F-Secure alerta sobre novo método de invasão ao Kernel

Fonte: vu

A F-Secure identificou um novo worm que utiliza um caminho diferente para aplicar a antiga tática de invadir o núcleo do sistema operacional Windows, o Kernel. O worm.Win32.AutoRun.nox, como foi identificado, aproveita uma vulnerabilidade no gerenciador de aplicativos e consegue acessar o núcleo sem a utilização de drivers.

O diretor técnico da F-Secure, Gabriel Menegatti, explica que a ameaça remove qualquer SST hooks instalado por algum software de segurança que possa atrapalhar o sucesso de sua operação. "Essa ameaça utiliza a vulnerabilidade causada por um um erro da memória compartilhada, que permite que a estrutura seja remapeada", explica o executivo.

O especialista informa, ainda, que se por algum motivo o ataque falhar, o worm volta para o método antigo de chegar a memória por meio de um driver especial que é detectado como Rootkit:W32/Agent.UG. Assim que o ataque for bem sucedido, a máquina fica comprometida e o invasor pode acessar o kernel e executar códigos ou, ainda, rejeitar algum serviço.

Vale ressaltar que esse tipo de ataque acontece apenas em máquina que não estão com os aplicativos atualizados. Para evitar esse tipo de risco, a F-Secure dispõe de uma ferramenta gratuita que verifica se o sistema possui alguma vulnerabilidade e auxilia a solucioná-las. O Health Check pode ser acessado pelo - support.f-secure.com/enu/home/onlineservices/fshc.shtmlque