.
É melhor que usuários finais, administradores e pesquisadores se preparem: o número de aplicativos corrigidos para vulnerabilidades de dia zero disparou este mês e provavelmente piorará nas semanas seguintes.
As pessoas trabalharam horas extras nas últimas semanas para corrigir uma série de vulnerabilidades exploradas ativamente, com ofertas da Apple, Microsoft, Google, Mozilla, Adobe e Cisco sendo afetadas desde o início do mês. O número total de dias zero em setembro até agora é 10, em comparação com um total de 60 de janeiro a agosto, segundo a empresa de segurança Mandiant. A empresa rastreou 55 dias zero em 2022 e 81 em 2021.
O número de dias zero monitorados neste mês é consideravelmente superior à média mensal deste ano. Uma amostra das empresas e produtos afetados inclui iOS e macOS, Windows, Chrome, Firefox, Acrobat e Reader, Atlas VPN e Adaptive Security Appliance Software da Cisco e seu Firepower Threat Defense. O número de aplicativos provavelmente aumentará porque uma única vulnerabilidade que permite que hackers executem códigos maliciosos quando os usuários abrem uma imagem armadilhada incluída em uma mensagem ou página da web está presente em possivelmente centenas de aplicativos.
Esta vulnerabilidade, rastreada como CVE-2023-4863, tem origem em uma biblioteca de código amplamente usada conhecida como libwebp, que o Google criou há mais de uma década para renderizar o então novo formato gráfico WebP. O Libwebp, por sua vez, está incorporado em cerca de 70 bibliotecas downstream que estão incluídas em outras bibliotecas e aplicativos populares. Uma única biblioteca intermediária afetada conhecida como Electron, por exemplo, é executada no Microsoft Teams, Slack, Skype, Discord e na versão desktop do Signal messenger, para citar alguns. Os desenvolvedores do Electron corrigiram o bug na terça-feira.
Enquanto isso, dois dias zero diferentes que têm mantido os usuários de iOS e macOS ocupados foram recentemente usados para infectar alvos com um spyware avançado conhecido como Pegasus. Pegasus e as explorações que o acompanham usadas para instalá-lo são desenvolvidas pelo polêmico vendedor NSO. As explorações entregues nos ataques sobre os quais a Apple alertou na semana passada foram transmitidas por meio de chamadas do iMessage e funcionaram mesmo quando o usuário não realizou nenhuma ação.
Essas vulnerabilidades, rastreadas como CVE-2023-41064 e CVE-2023-41061, têm algumas coisas em comum com a vulnerabilidade libwebp. Por um lado, ambos fornecem recursos de execução remota de código por meio de imagens maliciosas. E por outro: ambos foram descobertos por uma equipe composta pela equipe de Engenharia e Arquitetura de Segurança da Apple e pelo Citizen Lab, um grupo de pesquisa da Universidade de Toronto que rastreia ataques cibernéticos em estados-nação. Atualmente não se sabe qual relação, se houver, CVE-2023-41064 e CVE-2023-41061 têm com CVE-2023-4863.
Três dias zero diferentes surgiram na terça-feira, dois da Microsoft e um da Adobe. Um deles, CVE-2023-36761, permite que hackers obtenham informações confidenciais, como hashes de senha, enviando a um alvo um documento malicioso do Word. A outra vulnerabilidade da Microsoft reside no Streaming Service Proxy em versões suportadas do Windows. A vulnerabilidade da Adobe, rastreada como CVE-2023-26369 e residente no Acrobat e no Reader, tem uma classificação de gravidade de 7,8 em 10 possíveis.
Dois outros dias zero relatados nas últimas duas semanas incluem:
- CVE-2023-20269 no software Adaptive Security Appliance da Cisco e em seu Firepower Threat Defense. A empresa revelou na segunda-feira que está sendo explorada em ataques de ransomware.
- CVE-2023-35674, uma vulnerabilidade no Android que permite que hackers obtenham privilégios elevados.
Em 1º de setembro, um pesquisador acessou o Reddit para postar uma exploração de uma vulnerabilidade não corrigida no Atlas VPN. Ele permite que um invasor descubra o endereço IP das pessoas que usam a VPN. Os representantes da Atlas não responderam imediatamente a um e-mail perguntando sobre o status da vulnerabilidade.
É possível que mais um dia zero tenha sido explorado nas últimas semanas. Pesquisadores do Project Zero do Google disseram na semana passada que hackers apoiados pelo governo norte-coreano estão explorando-o em ataques contra pesquisadores de segurança. Os pesquisadores não nomearam o software afetado.
Com 70 dias zero descobertos até agora este ano, 2023 está no caminho certo para bater o recorde anterior de 81 dias estabelecido em 2021. A solução mais eficaz é instalar patches de segurança assim que estiverem disponíveis. É claro que esse conselho não faz nada para os alvos atingidos antes que as explorações se tornem conhecidas publicamente e os patches sejam emitidos. Temos que repetir nossos conselhos de precaução:
- Desconfie de links, especialmente aqueles em e-mails ou mensagens, e nunca siga as instruções a seguir para instalar ou atualizar aplicativos ou extensões do navegador.
- Use um firewall como o do Windows ou o firewall LuLu para macOS. Esses programas não impedirão que você seja infectado por ataques de dia zero ou outros tipos de exploração. Mas, ao exigir que aplicativos recém-instalados recebam permissão na primeira vez que tentarem fazer uma conexão de saída na Internet, os firewalls podem conter os danos que qualquer malware instalado pode causar.
- Execute um software antivírus.
Outra coisa a lembrar em relação aos dias zero: a maioria de nós provavelmente não será alvo de um. As explorações para esse tipo de vulnerabilidade geralmente custam US$ 1 milhão ou mais e, uma vez liberadas na Internet, geralmente é apenas uma questão de dias até que se tornem de conhecimento público e percam seu valor. Isso significa que os dias zero provavelmente serão usados apenas em uma base muito pequena de alvos considerados de alto valor, como funcionários do governo, dissidentes, grandes empresas e detentores de grandes quantidades de criptomoedas.
.
