CISA alerta sobre bug do Microsoft Streaming explorado em ataques de malware.
- Sabado, 2nd Março, 2024
- 10:43am
A CISA ordenou que as agências do Poder Executivo Civil Federal dos EUA (FCEB) protegessem seus sistemas Windows contra uma vulnerabilidade de alta gravidade no Microsoft Streaming Service (MSKSSRV.SYS) que é ativamente explorado em ataques.
A falha de segurança (rastreada como CVE-2023-29360) se deve a uma fraqueza de desreferência de ponteiro não confiável que permite que invasores locais obtenham privilégios de SYSTEM em ataques de baixa complexidade que não exigem interação do usuário.
CVE-2023-29360 foi encontrado por Thomas Imbert da Synactiv no Microsoft Streaming Service Proxy (MSKSSRV.SYS) e relatado à Microsoft por meio da Zero Day Initiative da Trend Micro. Redmond corrigiu o bug durante o Patch Tuesday de junho de 2023, com o código de exploração de prova de conceito sendo lançado no GitHub três meses depois, em 24 de setembro.
A agência de segurança cibernética dos EUA não forneceu detalhes sobre os ataques em andamento, mas confirmou que não foram encontradas evidências de que esta vulnerabilidade tenha sido usada em ataques de ransomware.
A CISA também adicionou o bug ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas esta semana, alertando que tais bugs de segurança são “vetores de ataque frequentes para atores cibernéticos maliciosos e representam riscos significativos para a empresa federal”. Conforme determinado por uma diretiva operacional vinculativa ( BOD 22-01 ) emitida em novembro de 2021, as agências federais devem corrigir seus sistemas Windows contra esse bug de segurança dentro de três semanas, até 21 de março.
Embora o catálogo KEV da CISA se concentre principalmente em alertar as agências federais sobre falhas de segurança que devem ser resolvidas o mais rápido possível, as organizações privadas em todo o mundo também são aconselhadas a priorizar a correção desta vulnerabilidade para bloquear ataques em curso.
Explorado em ataques de malware desde agosto
A empresa americano-israelense de segurança cibernética Check Point forneceu mais informações sobre esta vulnerabilidade no mês passado, dizendo que os ataques de malware Raspberry Robin têm explorado CVE-2023-29360 desde agosto de 2023.
“Depois de analisar amostras do Raspberry Robin antes de outubro, descobrimos que ele também usava uma exploração para CVE-2023-29360. Esta vulnerabilidade foi divulgada publicamente em junho e usada pelo Raspberry Robin em agosto”, disse Check Point.
“Mesmo que esta seja uma vulnerabilidade muito fácil de explorar, o fato de o criador da exploração ter uma amostra funcional antes de haver uma exploração conhecida no GitHub é impressionante, assim como a rapidez com que o Raspberry Robin a usou”.
Raspberry Robin é um malware com recursos de worm que surgiu em setembro de 2021 e se espalha principalmente por meio de unidades USB. Embora seus criadores sejam desconhecidos, ele foi vinculado a vários grupos cibercriminosos, incluindo EvilCorp e a gangue de ransomware Clop .
A Microsoft disse em julho de 2022 que detectou o malware Raspberry Robin nas redes de centenas de organizações de vários setores da indústria.
Desde a sua descoberta, esse worm evoluiu continuamente, adotando novas táticas de entrega e adicionando novos recursos, incluindo uma evasão em que lança cargas falsas para enganar os pesquisadores.
Fonte: bleeping
