Uma nova vulnerabilidade poderosa tem tudo para virar a segurança do Windows em milhões de computadores de cabeça para baixo. A vulnerabilidade ainda não tem um nome oficial e já existe um patch, mas os pesquisadores estão alertando as empresas para instalar os patches mais recentes ou enfrentar as consequências.
O mundo da segurança ainda se lembra do caos que foi criado EternalBlue em 2017, quando uma vulnerabilidade descoberta pela National Security Agency (NSA) foi usada pelos infames ataques WannaCry e NotPetya (entre muitos outros) para atingir infraestruturas digitais em todo o mundo.
Os pesquisadores de segurança agora estão soando o alarme sobre outra vulnerabilidade poderosa que pode ser ainda mais perigosa do que o EternalBlue se não for corrigida.
A nova vulnerabilidade, codinome CVE-2022-37958, funciona da mesma forma que o EternalBlue e pode ser usada para executar códigos maliciosos remotamente sem a necessidade de autenticação. O bug também é um "worm", o que significa que pode se replicar para infectar outros sistemas vulneráveis. Esta é precisamente a razão pela qual o WannaCry e outros ataques de 2017 conseguiram se espalhar tão rapidamente.
No entanto, ao contrário do EternalBlue, o CVE-2022-37958 é ainda mais perigoso porque não se limita ao protocolo SMB (Server Message Block), pois está dentro do mecanismo SPNEGO Extended Negotiation. O SPNEGO é usado pelo software cliente-servidor para negociar a escolha da tecnologia de segurança a ser usada.
Graças a SPNEGO o computador cliente e o servidor de Internet podem decidir qual protocolo usar para autenticação, além de SMB, os protocolos afetados incluem RDP, SMTP e HTTP. O perigo representado pelo CVE-2022-37958 é mitigado pelo fato de que, ao contrário do EternalBlue, uma solução correta está disponível há três meses.
Microsoft corrigiu o bug em setembro de 2022 com uma atualização mensal do Patch Tuesday. Na época, os analistas de Redmond classificaram as falhas como “significativas”, vendo o problema como uma potencial divulgação de informações confidenciais e nada mais. Após revisar o código, os mesmos analistas atribuíram ao CVE-2022-37958 uma etiqueta crítica e uma classificação de gravidade de 8.1, a mesma do EternalBlue.
O fato de uma correção já estar disponível pode ser mais um fator agravante do que positivo.
"Como vimos com outras grandes vulnerabilidades ao longo dos anos, como o exploit MS17-010 no EternalBlue", disse a pesquisadora de segurança da IBM Valentina Palmiotti, "algumas organizações demoram a lançar patches ao longo de meses ou não têm um inventário preciso dos sistemas afetados na Internet e não corrija os sistemas de forma alguma."
A ameaça ainda está lá, à espreita em milhões de sistemas Windows desde o Windows 7.
Você pode ajudar a Ucrânia a lutar contra os invasores russos. A melhor maneira de fazer isso é doar fundos para as Forças Armadas da Ucrânia através Salva vida ou através da página oficial NBU.
Também interessante: