por msft mmpc
1 de Novembro de 2016
Este post de blog foi escrito por nosso convidado Terry Myerson/ Vice-Presidente do Windows and Devices Group
Windows é a única plataforma que tem o compromisso com o cliente de investigar problemas de segurança reportados e proativamente atualizar dispositivos afetados assim que possível. E levamos essa responsabilidade muito a sério.
Recentemente, o grupo de Microsoft Threat Intelligence encontraram uma atividade que foi chamada de STRONTIUM e que realizou uma campanha de spear-phishing de baixo volume. Os clientes que usam o Microsoft Edge no Windows 10 Update de aniversário estão protegidos de versões deste ataque observados no campo. Esta campanha de ataque, originalmente identificada pelo grupo de análise de ameaça do Google, usava duas vulnerabilidades de zero-day do Adobe Flash e o kernel do Windows de down-level* para atacar um certo grupos de clientes específicos.
Em coordernação com o Google e a Adobe para investigar esta campanha maliciosa e criar um patch para o down-level* do Windows, e ao longo destas linhas, e patches para todas as versões do Windows agora estão sendo testados por muitos participantes da indústria, e pretendemos liberá-los publicamente na próxima atualização na terça-feira, 8 de novembro.
Acreditamos que a participação da indústria de tecnologia responsável coloca o cliente em primeiro lugar e exige uma divulgação de vulnerabilidade coordenada. A decisão do Google de divulgar estas vulnerabilidades antes que os patches estivessem amplamente disponíveis e testados é decepcionante e coloca os clientes em um risco maior.
Para resolver esses tipos de ataques sofisticados, a Microsoft recomenda que todos os clientes atualizem para Windows 10, o sistema operacional mais seguro que construímos. Completo com proteção avançada para consumidores e empresas em todas as camadas de segurança . Os clientes que instalaram o Windows Defender Advanced Threat Protection (ATP) irão detectar tentativas de ataques do STRONTIUM, graças às análises de deteção de comportamento genérico do ATP e inteligência de ameaças atualizadas.
-Terry
STRONTIUM: Uma breve história
A Microsoft agrega os detalhes das atividades da ameaça — malware, infra-estrutura, classes de vítima e as técnicas do agressor — em grupos de atividades para melhorar a capacidade de entendimento das razões por trás de ciber-ataques. STRONTIUM é um grupo de atividades que normalmente ataca agências governamentais, instituições diplomáticas e organizações militares, bem como organizações do setor privado como empreiteiros da defesa e institutos de pesquisa de políticas públicas. Microsoft tem atribuído mais explorações de Zero Day ao STRONTIUM que qualquer outro grupo controlado em 2016. STRONTIUM frequentemente usa contas de e-mail comprometidos de uma vítima para enviar e-mails maliciosos para uma segunda vítima e persistentemente prosseguem com alvos específicos por meses até que eles sejam bem sucedidos em comprometer o computador das vítimas. Uma vez dentro, STRONTIUM se move lateralmente na rede da vítima, e se inflitra tão profundamente quanto possível, para garantir o acesso persistente e rouba informações sigilosas.
Os exploits
STRONTIUM deve cumprir três objectivos para o ataque ter sucesso:
-
Explorar o Flash para obter o controle do processo de navegador
-
Elevar privilégios a fim de escapar da área de segurança do navegador (sandbox)
-
Instalar um backdoor para fornecer acesso ao computador da vítima
Microsoft tem várias ferramentas de prevenção de ameaças e mitigação disponíveis para combater estes passos.
Exploração de Flash Adobe: CVE-2016-7855
Com base na análise realizada pela equipe de pesquisa do Windows Defender ATP e o time de Segurança de Response Center da Microsoft (MSRC), a vulnerabilidade no Adobe Flash é aproveitada pelo STRONTIUM para afetar o código em tempo de execução do ActionScript. A Adobe já lançou uma atualização para corrigir essa vulnerabilidade. A Microsoft está ativamente em parceria com a Adobe para implementar reduções adicionais contra essa classe de exploit.
Elevação de privilégios
Vulnerabilidade do kernel do Windows é o objetivo da exploração do STRONTIUM EoP** que afeta desde o Windows Vista até o Windows 10. E estará disponível com a atualização do Windows Update de Novembro. No entanto, antes deste ataque, a Microsoft implementou novas reduções da exploração no componente do kernel win32k. Essas reduções, que foram desenvolvidas com base em pesquisas internas proativas, bloqueiam todas as versões deste exploit no campo. Isso não garante que os invasores não possam encontrar uma solução alternativa, mas Microsoft irá emitir uma atualização completa em breve para resolver o problema.
Instalação de Backdoor
Após a elevação de privilégio bem sucedida, um backdoor é baixado, escrito no sistema de arquivos e executado no processo do navegador. No entanto, a DLL backdoor (juntamente com qualquer outro software não confiável) podem ser bloqueadas através da implementação de políticas de integridade do código estritos. O Microsoft Edge implementa nativamente a integridade do código para evitar esta etapa pós-exploração. Os usuários do Internet Explorer e outros navegadores também podem estar protegidos através da utilização de Device Guard.
.
Detectando o ataque com Windows Defender ATP
A deteção é feita pela aprendizagem comportamental da máquina e múltipla regras de alerta sobre vários elementos trabalhando em conjunto para bloquear um ataque do STRONTIUM. Windows Defender ATP pode genericamente detectar sem qualquer assinatura, um processo de múltiplos estágios de ataque como a criação de bibliotecas DLL incomuns no disco do navegador, mudanças inesperadas no processo do token e níveis de integridade (EoP) e o carregamento de bibliotecas DLL criados recentemente em condições anormais do processo (Figura 3).
Figura 3: Windows Defender ATP deteção de Kernel EOP** usado pelo STRONTIUM
Além disso, ameaça de inteligência e IOCs específicos para este ataque foram encontrados pelo grupo de Microsoft Threat Intelligence e foram adicionados ao Windows Defender ATP e ao Office 365 ATP. Esses alertas juntamente com resumo da ameaça e com perfis aprofundados existentes no STRONTIUM estão disponíveis no portal do cliente do Windows Defender ATP.
Para obter mais informações, confira as características e recursos do serviço Windows Defender ATP no Windows 10
e leia mais sobre a abordagem de deteção pós-violação é um componente fundamental em qualquer segurança empresarial .
Agradecimentos especiais ao Neel Mehta e Billy Leonard do grupo de análise de ameaça do Google por sua assistência na investigação dessas questões.
* Downlevel = usar uma versão anterior do software, hardware ou um sistema operacional
** EoP – Elevaçào de privilégios
Original: https://blogs.technet.microsoft.com/mmpc/2016/11/01/our-commitment-to-our-customers-security/