25 de março de 2024

vulnerabilidade do Windows Defender

SÓ PORQUE UMa vulnerabilidade é antiga, não significa que não seja útil. Quer se trate do hacking do Adobe Flash ou do exploit EternalBlue para Windows , alguns métodos são bons demais para serem abandonados pelos invasores, mesmo que já tenham passado do seu auge. Mas um bug crítico de 12 anos no antivírus onipresente Windows Defender da Microsoft foi aparentemente esquecido por atacantes e defensores até recentemente. Agora que a Microsoft finalmente o corrigiu, a chave é garantir que os hackers não tentem recuperar o tempo perdido.

A falha, descoberta por pesquisadores da empresa de segurança SentinelOne, apareceu em um driver que o Windows Defender – renomeado Microsoft Defender no ano passado – usa para excluir os arquivos invasivos e a infraestrutura que o malware pode criar. Quando o driver remove um arquivo malicioso, ele o substitui por um novo e benigno como uma espécie de espaço reservado durante a correção. Mas os pesquisadores descobriram que o sistema não verifica especificamente esse novo arquivo. Como resultado, um invasor pode inserir links de sistema estratégicos que direcionam o driver a sobrescrever o arquivo errado ou até mesmo executar código malicioso. 

O Windows Defender seria infinitamente útil para invasores para tal manipulação, porque ele vem com o Windows por padrão e, portanto, está presente em centenas de milhões de computadores e servidores em todo o mundo. O programa antivírus também é altamente confiável dentro do sistema operacional e o driver vulnerável é assinado criptograficamente pela Microsoft para provar sua legitimidade. Na prática, um invasor que explora a falha pode excluir softwares ou dados cruciais, ou até mesmo direcionar o driver para executar seu próprio código para assumir o dispositivo.

“Esse bug permite o aumento de privilégios”, disse Kasif Dekel, pesquisador de segurança sênior da SentinelOne. “O software executado com poucos privilégios pode se elevar a privilégios administrativos e comprometer a máquina.”

O SentinelOne relatou o bug pela primeira vez à Microsoft em meados de novembro, e a empresa lançou um patch na terça-feira. A Microsoft classificou a vulnerabilidade como de “alto” risco, embora haja ressalvas importantes. A vulnerabilidade só pode ser explorada quando um invasor já tem acesso – remoto ou físico – a um dispositivo de destino. Isso significa que não é um balcão único para hackers e precisaria ser implantado junto com outras explorações na maioria dos cenários de ataque. Mas ainda assim seria um alvo atraente para hackers que já têm esse acesso. Um invasor pode tirar vantagem de ter comprometido qualquer máquina Windows para penetrar mais profundamente em uma rede ou no dispositivo da vítima, sem ter que primeiro obter acesso a contas de usuário com privilégios, como as de administradores.

O SentinelOne e a Microsoft concordam que não há evidências de que a falha foi descoberta e explorada antes da análise dos pesquisadores. E o SentinelOne está omitindo detalhes sobre como os invasores poderiam aproveitar a falha para dar tempo ao patch da Microsoft para proliferar. Agora que as descobertas são públicas, no entanto, é apenas uma questão de tempo até que os malfeitores descubram como tirar vantagem. Um porta-voz da Microsoft observou que qualquer pessoa que instalou o patch de 9 de fevereiro, ou habilitou as atualizações automáticas, agora está protegido.

No mundo dos sistemas operacionais convencionais, doze anos é muito tempo para uma vulnerabilidade ruim se esconder. E os pesquisadores dizem que ele pode estar presente no Windows há ainda mais tempo, mas sua investigação foi limitada pelo tempo que a ferramenta de segurança VirusTotal armazena informações sobre produtos antivírus. Em 2009, o Windows Vista foi substituído pelo Windows 7 como a versão atual da Microsoft. 

Os pesquisadores levantaram a hipótese de que o bug permaneceu oculto por muito tempo porque o driver vulnerável não está armazenado no disco rígido do computador em tempo integral, como os drivers da impressora. Em vez disso, ele fica em um sistema Windows denominado “biblioteca de vínculo dinâmico” e o Windows Defender só o carrega quando necessário. Assim que o driver terminar de funcionar, ele será apagado do disco novamente.  

“Nossa equipe de pesquisa notou que o driver é carregado dinamicamente e, em seguida, excluído quando não é necessário, o que não é um comportamento comum”, diz Dekel do SentinelOne. “Então, examinamos isso. Vulnerabilidades semelhantes podem existir em outros produtos, e esperamos que até revelando isso, vamos ajudar outros a ficarem seguros. ”

Bugs históricos surgem ocasionalmente, de uma falha de modem do Mac de 20 anos a um bug zumbi de 10 anos em telefones de mesa da Avaya. Os desenvolvedores e pesquisadores de segurança não conseguem capturar tudo o tempo todo. Já aconteceu antes com a Microsoft. Em julho, por exemplo, a empresa corrigiu uma vulnerabilidade DNS do Windows potencialmente perigosa de 17 anos . Tal como acontece com tantas coisas na vida, antes tarde do que nunca.

Informações Wired