QUEM PERSEGUE DUAS COISAS AO MESMO TEMPO NÃO ALCANÇA UMA DELAS E DEIXA A OUTRA ESCAPAR.
A Microsoft emitiu um alerta sobre uma vulnerabilidade Zero Day que permite execução remota de código através de um arquivo Microsoft Office malicioso. Antes de prosseguir, convém fazer uma breve contextualização. Vamos a ela.
Vulnerabilidades zero day são falhas (ou brechas) de segurança presentes nos softwares (sistemas e programas), mas desconhecidas pela empresa desenvolvedora até o momento em que crackers ou bug bounty hunters as descubram e explorem. Elas podem ser:
1) Falhas de segurança graves, mas que ainda não foram exploradas pela ciberbandidagem;
2) Falhas de segurança graves ainda desconhecidas pelos
desenvolvedores, mas que já vêm sendo exploradas por cibercriminosos.
Essas brechas são descobertas de duas maneiras. A
primeira é quando whitehackers (ou hackers do bem) se reúnem para
identificar e reportar falhas de segurança em softwares. A segunda é quando os blackhackers
(os crackers, ou hackers "do mal") buscam brechas de segurança que
possam utilizar em seus ataques. Em ambas as situações, é importante proceder à
correção das falhas com a devida urgência.
Os cibercriminosos estão sempre em busca de novas
formas de atuação. As vulnerabilidades zero day nem sempre são iguais ou
possibilitam determinadas atuações, de modo que sua exploração depende muito da
própria falha e das possibilidades que ela abre para o atacante.
Por exemplo, hackers podem descobrir uma determinada
falha que permita a disseminação de um vírus na rede, e esse vírus pode
circular durante meses — ou anos — até que, enfim, sua presença seja detectada
e a brecha corrigida. Contudo, mesmo que a correção ocorra (por meio de um patch
ou uma atualização de versão do programa), nem todos os usuários se apressam a
atualizar seus sistemas e programas, permitindo, consequentemente, que os
cibercriminosos continuem tirando proveito dessa falhas.
Uma situação muito parecida ocorre também quando
especialistas em segurança — os whitehackers — descobrem falhas e avisam
os desenvolvedores. Quando isso acontece, a vulnerabilidade se torna pública, o
que é sopa no mel para a bandidagem de plantão, que passam, então, a
utilizá-la, cientes de que nem todos os usuários irão atualizar prontamente
seus softwares. Nesse caso, porém, a brecha deixa de ser chamada de zero day.
Um dos grandes exemplos que tivemos nos últimos anos
foi o ransomware
WannaCry, responsável por um dos maiores ataques da história da
computação. Por meio de uma falha no Windows, mais de 200 mil máquinas
foram contaminadas em 150 países — o Brasil foi o quinto país mais afetado e os
cibercriminosos cobravam cerca de U$300 para devolver os arquivos "sequestrados"
aos usuários.
Algumas falhas são exploradas por cibercriminosos que
não têm necessariamente interesse em retorno financeiro — embora isso seja raro
hoje em dia, as primeiras cepas de vírus eletrônicos visavam apagar arquivos,
danificar programas e, em situações extremas, obrigar as vítimas a reinstalar o
sistema operacional no computador. Mas é bom não perder de vista o fato de que malwares
continuam sendo distribuídos por meio de vulnerabilidades zero day.
O roubo de dados se tornou uma das atividades mais
lucrativas realizadas para os cibercriminosos, já que lhes permite exigir
resgate para a devolução dos dados, ou vende-los no mercado negro, ou, ainda,
simplesmente divulgá-los para prejudicar as vítimas (nesse caso, as vítimas normalmente
são empresas).
Claro que existem formas de buscar se proteger de
ataques que explorem vulnerabilidades zero day, entre as quais a mais
importante talvez seja manter o software atualizado. Mas isso não o desobriga
de manter um arsenal de defesa robusto e checar com ele, periodicamente, a
saúde do sistema.
Voltando ao ponto inicial, a vulnerabilidade de que trata o alerta emitido pela Microsoft surge num momento delicado, considerando que o Brasil é o país com o maior número de ataques de phishing do mundo e que as vulnerabilidades de execução remota vem sendo largamente exploradas pela bandidagem.
De acordo com Scott Caveza, Diretor de
Engenharia de Pesquisa da Tenable, aproveitando o Labor Day (dia
do trabalho, em 6 de setembro, que é um dos feriados mais populares nos Estados
Unidos), os cibercriminosos se aproveitaram a tal vulnerabilidade Zero Day
do Windows para disseminar um documento manipulado do Microsoft Office,
acompanhado de mensagens que se valem da engenharia
social para induzir as vítimas a abrirem o anexo.
Em outras palavras, esse ataque exige a interação
dos usuários — que, como a gente costuma dizer, são o "elo mais frágil"
da corrente da segurança digital. Portanto, enquanto essa vulnerabilidade não
for corrigida, é preciso redobrar os cuidados na hora de abrir anexos
provenientes de remetentes desconhecidos (ou mesmo de conhecidos, já que a
bandidagem pode colocar o que ela quiser no campo "remetente" da
mensagem de email).
Segundo a Microsoft, a Protected View impede que o ataque seja executado com
sucesso. Além disso, há uma solução que desabilita os controles ActiveX
no navegador, o que pode se prevenir contra esse tipo de ataque até que a
correção seja disponibilizada pela empresa de Redmond.