Uma falha presente no sistema de quarentena de antivírus pode colocar em risco milhões de usuários no mundo. A vulnerabilidade AVGater, descoberta pelo especialista austríaco Florian Bogner, explora as funções de softwares de segurança para conceder privilégios de administrador a hackers que desejam invadir o computador da vítima.
Até o momento, o problema foi identificado em 13 antivírus conhecidos. Entre eles estão soluções das empresas Kaspersky, Malwarebytes, Trend Micro, Emsisoft, Ikarus e ZoneAlarm, que já receberam atualizações de correção. Os nomes dos demais softwares afetados estão sob sigilo para evitar ataques em massa. Entenda como o ataque funciona e como se proteger.
Bogner é um hacker white hat (que não é criminoso) contratado por grandes empresas para encontrar falhas em redes corporativas. Em um de seus trabalhos, ele descobriu uma maneira de contornar a ação de softwares antivírus e usá-los a favor do invasor. O ataque envolve uma combinação de funções do Windows e recursos de quarentena e restauração de arquivos presentes em softwares de segurança.
Ao explorar a brecha, um hacker mal-intencionado pode usar o sistema de restauração do antivírus para obter controle total do computador do usuário. Em poucos passos, um criminoso pode ganhar acesso de administrador por meio do próprio software de segurança.
"O AVGater pode ser usado para restaurar um arquivo colocado previamente em quarentena para qualquer local arbitrário do sistema de arquivos. Isso é possível porque o processo de restauração é executado pelo antivírus usando um modo privile
Organizações costumam ser mais difíceis de invadir por conta das restrições que o departamento de TI impõe aos computadores dos usuários. No entanto, a descoberta do especialista permite que hackers ganhem privilégios de administrador usando antivírus instalados em PCs com acesso limitado à rede.
Como funciona
O primeiro passo do ataque consiste em infectar o computador da vítima com um malware feito para ser pego pelo antivírus. Uma vez dentro da quarentena, um hacker pode explorar a vulnerabilidade para enganar o software de proteção e flexibilizar o sistema de restauração. A função de restauração é usada normalmente para recuperar arquivos removidos por engano, mas, nesse caso, pode servir para que o código malicioso volte à ativa.
Uma vez acionado o sistema de restauração do antivírus, o golpe ativa um mecanismo de estresse do sistema de arquivos NTFS do Windows para manipular o local para o qual o malware será realocado. Em vez de recuperar o arquivo para a origem – o que permitiria uma nova ação do antivírus para a quarentena –, o criminoso pode mover a ameaça para um diretório de sua escolha, como o Arquivos de Programas.
O Windows passa então a ler o malware de forma diferente, tratando-o como um componente do sistema. A essa altura, o malware ganha passe livre para executar suas ações com privilégios de administrador, dando ao hacker acesso profundo ao computador. No caso de empresas, a técnica permite que o atacante invada um PC com acesso restrito e, em pouco tempo, obtenha o controle da rede inteira.
O problema ocorre porque softwares antivírus têm acesso a todos os locais do sistema para buscar ameaças. Programas do tipo são divididos em dois setores: um com o qual o usuário interage e outro restrito ao sistema, inacessível a quem não tem permissões de administrador no PC. A vulnerabilidade descoberta pelo especialista está justamente em fazer a ponte entre essas duas frentes do antivírus, abrindo caminho para hackers que sabem explora-la.
“No contexto do usuário não-privilegiado, existe apenas a interface de usuário do antivírus. Por si só, ela não tem poder real, porque está sendo executada dentro de uma sessão limitada. No entanto, ao conversar com o serviço de antivírus do Windows é possível fazer muitas coisas que um usuário normal não poderia”, explica o especialista.
Apesar da menção recorrente ao Windows, Bogner garante que a falha ocorre apenas nos antivírus. Aparentemente, não está em discussão uma possível vulnerabilidade no sistema da Microsoft.
Como se proteger
A única medida que usuários podem tomar para se proteger da falha é manter o antivírus atualizado. O especialista que descobriu a vulnerabilidade tem informado secretamente as empresas cujos softwares foram afetados. Aos poucos, elas vêm liberando correções. Kaspersky, Malwarebytes, Trend Micro, Emisoft, Ikaru e ZoneAlarm foram as primeiras. No entanto, há ainda pelo menos sete outros antivírus com atualizações críticas pendentes para os próximos dias.
Outros casos
Não é a primeira vez que uma vulnerabilidade séria atinge programas antivírus. Em 2005, durante a conferência hacker Blackhat, especialistas já alertavam sobre falhas em produtos desenvolvidos por Symantec, McAfee, Trend Micro e F-Secure. Em outro evento do tipo dois anos mais tarde, antivírus da CA eTrust, Norman, Panda, ESET, F-Secure, Avira e Avast foram apontados como inseguros.
Em novembro de 2016, um dos engenheiros responsáveis pela segurança do Google Chrome chegou a publicar no Twitter que “os antivírus são um grande impedimento para o lançamento de um navegador seguro”.
Via Bogner.sh e Arstechnica
Dúvidas sobre segurança digital? Pergunte no Fórum do TechTudo.
>>> Veja o artigo completo no TechTudo
Mais Artigos...
- Grêmio x Internacional ao vivo: como assistir ao jogo da Libertadores
- Como usar o PlayStation 4 para transmitir seus jogos para o Youtube
- O que é Padlet? Veja como usar ferramenta para criar quadro virtual
- Fone de ouvido JBL T205 chega com design leve e promessa de grave potente
- Como criar e jogar torneios femininos em Fifa 17
- Sony Xperia XA2 chega ao Brasil em kit especial; preço parte de R$ 1.699
- Samsung lança Galaxy A7, smart mais fino da marca com tela de 5,5 polegadas
- Como tirar voz ou batida de música no Virtual DJ
- Bizinha fala sobre mudanças e aceitação no cenário de Counter-Strike
- Como Word, Excel e PowerPoint vão funcionar com a nova Touch Bar do Macbook
- Galaxy A9 2018 vs Galaxy A8 2018: conheça os celulares da Samsung
- Free Fire Battlegrounds: 5 curiosidades sobre o game da Garena
- Canonical encerra Ubuntu Phone e versão desktop troca Unity por Gnome
- Conversor de vídeos do YouTube para MP3 no celular: como usar o DLNowSoft
- Como descobrir e remover keylogger do PC
- Capa para iPhone 8 Plus: lista reúne 7 capinhas para celular Apple
- Big Big Baller: como jogar o game na plataforma Lupy Games
- Maquininha SumUp Top é boa? Confira taxas, bandeiras aceitas e mais
- Saiba como tirar o lag de Rocket League e evite travamentos no game
- Clash Royale: entenda os modos de jogos do game da Supercell