- A ESET descobre duas vulnerabilidades de dia zero que podem levar à execução remota de código
- Os pesquisadores identificam hackers russos abusando das falhas para implantar backdoors
- Correções para ambas as falhas já estão disponíveis para download
Um grupo russo de ameaças persistentes avançadas (APT) conhecido como RomCom tem explorado duas vulnerabilidades de dia zero para atingir suas vítimas com um potente malware de backdoor, disseram especialistas em segurança.
A ESET disse que seus pesquisadores encontraram pela primeira vez um bug de uso após livre no recurso de linha do tempo de animação do Firefox. Como o bug força o navegador a usar a memória que já foi liberada, ele pode levar a todo tipo de comportamento indefinido, incluindo a execução de código no contexto restrito do navegador. Este bug foi descoberto em 8 de outubro e recebeu CVE-2024-9680. Foi corrigido um dia depois, em 9 de outubro.
Uma investigação mais aprofundada levou à descoberta de uma segunda vulnerabilidade, desta vez no Windows, rastreada como CVE-2024-49039, QUE permite que criminosos previamente autenticados executem código arbitrário no sistema. Ao encadear as duas vulnerabilidades, os invasores conseguiram implantar backdoors nos dispositivos alvo.
Segmentando a Europa e a América do Norte
Na prática, isso significa incorporar um site com código que seja capaz de explorar as vulnerabilidades, redirecionar as vítimas para um servidor onde o backdoor está hospedado e infectar o sistema operacional. A pior parte é que o ataque é de “clique zero” – ou seja, além de visitar o site malicioso, a exploração não requer nenhuma interação por parte da vítima.
Embora a ESET não discuta quantas pessoas ou entidades foram vítimas do ataque, afirma que a maioria das vítimas rastreadas entre 10 de outubro e 4 de novembro estavam localizadas na Europa e na América do Norte.
Também vale ressaltar que os patches para ambas as falhas estão disponíveis há mais de um mês, e a melhor maneira de se defender contra o ataque é ter o Firefox, o Thunderbird e o navegador Tor (que supostamente eram vulneráveis). ) todos corrigidos, junto com o Windows.