Falha no Windows facilita ataques wannacry

nrmc.pt wannacry

Atualização já foi disponibilizada pela Microsoft, mas incontáveis máquinas ainda estão vulneráveis

Não é sempre que acontece, mas ocasionalmente uma falha num sistema muito popular aparece e assusta toda a comunidade de especialistas em segurança da informação. Agora é um destes momentos, graças a uma falha conhecida como Bluekeep que afeta computadores Windows que não tenham instalado o último pacote de correção disponibilizado pela Microsoft.

A falha foi considerada de “alta severidade” pela própria Microsoft, forçando a empresa a disponibilizar pacotes de correção até mesmo para versões abandonadas do Windows, como XP, Vista e 2003, além das versões que ainda têm suporte. Ainda assim, pelo fato de muitas pessoas ignorarem os alertas de segurança, há uma infinidade de computadores expostos.

Que falha é esta, afinal de contas? Por questão de segurança, a Microsoft não expôs a falha quando disponibilizou o pacote de correção, mas especialistas em segurança já conseguiram fazer a engenharia reversa e descobrir como explorar a vulnerabilidade. É questão de tempo para que alguém com más intenções descubra como utilizá-la, o que poderia iniciar um novo ataque global não muito diferente do WannaCry, que infectou centenas de milhares de máquinas em poucas horas em mais de 150 países.

O que torna a vulnerabilidade tão grave é o fato de não depender de interação do utilizador final para que a infecção aconteça. Isso faz com que qualquer pessoa possa ser atacada se for alvo, mesmo que tenha experiência em tecnologia; não é necessário clicar sem querer num link falso recebido por e-mail, por exemplo, que costuma ser um método comum de ataque.

A técnica envolve um recurso do Windows chamado Remote Desktop Control, que é uma ferramenta que tem a função de permitir controlar remotamente outro computador (como o próprio nome em inglês já diz) por meio de uma interface gráfica. Obviamente, a função foi pensada para ser usada de forma voluntária, normalmente para usos vinculados a suporte técnico, não para permitir que código seja executado no computador de uma vítima sem o seu conhecimento. Esta vulnerabilidade afeta todas as versões do sistema operativo lançadas antes do Windows 8, o que representa ainda uma fatia bastante significativa do mercado de PCs, especialmente graças ao Windows 7, que ainda tem suporte oficial da Microsoft até ao fim do ano que vem.

A partir do momento em que o cibercrime tomar conhecimento da vulnerabilidade, não é difícil imaginar uma nova leva de ataques similar ao WannaCry de 2017. São situações absolutamente similares, no fim das contas. O WannaCry (e sua outra variação, conhecida como NotPetya), utilizava uma vulnerabilidade do Windows que ficou conhecida como EternalBlue. A falha era conhecida, ao que se sabe, apenas pela NSA (a Agência de Segurança Naciona dos EUA), mas acabou por sair para o mundo do cibercrime pelas mãos de uma organização conhecida como Shadow Brokers. A Microsoft publicou uma correção, mas o número de computadores que ignoraram a atualização foi enorme, permitindo que o WannaCry infectasse e se espalhasse com facilidade pelo planeta.

Neste caso, o que impede que o Bluekeep de ser explorado tão violentamente quanto o EternalBlue foi é a ausência, até o momento, de uma porção de código confiável para infecção e distribuição do malware. É um passo difícil de ser dado, mas não é impossível. A empresa de segurança SANS nota que “o desenvolvimento do exploit está ativo, e eu não acho que você tenha mais do que uma semana”, disse Johannes B. Ullrich, pesquisador da empresa.

Caso o cibercrime consiga transformar essa vulnerabilidade numa arma efetivamente, o worm resultante poderia se tornar tão destrutivo como o WannaCry foi, replicando-se automaticamente em redes corporativas. Isso poderia ser feito tanto para fins económicos, seja por um ransomware para arrecadar dinheiro para os hackers, quanto políticos, atingindo empresas e órgãos de infraestrutura, por exemplo.

Em casos como este, é sempre necessário enaltecer: atualizar o Windows deve ser parte de uma rotina saudável de cibersegurança de uma empresa e dos seus colaboradores comuns. No caso do Bluekeep, essa é uma prática que eliminaria riscos graves que podem dar as caras a qualquer momento.

By: Renato Santino da Olhar Digital