More

    0 dias, um patch com falha e uma ameaça de backdoor. Atualize os destaques da terça-feira


    A Microsoft corrigiu na terça-feira 120 vulnerabilidades, duas que são notáveis ​​porque estão sob ataque ativo e uma terceira porque corrige um patch anterior para uma falha de segurança que permitia que os invasores obtivessem um backdoor que persistia mesmo após a atualização da máquina.

    Vulnerabilidades de dia zero recebem esse nome porque um desenvolvedor afetado tem zero dias para lançar um patch antes que a falha de segurança seja atacada. Os exploits de dia zero podem estar entre os mais eficazes porque geralmente não são detectados por antivírus, sistemas de prevenção de intrusão e outras proteções de segurança. Esses tipos de ataques geralmente indicam um ator de ameaça de meios acima da média devido ao trabalho e à habilidade necessários para identificar a vulnerabilidade desconhecida e desenvolver uma exploração confiável. Para aumentar a dificuldade: os exploits devem contornar as defesas que os desenvolvedores gastaram recursos consideráveis ​​na implementação.

    O sonho de um hacker: contornando as verificações de assinatura de código

    O primeiro dia zero está presente em todas as versões com suporte do Windows, incluindo Windows 10 e Server 2019, que os profissionais de segurança consideram dois dos sistemas operacionais mais seguros do mundo. CVE-2020-1464 é o que a Microsoft está chamando de Vulnerabilidade de falsificação de assinatura do Windows Authenticode. Os hackers que o exploram podem infiltrar seu malware em sistemas direcionados, contornando uma defesa contra malware que usa assinaturas digitais para certificar que o software é confiável.

    Authenticode é a tecnologia de assinatura de código interna da Microsoft para garantir que um aplicativo ou driver venha de uma fonte conhecida e confiável e não tenha sido adulterado por ninguém. Como eles modificam o kernel do sistema operacional, os drivers podem ser instalados no Windows 10 e no Server 2019 apenas quando possuem uma dessas assinaturas criptográficas. Em versões anteriores do Windows, as assinaturas digitais ainda desempenham um papel importante em ajudar o antivírus e outras proteções a detectar wares maliciosos.

    A rota típica para os invasores contornar essa proteção é assinar seu malware com um certificado válido roubado de um provedor legítimo. A investigação do Stuxnet, o worm que é amplamente considerado como alvo do programa nuclear do Irã há uma década, foi uma das primeiras vezes que os pesquisadores descobriram a tática usada.

    Desde então, no entanto, os pesquisadores descobriram que a prática data de pelo menos 2003 e é muito mais difundida do que se pensava anteriormente. Certificados roubados continuam a ser uma ocorrência regular, com um dos incidentes mais recentes usando um certificado roubado em 2018 da Nfinity Games para assinar malware que infectou vários fabricantes de jogos Massively Multiplayer Online no início deste ano.

    O CVE-2020-1464 possibilitou que os hackers obtivessem o mesmo desvio sem o incômodo de roubar um certificado válido ou se preocupar com a possibilidade de revogação. O host de versões do Windows afetadas sugere que a vulnerabilidade existe há anos. A Microsoft não forneceu detalhes sobre a causa da vulnerabilidade, como ela é explorada, por quem ou quem são os alvos.

    A Microsoft normalmente dá crédito aos pesquisadores que relataram as falhas que ele corrige, mas a página de reconhecimento da Microsoft para o Update Tuesday deste mês não faz nenhuma menção ao CVE-2020-1464. Um representante da Microsoft disse que a descoberta foi feita internamente por meio de pesquisas feitas na Microsoft.

    IE: Tão antigo quanto inseguro

    O outro dia zero sob ataque pode instalar malware à escolha de um invasor quando os alvos visualizam conteúdo malicioso com o Internet explorer, um navegador antigo com uma base de código desatualizada que é vulnerável a todos os tipos de exploits.

    De acordo com a empresa de segurança Sophos, o CVE-2020-1380 deriva de uma classe de bug de uso após liberação que permite que os invasores carreguem código malicioso em um local da memória que foi liberado quando seu conteúdo anterior não está mais em uso. A vulnerabilidade reside no compilador just-in-time do mecanismo JavaScript do IE.

    Uma maneira pela qual os invasores podem explorar a falha é plantando um código bloqueado em um site que o alvo visita. Outro método é incorporar um controle ActiveX malicioso em um aplicativo ou documento do Microsoft Office que usa o mecanismo de renderização do IE. Apesar de ser prejudicial, o Windows mostrará que o controle ActiveX é “seguro para inicialização”.

    Não há dúvida de que os exploits in-the-wild são alarmantes para as pessoas ou organizações sob ataque. Mas, de modo geral, o CVE-2020-1380 preocupa menos a Internet como um todo devido à pequena base de usuários ameaçados. Com o aumento das proteções avançadas no Chrome, Firefox e Edge, o IE passou de um navegador com uso quase monopolista para um com menos de 6% de participação no mercado. Quem ainda está usando deve desistir por algo com melhores defesas.

    Um bug “leet” com uma correção indescritível

    A terceira correção lançada na terça-feira é CVE-2020-1337. Seu número, 1337, que os hackers costumam usar para soletrar “leet”, como em “elite”, é um traço notável. A distinção mais importante é que é um patch para o CVE-2020-1048, uma atualização que a Microsoft lançou em maio.

    O patch de maio deveria consertar uma vulnerabilidade de escalonamento de privilégios no Windows Print Spooler, um serviço que gerencia o processo de impressão, incluindo a localização de drivers de impressora e o carregamento deles e o agendamento de trabalhos de impressão.

    Resumindo, a falha possibilitou que um invasor com a capacidade de executar código de baixo privilégio estabeleça uma porta dos fundos em computadores vulneráveis. O invasor pode retornar a qualquer momento depois disso para escalar o acesso aos todos os poderosos direitos do Sistema. A vulnerabilidade era o resultado do spooler de impressão permitindo que um invasor gravasse dados arbitrários em qualquer arquivo em um computador com privilégios de sistema. Isso tornou possível eliminar uma DLL maliciosa e executá-la por um processo executado com privilégios de sistema.

    Uma descrição técnica detalhada dessa falha é fornecida neste artigo dos pesquisadores Yarden Shafir e Alex Ionescu. Eles observam que o spooler de impressão tem recebido pouca atenção dos pesquisadores, apesar de ser um dos códigos mais antigos ainda em execução no Windows.

    Menos de duas semanas depois que a Microsoft lançou o patch, um pesquisador com o identificador math1as enviou um relatório para o serviço de recompensa de bug Zero Day Initiative que mostrou que a atualização falhou em corrigir a vulnerabilidade. A descoberta exigiu que a Microsoft desenvolvesse um novo patch. O resultado é o que foi divulgado na terça-feira. A ZDI tem uma análise completa do patch com falha aqui.

    Ao todo, a atualização de terça-feira deste mês corrigiu quase três dúzias de vulnerabilidades classificadas como críticas e muitas outras com classificações mais baixas. Mais ou menos um dia após o lançamento, o Windows baixa automaticamente os patches e os instala quando o computador não está em uso.

    Para a maioria das pessoas, esse sistema de atualização automática é bom, mas se você for como eu e quiser instalá-los imediatamente, isso também é fácil. No Windows 10, vá para Iniciar> Configurações> Atualização e segurança> Windows Update e clique em Verificar atualizações. No Windows 7, vá para Iniciar> Painel de Controle> Sistema e Segurança> Windows Update e clique em Verificar Atualizações. Será necessário reinicializar.


    Artigos Recentes

    Como a Internet of Medical Things está melhorando os cuidados de saúde para pacientes e profissionais

    A esfera médica está passando por uma rápida transformação com a introdução de soluções tecnológicas conectadas. Conhecido como Internet of Medical Things...

    Pesquisadores da UC Berkeley detectam ‘fala silenciosa’ com eletrodos e IA

    Os pesquisadores da UC Berkeley dizem que são os primeiros a treinar IA usando palavras silenciosas e sensores que coletam...

    É assim que vamos nos fundir com a IA

    A relação entre humanos e IA é uma espécie de dança. Nós e a IA nos aproximamos operando de forma colaborativa, então...

    Miniusuários do Apple HomePod com problemas graves de Wi-Fi

    Alguns usuários do Apple HomePod mini estão relatando um problema com a conectividade Wi-Fi, com apenas uma correção temporária em jogo. Um tópico nos...

    Artigos Relacionados

    DEIXE UMA RESPOSTA

    Por favor digite seu comentário!
    Por favor, digite seu nome aqui