sexta-feira, 17 de setembro de 2021

VULNERABILIDADE ZERO DAY NO MS OFFICE

QUEM PERSEGUE DUAS COISAS AO MESMO TEMPO NÃO ALCANÇA UMA DELAS E DEIXA A OUTRA ESCAPAR.

A Microsoft emitiu um alerta sobre uma vulnerabilidade Zero Day que permite execução remota de código através de um arquivo Microsoft Office malicioso. Antes de prosseguir, convém fazer uma breve contextualização. Vamos a ela.

Vulnerabilidades zero day são falhas (ou brechas) de segurança presentes nos softwares (sistemas e programas), mas desconhecidas pela empresa desenvolvedora até o momento em que crackers ou bug bounty hunters as descubram e explorem. Elas podem ser: 

1) Falhas de segurança graves, mas que ainda não foram exploradas pela ciberbandidagem; 

2) Falhas de segurança graves ainda desconhecidas pelos desenvolvedores, mas que já vêm sendo exploradas por cibercriminosos.

Essas brechas são descobertas de duas maneiras. A primeira é quando whitehackers (ou hackers do bem) se reúnem para identificar e reportar falhas de segurança em softwares. A segunda é quando os blackhackers (os crackers, ou hackers "do mal") buscam brechas de segurança que possam utilizar em seus ataques. Em ambas as situações, é importante proceder à correção das falhas com a devida urgência.

Os cibercriminosos estão sempre em busca de novas formas de atuação. As vulnerabilidades zero day nem sempre são iguais ou possibilitam determinadas atuações, de modo que sua exploração depende muito da própria falha e das possibilidades que ela abre para o atacante.

Por exemplo, hackers podem descobrir uma determinada falha que permita a disseminação de um vírus na rede, e esse vírus pode circular durante meses — ou anos — até que, enfim, sua presença seja detectada e a brecha corrigida. Contudo, mesmo que a correção ocorra (por meio de um patch ou uma atualização de versão do programa), nem todos os usuários se apressam a atualizar seus sistemas e programas, permitindo, consequentemente, que os cibercriminosos continuem tirando proveito dessa falhas.

Uma situação muito parecida ocorre também quando especialistas em segurança — os whitehackers — descobrem falhas e avisam os desenvolvedores. Quando isso acontece, a vulnerabilidade se torna pública, o que é sopa no mel para a bandidagem de plantão, que passam, então, a utilizá-la, cientes de que nem todos os usuários irão atualizar prontamente seus softwares. Nesse caso, porém, a brecha deixa de ser chamada de zero day.

Um dos grandes exemplos que tivemos nos últimos anos foi o ransomware WannaCry, responsável por um dos maiores ataques da história da computação. Por meio de uma falha no Windows, mais de 200 mil máquinas foram contaminadas em 150 países — o Brasil foi o quinto país mais afetado e os cibercriminosos cobravam cerca de U$300 para devolver os arquivos "sequestrados" aos usuários.

Algumas falhas são exploradas por cibercriminosos que não têm necessariamente interesse em retorno financeiro — embora isso seja raro hoje em dia, as primeiras cepas de vírus eletrônicos visavam apagar arquivos, danificar programas e, em situações extremas, obrigar as vítimas a reinstalar o sistema operacional no computador. Mas é bom não perder de vista o fato de que malwares continuam sendo distribuídos por meio de vulnerabilidades zero day.  

O roubo de dados se tornou uma das atividades mais lucrativas realizadas para os cibercriminosos, já que lhes permite exigir resgate para a devolução dos dados, ou vende-los no mercado negro, ou, ainda, simplesmente divulgá-los para prejudicar as vítimas (nesse caso, as vítimas normalmente são empresas).

Claro que existem formas de buscar se proteger de ataques que explorem vulnerabilidades zero day, entre as quais a mais importante talvez seja manter o software atualizado. Mas isso não o desobriga de manter um arsenal de defesa robusto e checar com ele, periodicamente, a saúde do sistema.  

Voltando ao ponto inicial, a vulnerabilidade de que trata o alerta emitido pela Microsoft surge num momento delicado, considerando que o Brasil é o país com o maior número de ataques de phishing do mundo e que as vulnerabilidades de execução remota vem sendo largamente exploradas pela bandidagem.

De acordo com Scott Caveza, Diretor de Engenharia de Pesquisa da Tenable, aproveitando o Labor Day (dia do trabalho, em 6 de setembro, que é um dos feriados mais populares nos Estados Unidos), os cibercriminosos se aproveitaram a tal vulnerabilidade Zero Day do Windows para disseminar um documento manipulado do Microsoft Office, acompanhado de mensagens que se valem da engenharia social para induzir as vítimas a abrirem o anexo.

Em outras palavras, esse ataque exige a interação dos usuários — que, como a gente costuma dizer, são o "elo mais frágil" da corrente da segurança digital. Portanto, enquanto essa vulnerabilidade não for corrigida, é preciso redobrar os cuidados na hora de abrir anexos provenientes de remetentes desconhecidos (ou mesmo de conhecidos, já que a bandidagem pode colocar o que ela quiser no campo "remetente" da mensagem de email).

Segundo a Microsoft, a Protected View impede que o ataque seja executado com sucesso. Além disso, há uma solução que desabilita os controles ActiveX no navegador, o que pode se prevenir contra esse tipo de ataque até que a correção seja disponibilizada pela empresa de Redmond.