Windows corrige falha crítica que permite ataque de ransomware

A Microsoft corrigiu nesta semana uma falha de dia-zero no Windows que vinha servindo como porta de entrada para ataques de ransomware. A brecha descoberta em fevereiro foi usada em ataques contra centenas de milhares de usuários, com 80% dos casos registrados na Europa, e era uma variação de outro método de golpe, também resultante de uma abertura zero-day corrigida em dezembro do ano passado.

• Windows é alvo de 95% das novas ameaças virtuais
• No Brasil, um em cada três ataques usa malware para roubo de dados

A nova vulnerabilidade, rastreada como CVE-2023-24880, estava no sistema de proteção SmartScreen, usado pelo Windows para bloquear a execução de programas suspeitos ou que tenham sido baixados e rodados diretamente da internet. O recurso é voltado, justamente, para evitar a contaminação por malware, mas os responsáveis pelo Magniber encontraram uma forma de ultrapassar a barreira para realizar ataques.

Na exploração, arquivos em formato MSI tinham o código verificado a partir do recurso Authenticode, também da Microsoft, mas de forma manipulada. Ainda que essa alteração fosse suficiente para que o sistema considerasse a assinatura inválida, ela ainda impedia a adição de marcadores que indicavam o download do executável da internet, enganando o SmartScreen para que ele possibilitasse a instalação sem emitir alertas aos usuários.

De acordo com o Grupo de Análise de Ameaças (TAG, na sigla em inglês) do Google, responsável pela descoberta, mais de 100 mil download de arquivos perigosos foram detectados como parte da campanha, que teria começado em janeiro deste ano. 80% dos registros foram localizados na Europa, o que mostra também uma mudança de foco para o Magniber, que costuma atingir países da Ásia como Taiwan e Coreia do Sul.

Segundo os especialistas, o problema continuou mesmo após a atualização de dezembro porque a Microsoft liberou uma correção limitada, que atingia um dos vetores da exploração e não a raiz do problema. A troca entre os pesquisadores do Google e da empresa de Redmond, entretanto, permitiu que a brecha fosse localizada e, agora, corrigida, em uma atualização de segurança liberada nesta terça-feira (14) e recomendada para todos os usuários do Windows.

De acordo com o Google TAG, ainda, a nova via de ataque é uma demonstração da capacidade técnica da quadrilha responsável pelos ataques. Diante da correção liberada em dezembro, eles foram rápidos em encontrar um novo vetor de exploração para iniciar uma campanha inédita de ataques menos de um mês depois, com uma variante do malwware que representa perigo, principalmente, às corporações. Indicadores de comprometimento também foram revelados pelos especialistas.

Em seu registro sobre a falha, a Microsoft atribui risco médio à CVE-2023-24880, mas considera que o nível de complexidade exigido dos criminosos na realização de um ataque é baixo. Ainda assim, a recomendação é de instalação do update para empresas e organizações oficiais, de forma que a porta de entrada para os ataques seja fechada. Medidas educacionais, com treinamentos sobre ataques de phishing e o uso de arquivos anexos para carregar vírus, também devem ser tomadas pelas companhias, além da implantação de melhores práticas de segurança e o uso de sistemas de monitoramento e proteção.

Fonte: Microsoft, Google TAG