Todos os usuários do Windows devem atualizar imediatamente quando o hack ‘Complete Control’ for confirmado

Algumas semanas atrás, pesquisadores da empresa de segurança cibernética Eclypsium revelou que quase todos os principais fabricantes de hardware têm uma falha que pode permitir que aplicativos maliciosos obtenham privilégios de kernel no nível do usuário, obtendo assim acesso direto ao firmware e hardware.

Os pesquisadores divulgaram uma lista de fornecedores de BIOS e fabricantes de hardware que incluíam Toshiba, ASUS, Huawei, Intel, Nvidia e muito mais. A falha também afeta todas as novas versões do Windows, incluindo Windows 7, 8, 8.1 e Windows 10. Embora a Microsoft já tenha divulgado uma declaração confirmando que o Windows Defender é mais do que capaz de lidar com o problema, eles não mencionaram que os usuários precisam estar na versão mais recente do Windows para tirar proveito do mesmo. Para versões mais antigas do Windows, a Microsoft observou que usará o recurso HVCI (Hypervisor-enforced Code Integrity) para colocar na lista negra os drivers que são relatados a eles. Infelizmente, esse recurso está disponível apenas em processadores Intel de 7ª geração e posteriores; então CPUs mais antigas, ou mais novas onde o HCVI está desabilitado, requerem que os drivers sejam desinstalados manualmente.

Se isso não bastasse, os hackers conseguiram usar a falha para explorar os usuários. O Trojan de Acesso Remoto ou RAT existe há anos, mas os desenvolvimentos recentes o tornaram mais perigoso do que nunca. O NanoCore RAT costumava ser vendido na Dark Web por US$ 25, mas foi quebrado em 2014 e a versão gratuita foi disponibilizada para os hackers. Depois disso, a ferramenta ficou sofisticada à medida que novos plugins foram adicionados a ela. Agora, pesquisadores do LMNTRX Labs descobriram uma nova adição que permite que hackers aproveitem a falha e a ferramenta já está disponível gratuitamente na Dark Web.

Caso você esteja subestimando a ferramenta, ela pode permitir que um hacker desligue remotamente ou reinicie o sistema, navegue arquivos remotamente, acesse e controle o Gerenciador de Tarefas, o Editor do Registro e até o mouse. Não apenas isso, mas o invasor também pode abrir páginas da Web, desativar a luz de atividade da webcam para espionar a vítima despercebida e capturar áudio e vídeo. Como o invasor tem acesso total ao computador, ele também pode recuperar senhas e obter credenciais de login usando um keylogger, além de bloquear o computador com criptografia personalizada que pode atuar como ransomware.

A boa notícia é que o NanoCore RAT existe há anos, o software é bem conhecido pelos pesquisadores de segurança. Equipe LMNTRX (via Forbes) dividiu as técnicas de detecção em três categorias principais:

• T1064 – Scripts: Como o script é comumente usado por administradores de sistema para realizar tarefas de rotina, qualquer execução anômala de programas de script legítimos, como PowerShell ou Wscript, pode sinalizar um comportamento suspeito. A verificação de arquivos de escritório para código de macro também pode ajudar a identificar scripts usados ​​por invasores. Processos do Office, como winword.exe gerando instâncias de cmd.exe ou aplicativos de script como wscript.exe e powershell.exe, podem indicar atividade maliciosa.

• T1060 – Chaves de Execução do Registro / Pasta de Inicialização: Monitorar o Registro para alterações nas chaves de execução que não se correlacionam com softwares conhecidos ou ciclos de patches e monitorar a pasta inicial quanto a adições ou alterações podem ajudar a detectar malware. Programas suspeitos em execução na inicialização podem aparecer como processos atípicos que não foram vistos antes quando comparados com dados históricos. Soluções como o LMNTRIX Respond, que monitora esses locais importantes e emite alertas para qualquer alteração ou adição suspeita, podem ajudar a detectar esses comportamentos.

• T1193 – Anexo de Spearphishing: Sistemas de detecção de intrusão de rede, como o LMNTRIX Detect, podem ser usados ​​para detectar spearphishing com anexos maliciosos em trânsito. No caso do LMNTRIX Detect, as câmaras de detonação embutidas podem detectar anexos maliciosos com base no comportamento, em vez de assinaturas. Isso é fundamental, pois a detecção baseada em assinatura geralmente falha na proteção contra invasores que alteram e atualizam frequentemente suas cargas úteis.

No geral, essas técnicas de detecção se aplicam a organizações e a usuários pessoais/domésticos. A melhor coisa a fazer agora é atualizar cada software para garantir que ele esteja sendo executado na versão mais recente. Isso inclui drivers do Windows, softwares de terceiros e até atualizações do Windows. Mais importante ainda, não baixe ou abra nenhum e-mail suspeito ou instale qualquer software de terceiros de um fornecedor desconhecido.