CISA alerta sobre bug no Microsoft Streaming explorado em ataques de malware
4 de Março de 2024

A CISA ordenou que as agências do Poder Executivo Civil Federal dos EUA (FCEB, em inglês) protegessem seus sistemas Windows contra uma vulnerabilidade de alta gravidade no Serviço de Streaming da Microsoft (MSKSSRV.SYS) que está sendo ativamente explorada em ataques.

A falha de segurança (rastreada como CVE-2023-29360 ) deve-se a uma fragilidade na desreferência de um ponteiro não confiável que permite aos invasores locais obter privilégios do SISTEMA em ataques de baixa complexidade que não requerem interação do usuário.

A CVE-2023-29360 foi encontrada por Thomas Imbert, da Synactiv, no Proxy do Serviço de Streaming da Microsoft (MSKSSRV.SYS) e reportada à Microsoft através da Iniciativa Zero-Day da Trend Micro.

Redmond corrigiu o bug durante a Patch Tuesday de junho de 2023, com o código de exploração do conceito de prova caindo no GitHub três meses depois, em 24 de setembro.

A agência de cibersegurança dos EUA não forneceu detalhes sobre os ataques em andamento, mas confirmou que não foram encontradas evidências de que esta vulnerabilidade foi usada em ataques de ransomware.

A CISA também adicionou o bug ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas nesta semana, alertando que tais falhas de segurança são "vetores de ataque frequentes para atores cibernéticos mal-intencionados e representam riscos significativos para a empresa federal".

Conforme determinado por uma diretiva operacional vinculante (BOD 22-01) emitida em novembro de 2021, as agências federais devem corrigir seus sistemas Windows contra esse bug de segurança em três semanas, até 21 de março.

Embora o catálogo KEV da CISA se concentre principalmente em alertar as agências federais sobre falhas de segurança que devem ser corrigidas o mais rápido possível, organizações privadas em todo o mundo também são aconselhadas a priorizar a correção desta vulnerabilidade para bloquear ataques em andamento.

A empresa de cibersegurança americano-israelense Check Point forneceu mais informações sobre esta vulnerabilidade no mês passado, afirmando que os ataques do malware Raspberry Robin têm explorado a CVE-2023-29360 desde agosto de 2023.

"Depois de analisar amostras de Raspberry Robin antes de outubro, descobrimos que ele também usou uma exploração para a CVE-2023-29360 .

Essa vulnerabilidade foi divulgada publicamente em junho e foi utilizada pelo Raspberry Robin em agosto", disse a Check Point.

"Embora essa seja uma vulnerabilidade bastante fácil de explorar, o fato de o escritor da exploração ter uma amostra funcional antes de haver uma exploração conhecida no GitHub é impressionante, assim como a rapidez com que a Raspberry Robin a utilizou."

Raspberry Robin é um malware com capacidades de worm que surgiu em setembro de 2021 e se espalha principalmente através de drives USB.

Embora seus criadores sejam desconhecidos, ele tem sido associado a vários grupos de cibercriminosos, incluindo EvilCorp e a gangue de ransomware Clop.

A Microsoft disse em julho de 2022 que detectou o malware Raspberry Robin nas redes de centenas de organizações de vários setores da indústria.

Desde a sua descoberta, esse worm tem evoluído continuamente, adotando novas táticas de entrega e adicionando novos recursos, incluindo uma evasão em que deixa payload falsas para confundir os pesquisadores.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...