Baidu · Baidu Antivirus · CVE-2024-51324
**Nome do Software Vulnerável e Versões Afetadas**
Baidu Antivirus versão 5.2.3.116083
**Descrição**
Um problema no driver `BdApiUtil` do Baidu Antivirus permite que atacantes encerrem processos arbitrários ao executar um ataque Bring Your Own Vulnerable Driver (BYOVD). O ransomware DeadLock foi observado aproveitando esta vulnerabilidade (CVE-2024-51324) para desativar sistemas de Endpoint Detection and Response (EDR). Os atacantes utilizam um script PowerShell para contornar o User Account Control (UAC), desativar o Windows Defender e excluir cópias sombra de volumes, dificultando a recuperação do sistema. O ransomware emprega uma cifra de criptografia personalizada baseada em tempo para evitar APIs criptográficas padrão do Windows, criptografando arquivos com a extensão".dlock". Os atacantes obtêm acesso persistente à rede, frequentemente estabelecendo acesso remoto via ferramentas como o AnyDesk antes da implantação do ransomware. A exploração envolve a manipulação de processos de segurança do Windows, como modificar configurações do Windows Defender usando `SystemSettingsAdminFlows.exe` para desativar a proteção em tempo real e defesas baseadas em nuvem. As funções `CreateFile`, `ZwTerminateProcess` e `Test-Admin` estão envolvidas na cadeia de ataque, junto com APIs do Windows como `DeviceIOControl` e `GetSystemTimeAsFileTime`, e serviços do Windows como `Eventlog` e `msmpeng`.
**Recomendações**
Versões anteriores à 5.2.3.116083 devem ser atualizadas.
Como solução temporária, considere desativar o driver `BdApiUtil` até que uma correção esteja disponível.
Restrinja o acesso ao driver vulnerável `BdApiUtil` para minimizar o risco de exploração.