CVE-2024-51324

Nome do Software Vulnerável e Versões Afetadas Baidu Antivirus versão 5.2.3.116083

Descrição Um problema no driver BdApiUtil do Baidu Antivirus permite que atacantes encerrem processos arbitrários ao executar um ataque Bring Your Own Vulnerable Driver (BYOVD). O ransomware DeadLock foi observado aproveitando esta vulnerabilidade (CVE-2024-51324) para desativar sistemas de Endpoint Detection and Response (EDR). Os atacantes utilizam um script PowerShell para contornar o User Account Control (UAC), desativar o Windows Defender e excluir cópias sombra de volumes, dificultando a recuperação do sistema. O ransomware emprega uma cifra de criptografia personalizada baseada em tempo para evitar APIs criptográficas padrão do Windows, criptografando arquivos com a extensão".dlock". Os atacantes obtêm acesso persistente à rede, frequentemente estabelecendo acesso remoto via ferramentas como o AnyDesk antes da implantação do ransomware. A exploração envolve a manipulação de processos de segurança do Windows, como modificar configurações do Windows Defender usando SystemSettingsAdminFlows.exe para desativar a proteção em tempo real e defesas baseadas em nuvem. As funções CreateFile, ZwTerminateProcess e Test-Admin estão envolvidas na cadeia de ataque, junto com APIs do Windows como DeviceIOControl e GetSystemTimeAsFileTime, e serviços do Windows como Eventlog e msmpeng.

Recomendações Versões anteriores à 5.2.3.116083 devem ser atualizadas. Como solução temporária, considere desativar o driver BdApiUtil até que uma correção esteja disponível. Restrinja o acesso ao driver vulnerável BdApiUtil para minimizar o risco de exploração.