabilidade crítica do RCE que, quando explorada, permite que um invasor envie mensagens específicas para o servidor SMBv1 da Microsoft. A ferramenta de exploração EternalBlue foi desenvolvida pela NSA para explorar o CVE-2017-0144 no protocolo SMB. Essa ferramenta vazou posteriormente em abril de 2017, o que permitiu que hackers obtivessem acesso a outros sistemas na rede. Os ataques de ransomware WannaCry e NotPetya também usaram o famoso EternalBlue.

Adobe/ CVE-2018-15982

Os atacantes usaram uma exploração dessa vulnerabilidade, encontrada na natureza, para realizar RCE nos alvos pretendidos. Esse dia zero permite que um objeto malicioso do Adobe Flash execute um código que permite ao hacker obter o controle da linha de comando. O objeto Flash é então incorporado em um documento do Word contido em um arquivo WinRAR, que também inclui um arquivo jpeg. Quando o Flash é iniciado, o arquivo jpeg que contém ferramentas de administração remota carrega um backdoor no aplicativo.

Apple — Safari — Zoom/CVE-2020-3852

Recentemente, Ryan Pickren encontrou sete dia zero vulnerabilidades em Safári. Alguns desses dias zero podem ser usados para obter acesso não autorizado às câmeras em dispositivos iOS e macOS. A Apple pagou incríveis $75.000 como recompensa à Pickren (aproximadamente 54.00.000).

Os aplicativos no iOS precisam da permissão do usuário para acessar a câmera ou o microfone do dispositivo. No entanto, os aplicativos da Apple podem, por padrão, acessar a câmera ou o microfone. Assim, por design, o próprio navegador da Apple, Safari, tem permissão para usar a webcam do dispositivo. Um hacker que explora a vulnerabilidade no Safari só precisa redirecionar o usuário para um site malicioso, o que permite que ele acesse diretamente a webcam/microfone.[/vc_column_text] [/vc_column] [/vc_row]