Wintech - A sua fonte diária de informação tecnológica - Sophos alerta sobre o risco de adiar atualizações no sistema operativo Windows

: Por João Fernandes; Jul. 31, 2019

Adiar as atualizações de segurança da Microsoft do passado mês de maio é uma má ideia: deveríamos começar a aplicá-las já, ainda para mais se ainda não está a utilizar o XP (por qualquer que seja a razão).

São vários os relatórios que indicam que a quantidade de servidores RDP (protocolo de escritório remoto) sem um patch aplicado na Internet continua a ser muito elevada, apesar dos avisos dos especialistas. A Sophos, líder global em segurança para proteção de redes e endpoints, levou a cabo um teste de conceito (PoC, na sua sigla em inglês) sobre como é possível realizar um ataque BlueKeep utilizando um exploit que foi desenvolvido pela equipa de investigação de ataques do SophosLabs, demonstrando que a vulnerabilidade BlueKeep é uma ameaça grave e deve ser prevenida com os patches de segurança das últimas atualizações. O BlueKeep afeta os equipamentos que executam Windows XP, Windows 7, Windows Server 2003 e Windows Server 2008.

O SophosLabs gravou um vídeo que mostra, sem os arquivos, como se pode utilizar o exploit para obter o controlo total de um sistema remoto sem autenticação.

O exploit funciona sem a utilização de arquivos e, proporciona ainda controlo total a um sistema remoto, sem que seja necessário colocar nenhum malware. Também não necessita que haja uma sessão ativa no objeto a atacar.

A Microsoft considera que a vulnerabilidade BlueKeep é tão grave que realizaram algo pouco habitual, como o lançamento de atualizações de segurança para proteger versões de um sistema operativo que já não recebia atualizações regulares e que tinha, inclusivamente, chegado ao “fim da sua vida útil”, como é o caso do Windows XP.

A equipa de investigação de ataques do SophosLabs realiza trabalhos de investigação regulares sobre vulnerabilidades de software que afetam as plataformas nas quais se executam os produtos da Sophos. A equipa foca-se em produzir exemplos de exploits para desenvolver a proteção necessária contra esses métodos de exploração das vulnerabilidades.

Não é apenas perigoso, mas sim perigosamente “wormable”

O teste de conceito realizado pelos SophosLabs recria a possibilidade de que alguém com uma conexão RDP lance um Shell de comandos com privilégios de sistema. Algo que é bastante mau, já que a ferramenta aproveitada por este equipamento para lançar o exploit, um marco rdpy, permite que qualquer pessoa aplique qualquer ação RDP, tal como clicar nos botões ou enviar pulsações artificiais das teclas.

Com muito pouco esforço, qualquer pessoa com más intenções poderia automatizar completamente toda a cadeia de ataques, incluindo os comandos “tipográficos” artificiais no shell, ou simplesmente passar os comandos ao shell.

Tudo isto seria extremamente negativo, já que permitiria ataques rápidos dirigidos a qualquer sistema que aloje RDP em qualquer parte do mundo. Não teria, necessariamente, sucesso no caso dos dispositivos com patch, mas um ataque como este enquadra-se na categoria “spray and pray”: os atacantes não são seletivos no que diz respeito a quem se dirigem e, dessa forma, há uma percentagem de equipamentos que será vulnerável.

Por todos estes motivos, se ainda não atualizou os seus computadores com Windows, faça-o agora. Acreditamos que é apenas uma questão de tempo até que alguém leve a cabo ações como estas, e a melhor defesa atual para as evitar é a realização desta atualização.

Classifique este item

(0 votos)