Na semana passada, três eventos interessantes no campo da segurança da informação ocorreram de uma só vez: a vulnerabilidade explorada no Whatsapp foi encerrada, os patches foram lançados para vulnerabilidades críticas no Windows, mesmo para versões não suportadas do sistema operacional, e a Intel encontrou outro problema semelhante ao Spectre. Vamos começar com uma vulnerabilidade no componente Serviços de Área de Trabalho Remota (
notícias , publicação no blog da Microsoft). Os detalhes técnicos da vulnerabilidade não foram divulgados, mas sabe-se que o bug permite que você obtenha o controle do sistema usando o protocolo RDP sem autorização.
As vulnerabilidades são afetadas pelo Windows 7 e Windows 2008 Server, bem como pelo Windows XP e Windows 2003 Server não suportados. O artigo de Brian Krebs
aponta a semelhança da vulnerabilidade com o bug
EternalBlue no protocolo SMB, que em 2017 levou a uma epidemia em larga escala do Trojan WannaCry ransomware. Nesse caso, o invasor pode obter acesso a qualquer sistema sem patch acessível através do protocolo RDP e através dele para espalhar o ataque para outros computadores na rede local. Apesar do rápido lançamento do patch, provavelmente ainda ouviremos as consequências do uso desse bug.
Para reduzir a probabilidade de um ataque em larga escala, a Microsoft lançou patches para Windows XP e 2003 Server, que não são mais oficialmente suportados pela empresa. Em 14 de maio, a Microsoft fechou várias outras vulnerabilidades, incluindo o bug crítico
CVE-2019-0863 no sistema Windows Error Reporting. Diferente do problema no RDP, essa vulnerabilidade afeta as versões modernas do sistema operacional até o Windows 10 e pode ser usada para escalar privilégios. Essa vulnerabilidade é ativamente explorada por cibercriminosos.
O incidente mais discutido na semana passada foi o relato de uma séria vulnerabilidade no WhatsApp Messenger (
notícias ). A vulnerabilidade
CVE-2019-3568 foi fechada pela atualização do Whatsapp para Android e iOS
em 13 de maio . Curiosamente, no anúncio da nova versão para Android, a principal mudança não foi um patch, mas a exibição de adesivos em tela cheia:
Na discussão, observou-se que os usuários comuns têm maior probabilidade de atualizar o cliente por causa dos adesivos, e poucas pessoas pensam em segurança até agora. A Check Point Software analisou o patch e
encontrou algumas novas verificações no tamanho do pacote do protocolo SRTCP usado para telefonia na Internet. Aparentemente, a ausência dessas verificações causou um estouro de buffer. Mas o que aconteceu depois - ninguém sabe, só podemos assumir o controle sobre a aplicação e a exfiltração dos dados. Mas houve muita conversa sobre a fonte da exploração.
Segundo o Financial Times, a exploração ativa da exploração foi notada simultaneamente no Facebook (o atual proprietário do messenger) e na organização de direitos humanos Citizen Lab. Este último foi contatado por um advogado britânico que recebeu várias videochamadas de números desconhecidos em um telefone da Apple com um messenger instalado. Para explorar a vulnerabilidade, você precisa enviar um pacote de dados especialmente preparado para o destinatário, que o cliente WhatsApp percebe como uma chamada de vídeo. Não há necessidade de atender a chamada. Segundo o Financial Times, a vulnerabilidade foi encontrada pelo NSO Group, especializado em vender explorações a agências governamentais e serviços especiais. Foi possível identificar o desenvolvedor por metadados.
Um desenvolvimento interessante da história foi o cargo do fundador do mensageiro do Telegram Pavel Durov (
original ,
tradução em Habré), intitulado "Por que o WhatsApp nunca estará seguro". Quão seguro é o próprio Telegram - também um assunto para discussão, tanto técnica quanto emocional. Mas esse não é o ponto: a postagem de Durov é um exemplo de como a segurança está se tornando uma ferramenta de publicidade. Uma vantagem (real ou imaginária) que considera importante uma parte significativa do público-alvo. Esta é uma boa notícia: se os participantes do mercado de alguma forma tiverem que anunciar seus serviços como protegidos contra hackers, mais cedo ou mais tarde eles
realmente precisarão
fazer algo nessa direção .
Concluiremos a revisão de notícias com quatro novos ataques a canais de terceiros (
notícias ). As vulnerabilidades correspondentes foram encontradas nos processadores Intel; foram descobertas durante verificações internas na própria empresa (um artigo detalhado no site da
Intel ), além de pesquisadores de uma universidade técnica em Graz, na Áustria (minisite com um URL "falante"
cpu.fail ).
Pesquisadores independentes identificaram quatro vetores de ataque e, para cada um deles, delinearam um cenário realista para obter quaisquer dados de interesse do invasor. No caso de um ataque do Zombieload, este é o histórico das páginas visitadas no navegador. O ataque RIDL permite extrair segredos de aplicativos em execução no sistema ou em máquinas virtuais. O ataque do Fallout só pode amplificar outros ataques, recebendo informações sobre a leitura de dados gravados anteriormente na memória pelo sistema operacional. Finalmente, o método de encaminhamento de armazenamento para vazamento pode teoricamente ser usado para ignorar o ASLR.
Na Intel, eles tentam não adotar os nomes criativos (e um pouco assustadores) dos ataques e os chamam de amostragem de dados microarquitetônicos complexos. A técnica MDS permite que um processo local leia dados inacessíveis da memória usando o mesmo método de ataques a canais de terceiros que a família Spectre descoberta anteriormente. A Intel promete fechar vulnerabilidades nas próximas revisões de processadores, e as CPUs da 8ª e 9ª gerações não são parcialmente afetadas por esse ataque. Uma atualização de microcódigo será lançada para o restante dos processadores e, para aumentar a segurança contra a ameaça (até agora teórica), como de costume, você terá que pagar uma
queda no desempenho .
Segundo a Intel, esse percentual é de alguns por cento, mas aqui é interessante determinar o preço da segurança, que todos temos que pagar.
Isenção de responsabilidade: as opiniões expressas neste resumo nem sempre coincidem com a posição oficial da Kaspersky Lab. Caros editores, geralmente recomendam tratar qualquer opinião com ceticismo saudável.