.
É geralmente aceito que as falhas de segurança nos produtos da Microsoft são um grande ímã para criminosos e fraudadores: seu vasto império de hardware e software é um ecossistema rico em alvos, pois há uma ampla gama de bugs para explorar e um grande número de organizações vulneráveis. e usuários.
E então podemos acreditar quando a Qualys disse ontem que 15 das 20 vulnerabilidades de software mais exploradas que observou estão no código da Microsoft.
Estas são as vulnerabilidades utilizadas por criminosos para infectar os sistemas das vítimas com ransomware, alterar ou roubar dados e espalhar remotamente malware ou dispositivos de controle. O método da Qualys para classificar essas falhas de segurança levou em consideração vários fatores, incluindo o número de invasores conhecidos por explorar a vulnerabilidade.
Notavelmente, as vulnerabilidades mais antigas receberam menos peso, embora isso não pareça ter ajudado no caso da Microsoft. A falha número 1 da lista foi corrigida em novembro de 2017, uma falha de execução de código no Editor de Equações do Microsoft Office que esperávamos que já tivesse sido praticamente mitigada. Finalmente, um código de exploração mais maduro e a inclusão na lista CISA do governo dos EUA de vulnerabilidades mais exploradas também aumentarão a classificação de um bug no índice Qualys. Portanto, esteja ciente de que esta lista não está ordenada apenas por taxa de exploração; há outros pontos que a Qualys considerou.
Acima de tudo, mostra que a Microsoft continua a ser um alvo atraente para criminosos e bisbilhoteiros, graças à extensa base de utilizadores do gigante das TI, com décadas de existência.
“Em última análise, isso se resume ao retorno do investimento da perspectiva do invasor”, disse Mehul Revankar, vice-presidente de gerenciamento de produtos da Qualys. Strong The One. “É mais provável que os invasores se concentrem em aplicativos baseados na Microsoft devido ao maior número de sistemas vulneráveis, aumentando suas chances de explorar e se infiltrar com sucesso nas organizações”.
A Microsoft não quis comentar.
Além do fabricante do Windows, outros fornecedores na lista dos 20 principais incluem Oracle, com três bugs fortemente explorados, e Linux, Jira Atlassian, Apache, Citrix, Ivanti e Fortinet, com um cada.
CVE de 6 anos ainda forte
A vulnerabilidade número 1 é um bug de corrupção de memória de seis anos no Microsoft Office, rastreado como CVE-2017-11882foi explorado recentemente, em 31 de agosto, de acordo com a Qualys.
“Se o usuário tiver direitos administrativos, o invasor poderá obter controle total do sistema, instalar programas, alterar dados ou criar novas contas de usuário com privilégios totais”, escreveu Ramesh Ramachandran, principal gerente de produto da Qualys para gerenciamento, detecção e resposta de vulnerabilidades, ao revelar a lista dos 20 primeiros.
“Esta vulnerabilidade será explorada se o usuário abrir um arquivo especialmente criado, potencialmente enviado por e-mail ou hospedado em um site comprometido.”
Desde que foi corrigido em 2017, o problema foi explorado por dezenas de invasores e gangues e usado para implantar 467 variantes de malware e 14 tipos de ransomware, disseram-nos. A vulnerabilidade é usada principalmente para fins de espionagem e usada para implantar software de roubo de dados. A CISA incluiu o bug em seu Vulnerabilidades adicionais exploradas rotineiramente em 2022 lista, e liderou a lista do US-CERT de falhas mais exploradas de volta em 2020.
No verão passado, os pesquisadores da Kaspersky ataques atribuídos que abusou desse bug para a gangue chinesa de crimes cibernéticos TA428. Os ciberespiões exploraram o CVE-2017-11882 para comprometer mais de uma dúzia de organizações em vários países da Europa de Leste, incluindo a Bielorrússia, a Rússia, a Ucrânia e o Afeganistão, instalando backdoors e depois roubando dados confidenciais de grupos militares e industriais.
A falha nº 2, CVE-2017-0199também foi corrigido em 2017. É uma vulnerabilidade de execução remota de código que afeta versões específicas do Microsoft Office e WordPad quando eles analisam arquivos especialmente criados.
Para explorar o CVE-2017-0199, um invasor teria que enganar o usuário para que ele abrisse ou visualizasse um arquivo malicioso – geralmente enviado por e-mail de phishing. E, novamente, vale a pena notar que Redmond resolveu o problema, de acordo com o titã do software, “corrigindo a maneira como o Microsoft Office e o WordPad analisam arquivos especialmente criados e ativando a funcionalidade API no Windows que o Microsoft Office e o WordPad aproveitarão para resolver o problema identificado.”
Ao longo dos anos, ela foi explorada por 93 tipos de malware, 53 invasores e cinco famílias de ransomware, de acordo com a Qualys, que acrescenta que essa vulnerabilidade era “uma tendência à solta até 4 de setembro”.
De volta a 2012
Se as falhas de segurança dos primeiros dois anos não fossem ruins o suficiente, a terceira falha na lista da Qualys é uma vulnerabilidade de execução remota de código nos Controles Comuns do Windows que remonta a 2012. É rastreada como CVE-2012-0158.
Um invasor precisaria convencer um usuário a visitar um site malicioso repleto de código projetado para explorar a vulnerabilidade. Supondo que um criminoso tenha conseguido fazer isso – e, de acordo com a Qualys, 45 invasores diferentes conseguiram – ele poderia obter os mesmos privilégios que o usuário conectado.
“Se o usuário tiver privilégios administrativos, isso pode significar controle total do sistema afetado”, escreveu Ramachandran. “Essa vulnerabilidade tem sido explorada em vários ataques cibernéticos, permitindo que invasores instalem programas, manipulem dados ou criem novas contas com direitos totais de usuário”.
A vulnerabilidade classificada em 4º lugar é mais um bug RCE no Microsoft Office e WordPad rastreado como CVE-2017-8570. Exige que um invasor engane o usuário para que abra um arquivo malicioso e pode ser usado para baixar e executar malware nos computadores das vítimas.
A lista completa de todas as 20 vulnerabilidades pode ser encontrada aqui. E para encerrar: por favor, pessoal, atualizem seu software e instalem os patches em tempo hábil. Não vamos continuar facilitando as coisas para os criminosos. ®
.
