Horas depois de a Microsoft ter lançado o maior conjunto de correções de segurança da sua história, um investigador publicou no GitHub um exploit, uma falha técnica pronta a ser usada, que transforma o Windows Defender na própria porta de entrada. O Defender é o antivírus que vem instalado de série em praticamente todos os computadores com Windows. E a falha funciona em máquinas totalmente atualizadas.
Chama-se RoguePlanet e é uma zero-day, uma vulnerabilidade que se torna pública antes de existir correção. O investigador, conhecido pelo pseudónimo Nightmare Eclipse, divulgou-a a 10 de junho, na própria tarde do Patch Tuesday, o dia mensal em que a Microsoft publica as suas correções. A ironia é difícil de ignorar: no mesmo dia em que a empresa tapou centenas de buracos, abriu-se um novo, e este ficou à vista de todos.
E o que isto significa é maior do que mais um boletim de segurança. A ferramenta que existe para nos proteger passou a ser o caminho mais curto para nos comprometer. Quando o atacante não precisa de derrubar a defesa, mas sim de a virar contra a casa, a palavra «atualizado» deixa de ser sinónimo de «seguro». É essa garantia silenciosa que cai com o RoguePlanet.
Como um utilizador comum vira administrador
O ataque é uma condição de corrida (em inglês, race condition): uma falha de temporização entre o instante em que o Defender verifica um ficheiro e o instante em que age sobre ele. Nessa fração de segundo, o exploit troca o ficheiro por baixo dos pés do antivírus. Como o Defender corre com os privilégios mais altos do sistema, os chamados privilégios SYSTEM, o código do atacante herda esse poder total.
O ponto de partida é o detalhe que arrepia. Não é preciso ser administrador. Basta uma conta de utilizador comum, sem permissões especiais, para terminar com controlo absoluto da máquina. É o que em segurança se chama escalada de privilégios. Afeta o Windows 10 e o Windows 11 atualizados; o Windows Server escapa, por uma particularidade técnica que quebra a cadeia do ataque.
Sem CVE, sem correção, e um braço de ferro pelo meio
O próprio autor admite que a falha não é infalível. «O exploit é uma condição de corrida, por isso é um acerta ou falha. Consegui uma taxa de sucesso de 100% nalgumas máquinas, enquanto noutras teve dificuldade em funcionar», escreveu. Ainda assim, outros investigadores confirmaram que ele abre uma linha de comandos com privilégios SYSTEM em sistemas com as atualizações de junho. À data, não há um identificador CVE atribuído, o número oficial que cataloga cada vulnerabilidade, não há aviso oficial e não há correção para a causa raiz.
O RoguePlanet não caiu do céu. É o sétimo de uma série que o mesmo investigador vem largando desde abril, com nomes como BlueHammer, RedSun e GreenPlasma. Vários receberam CVE e pelo menos três foram explorados em ataques reais. A motivação que ele invoca é uma só: retaliação contra a forma como a Microsoft lida com a divulgação de vulnerabilidades e com os prémios que paga a quem as reporta. A empresa apagou-lhe repetidamente os repositórios no GitHub e no GitLab, e ele passou a alojá-los num servidor próprio.
A Microsoft diz estar «ciente da vulnerabilidade reportada e a investigar ativamente a validade e a aplicabilidade destas alegações», e defende a «divulgação coordenada de vulnerabilidades». No mês passado, tinha ido mais longe e classificou estas divulgações públicas como «nunca justificáveis». Por trás do duelo, a conta é simples: enquanto a empresa e o investigador medem forças, quem fica exposto é quem usa um Windows todos os dias.
Para Portugal, isto não é abstrato. A 25 de maio, o Centro Nacional de Cibersegurança já tinha emitido um alerta sobre outra falha do Windows Defender desta mesma vaga, a ser explorada ativamente e a permitir a mesma escalada até SYSTEM, com recomendação de atualização imediata. O Defender é o antivírus por omissão em casas, empresas e serviços públicos por todo o país. Quando a defesa de série tropeça, tropeça em muita gente ao mesmo tempo.
Como reduzir a exposição
Não há aqui um botão mágico, mas há terreno a defender enquanto a correção não chega:
- Mantém o Windows e o Defender em atualização automática. Não trava o RoguePlanet, mas fecha as falhas vizinhas da mesma série que já têm correção.
- Trabalha numa conta de utilizador comum, não de administrador. A maioria das ameaças precisa de um trampolim para subir; quanto mais baixo começas, mais degraus o atacante tem de vencer.
- Em ambiente de empresa, pondera o allowlisting de aplicações, ou seja, só deixar correr o que está numa lista aprovada. Foi a defesa apontada por especialistas para travar este exploit em concreto.
- Desconfia da porta de entrada inicial. Esta falha dá poder a quem já está dentro; o anexo estranho, o instalador pirata e o link apressado continuam a ser a forma de lá chegar.
Durante anos dissemos às pessoas que estar protegido era ter o antivírus ligado e o sistema em dia. O RoguePlanet mostra que essa frase precisa de uma nota de rodapé. A segurança nunca foi um produto que se instala e esquece; é um hábito que se mantém. E hoje, mais do que confiar cegamente na ferramenta que nos defende, vale a pena perguntar quem é que a está a usar.
Fonte original: The Hacker News.
#StaySafe
🙏🖖
