A empresa de Redmond lançou uma atualização de segurança para corrigir uma falha que permite a atacantes executar remotamente código malicioso e espalha-los de máquina em máquina, sem qualquer ação do utilizador. A falha está presente nas versões 1903 e 1909 do Windows 10, quer de 32, quer de 64 bits e assenta na implementação do protocolo de bloqueio Server Message 3. A Microsoft e vários especialistas consideram que esta falha é especialmente crítica por poder causar reações em cadeia de uma máquina afetada para várias outras, de forma muito rápida. Apesar da criticidade, e de ter lançado a atualização dois dias depois de a falha ter sido conhecido, a Microsoft explica que a exploração do bug era provável, mas que não havia evidências de que estivesse a ser feita atualmente, noticia o ArsTechnica.
Investigadores da Sophos detalham que atacantes com uma exploração bem elaborada seriam capazes de ler passwords e outros dados sensíveis, bem como obter um comando que lhes permitiria tomar controlo da máquina vulnerável.
Esta equipa explica que há três cenários possíveis para a exploração desta falha:
Cenário 1
Se o utilizador ou administrador de uma máquina que estiver a partilhar ficheiros tiver aberto a porta 445 ou desabilitado a firewall do Windows, ou se a máquia pertença a um Windows Domain, a máquina fica aberta a uma forma de ataque remoto. “O fator de mitigação é que requer que o atacante tenha um código de topo que possa contornar todas as mitigações do Windows 10 e que a vítima tenha a porta 445/tcp aberta para ligações de entrada”.
Cenário 2
O atacante tenta enviar mensagens de sapm que contenham links que coloquem a máquina da vítima ao serviço de uma rede através da ligação a um servidor malicioso. Uma variação é que o atacante possa colocar um aparelho de confiança dentro de uma rede à qual já tenha acesso limitado. A desvantagem deste método, para os hackers, é que exigem ainda alguma engenharia social para enganar os utilizadores.
Cenário 3
O atacante tem acesso limitado a uma máquina vulnerável e explora a falha SMBv3 para correr código malicioso e obter os mesmos direitos de sistema que a vítima, procurando elevar o seu nível de permissões depois.
Apesar de esta falha existir, a Sophos explica que os mecanismos de defesa robustos da Microsoft para o Windows 10 tornam difícil este tipo de exploração. As defesas passam por fazer as máquinas bloquearem, como forma de alertar os utilizadores ou administradores de que um ataque está a ser desencadeado.
Agora, a atualização de emergência visa sanar a vulnerabilidade, especialmente para as máquinas que usam partilham impressoras, ficheiros ou recursos em rede. Caso não seja possível instalar já a aplicação, os utilizadores vão poder desabilitar a compressão SMB ou bloquear a porta 445 para a Internet.
