Informagno | Gestão em TI

Segurança Interna alerta sobre worm do Windows

A divisão consultiva de segurança cibernética da Homeland Security está alertando os usuários do Windows 10 da possibilidade de uma onda de ataques cibernéticos devido à recente publicação de um código de exploração.

“Atores cibernéticos maliciosos estão mirando sistemas sem patch com a nova [ameaça]”, observou a agência no site da Homeland Security. A agência disse que “recomenda fortemente o uso de um firewall para bloquear as portas de bloqueio de mensagens do servidor da Internet e aplicar patches às vulnerabilidades de alta e alta gravidade o mais rápido possível”.

A agência também encaminhou as partes interessadas às mensagens e notas de orientação de segurança da Microsoft publicadas pela Equipe de Prontidão de Emergência em Computador dos EUA em us-cert.gov.

Um usuário do Github publicou o código de exploração de prova de conceito na segunda-feira. Em sistemas sem patch, o código pode se espalhar para milhões de computadores. Nas mãos de atores mal-intencionados, as perdas podem ser enormes, com estimativas variando de bilhões a dezenas de bilhões de dólares.

O usuário observou que a exploração em si contém falhas, afirmando: “Foi escrita rapidamente e precisa de algum trabalho para ser mais confiável”. O usuário observou que o código freqüentemente trava um sistema, resultando em uma tela azul da morte do BSOD.

A exploração, denominada SMBGhost, não é fácil para os hackers executarem com sucesso. Mas as autoridades de segurança alertam que a natureza semelhante à minhoca da exploração, combinada com a tendência dos usuários de computadores de atrasar o patch dos sistemas com as atualizações mais recentes, é motivo de preocupação.

A falha do Windows está localizada no Server Message Block (SMB), onde arquivos, impressoras e outros acessórios vinculados por redes locais ou pela Internet se comunicam.

Um pacote malicioso pode entrar no sistema e, sem nenhuma atividade do usuário, se espalhar para milhões de outros usuários.

Essa vulnerabilidade mais recente lembra dois ataques cibernéticos devastadores, ambos implementados via worms, que ocorreram alguns anos atrás.

Em 2017, um worm de ransomware chamado WannaCry criptografou dados em mais de 200.000 computadores em 150 países e emitiu pedidos de resgate usando a criptomoeda Bitcoin. Um patch de emergência foi distribuído em poucos dias e um interruptor de interrupção foi implementado que interrompeu a propagação do worm. Mas especialistas dizem que os danos podem chegar a bilhões de dólares. Acredita-se que o ataque tenha sido lançado da Coréia do Norte.

Da mesma forma, o NotPetya no mesmo ano infectou um programa de contabilidade amplamente usado na Ucrânia e alcançou negócios em todo o mundo. Embora também tenha causado bilhões de dólares em danos, não se acreditava que ele fosse projetado principalmente para ganhar dinheiro. Um relatório de segurança examinando o ataque disse que ele não parecia ter sido projetado para “coerção ou conquista”. Um cientista da computação da Universidade da Califórnia em Berkley chamou o ataque de “um ataque deliberado, malicioso, destrutivo ou talvez um teste disfarçado de ransomware”.

A Microsoft instou todos os usuários das versões 1903 e 1909 do Windows 10 e 1903 e 1909 do Windows Server a instalar patches.

“Recomendamos que os clientes instalem atualizações o mais rápido possível, pois as vulnerabilidades divulgadas publicamente têm o potencial de serem aproveitadas por maus atores”, alertou a Microsoft em comunicado nesta sexta-feira. “Uma atualização para esta vulnerabilidade foi lançada em março e os clientes que instalaram as atualizações, ou têm as atualizações automáticas ativadas, já estão protegidos.”

A Microsoft também observou que as soluções alternativas, como desativar a compactação SMB e bloquear a porta 445, podem impedir ataques, mas que nenhuma delas corrige a vulnerabilidade subjacente.

Fonte: techxplore.com/