Microsoft corrige abertura bastante usada para distribuir vírus no Windows

A Microsoft liberou na última semana uma correção para tentar mitigar o uso de arquivos em formato ISO como um vetor preferencial de distribuição de vírus aos usuários de Windows. Agora, os dados oriundos da abertura de volumes desse tipo, quando baixados da internet, receberão uma indicação de perigo em potencial, para que o utilizador dê uma confirmação extra antes de permitir a execução.

• Windows 10: melhores dicas de segurança para proteger seu PC
• O que mudou na segurança digital do Windows após 20 anos?

O método é comumente usado em campanhas de distribuição em massa de vírus, bem como em ataques direcionados, normalmente por e-mails. Os dados vêm disfarçados de documentos ou informações importantes, enquanto o uso de um formato que exige a montagem de disco virtual garante a furtividade, já que recursos do Windows não atuam sobre eles, e ferramentas de segurança podem deixar o perigo passar.

No caso do sistema operacional, trata-se de uma tag chamada Mark of the Web, ou marca da rede (MotW, na sigla em inglês). É ela que faz aparecer uma tela de diálogo no Windows sempre que um macro online aparece no Office ou um instalador é baixado da internet, por exemplo; é uma maneira de indicar que usar elementos desse tipo pode ser perigoso, caso o usuário não tenha certeza do que está fazendo. A questão é que a janela não aparecia no caso das ISOs, o que poderia permitir a contaminação por malware.

A partir desse método, criminosos usavam atalhos do Windows para realizar ataques. Os cliques levavam vítimas a servidores remotos, de onde vírus poderiam ser baixados. A correção foi liberada pela Microsoft como parte de mais uma terça-feira de atualizações do sistema operacional, realizada no dia 8 de novembro.

O download também traz duas outras correções ao sistema MotW. A primeira, no Windows 11, trata erros na execução do alerta e impede que um positivo automático seja dado pelo sistema, enquanto a segunda faz com que arquivos somente para leitura, oriundos de pacotes ZIP, não recebessem a tag de alerta. Há ainda um terceiro bug, apontado pelo pesquisador em segurança Will Dormann, no qual códigos JavaScript podem permitir o aceite direto para rodar; a brecha continua ativa no sistema operacional.

"Consertamos um problema em que avisos MotW não eram exibidos em algumas circunstâncias envolvendo arquivos somente para leitura. Tais brechas foram reportadas por vários pesquisadores externos e vínhamos trabalhando nelas desde julho. É apenas o começo — mudanças levam tempo. Ainda existem variantes e outras questões ligadas à MotW que ficamos cientes recentemente. Aberturas no MotW normalmente não atendem aos critérios do Centro de Respostas em Segurança da Microsoft, mas podemos fazer exceções para brechas exploradas por criminosos."

Ainda assim, conforme apontou o pesquisador em segurança da Microsoft, Bill Demirkapi, se trata de um grande avanço. O update é crítico, principalmente, para empresas que lidam com dados sensíveis ou documentos sigilosos, costumeiramente alvo de campanhas de phishing nas quais os criminosos tentam se passar por contatos comerciais ou funcionários na tentativa de implantar malware.

A atualização já está disponível a todos os usuários dos Windows 10 e 11, e é recomendado que todos a instalem o mais rapidamente possível. A Microsoft também agradeceu à comunidade de pesquisadores em segurança pelo compartilhamento de descobertas e métodos de ataque que levaram à correção.