CISA Adiciona Vulnerabilidades Apple ao Catálogo KEV com Exploração Ativa
CISA adiciona 3 vulnerabilidades Apple ao KEV devido à exploração ativa. CVEs afetam macOS e iOS com risco de execução de código. Prazo de correção é 26 de março.
Tag
Tag: kernel
30 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a kernel.
Ferramenta ‘EDR killer’ abusa de driver EnCase assinado para desativar proteções
Pesquisadores identificaram uma ferramenta que abusa de um driver de kernel legítimo (EnCase), embora revogado, para desativar EDRs e identificar 59 produtos de segurança. A técnica explora assinaturas legítimas para executar código em kernel e dificultar a detecção e resposta dos times de segurança.
ThreatsDay: bulletin semanal destaca RCEs, falhas em kernel e prisões na darknet
O ThreatsDay, compilado semanal do The Hacker News, agrupa mais de 25 histórias de segurança que apontam uma tendência: pequenas mudanças e reuso de ferramentas criando riscos operacionais. Destaques incluem RCEs, bugs no kernel e ações contra infraestrutura na darknet.
Campanha que usa driver TrueSight desativa EDR antes de ransomware
Pesquisadores alertam para campanha que utiliza variantes assinadas do driver TrueSight (RogueKiller/Adlice) para carregar código no kernel e terminar processos de EDR/antivírus, abrindo caminho para ransomware e RATs. A técnica explora um IOCTL vulnerável em TrueSight 2.0.2 e já foi observada por múltiplos grupos.
VoidLink altera playbook de rootkits com compilação de kernel e IA
VoidLink é um framework de rootkit para Linux descoberto por Check Point Research que usa compilação de kernel lado‑servidor, carregamento em memória e evasão adaptativa, incluindo detecção de produtos como CrowdStrike e SentinelOne. Relatórios da Sysdig descrevem técnicas de anti‑análise e indícios de uso de IA no desenvolvimento; fontes públicas não informam escala de comprometimentos.
Pesquisa mostra técnica que oculta processos mesmo com PatchGuard
Pesquisadores da Outflank documentaram um método que oculta processos no Windows manipulando estruturas de dados do kernel (ActiveProcessLinks). A técnica opera dentro das validações do PspProcessDelete, reparando ponteiros no momento de término para evitar falhas de integridade, e exige um driver em nível de kernel e assinatura válida.
PoC Chronomaly explora CVE-2025-38352 no kernel Linux
Foi publicada a PoC Chronomaly para CVE‑2025‑38352, uma condição de corrida use‑after‑free em handle_posix_cpu_timers() do kernel Linux (v5.10.x). A falha afeta especialmente kernels 32‑bit (muitos Android legados); o problema já está no catálogo KEV da CISA e há patch upstream.
VOID KILLER: malware kernel‑level anuncia fim de AVs e EDRs
Pesquisadores identificaram anúncio de uma ferramenta chamada VOID KILLER, vendida em fóruns subterrâneos e projetada para terminar processos de antivírus e EDR no nível do kernel. A oferta inclui variantes contra soluções corporativas e demonstra o foco crescente em evasão de defesas centrais.
HoneyMyte usa rootkit em modo kernel para carregar ToneShell
A Kaspersky descreve uma campanha do HoneyMyte que utiliza um driver em modo kernel como rootkit/loader para injetar e proteger o backdoor ToneShell. O método impede ações de remoção, protege processos e registra callbacks de arquivo e registro; o C2 comunica-se por conexões raw TCP no porto 443.
PoC pública explora race‑condition no timer POSIX do kernel Linux
Foi divulgada uma PoC para CVE‑2025‑38352, uma condição de corrida em handle_posix_cpu_timers() do kernel Linux que possibilita use‑after‑free e escalonamento local de privilégios. A falha afeta builds como Linux LTS 6.12.33 e kernels 32‑bit (incluindo Android 32‑bit); patches upstream já foram liberados e administradores devem aplicar atualizações imediatamente.