Uma falha presente no sistema de quarentena de antivírus pode colocar em risco milhões de usuários no mundo. A vulnerabilidade AVGater, descoberta pelo especialista austríaco Florian Bogner, explora as funções de softwares de segurança para conceder privilégios de administrador a hackers que desejam invadir o computador da vítima.
Até o momento, o problema foi identificado em 13 antivírus conhecidos. Entre eles estão soluções das empresas Kaspersky, Malwarebytes, Trend Micro, Emsisoft, Ikarus e ZoneAlarm, que já receberam atualizações de correção. Os nomes dos demais softwares afetados estão sob sigilo para evitar ataques em massa. Entenda como o ataque funciona e como se proteger.
Bogner é um hacker white hat (que não é criminoso) contratado por grandes empresas para encontrar falhas em redes corporativas. Em um de seus trabalhos, ele descobriu uma maneira de contornar a ação de softwares antivírus e usá-los a favor do invasor. O ataque envolve uma combinação de funções do Windows e recursos de quarentena e restauração de arquivos presentes em softwares de segurança.
Ao explorar a brecha, um hacker mal-intencionado pode usar o sistema de restauração do antivírus para obter controle total do computador do usuário. Em poucos passos, um criminoso pode ganhar acesso de administrador por meio do próprio software de segurança.
"O AVGater pode ser usado para restaurar um arquivo colocado previamente em quarentena para qualquer local arbitrário do sistema de arquivos. Isso é possível porque o processo de restauração é executado pelo antivírus usando um modo privile
Organizações costumam ser mais difíceis de invadir por conta das restrições que o departamento de TI impõe aos computadores dos usuários. No entanto, a descoberta do especialista permite que hackers ganhem privilégios de administrador usando antivírus instalados em PCs com acesso limitado à rede.
Como funciona
O primeiro passo do ataque consiste em infectar o computador da vítima com um malware feito para ser pego pelo antivírus. Uma vez dentro da quarentena, um hacker pode explorar a vulnerabilidade para enganar o software de proteção e flexibilizar o sistema de restauração. A função de restauração é usada normalmente para recuperar arquivos removidos por engano, mas, nesse caso, pode servir para que o código malicioso volte à ativa.
Uma vez acionado o sistema de restauração do antivírus, o golpe ativa um mecanismo de estresse do sistema de arquivos NTFS do Windows para manipular o local para o qual o malware será realocado. Em vez de recuperar o arquivo para a origem – o que permitiria uma nova ação do antivírus para a quarentena –, o criminoso pode mover a ameaça para um diretório de sua escolha, como o Arquivos de Programas.
O Windows passa então a ler o malware de forma diferente, tratando-o como um componente do sistema. A essa altura, o malware ganha passe livre para executar suas ações com privilégios de administrador, dando ao hacker acesso profundo ao computador. No caso de empresas, a técnica permite que o atacante invada um PC com acesso restrito e, em pouco tempo, obtenha o controle da rede inteira.
O problema ocorre porque softwares antivírus têm acesso a todos os locais do sistema para buscar ameaças. Programas do tipo são divididos em dois setores: um com o qual o usuário interage e outro restrito ao sistema, inacessível a quem não tem permissões de administrador no PC. A vulnerabilidade descoberta pelo especialista está justamente em fazer a ponte entre essas duas frentes do antivírus, abrindo caminho para hackers que sabem explora-la.
“No contexto do usuário não-privilegiado, existe apenas a interface de usuário do antivírus. Por si só, ela não tem poder real, porque está sendo executada dentro de uma sessão limitada. No entanto, ao conversar com o serviço de antivírus do Windows é possível fazer muitas coisas que um usuário normal não poderia”, explica o especialista.
Apesar da menção recorrente ao Windows, Bogner garante que a falha ocorre apenas nos antivírus. Aparentemente, não está em discussão uma possível vulnerabilidade no sistema da Microsoft.
Como se proteger
A única medida que usuários podem tomar para se proteger da falha é manter o antivírus atualizado. O especialista que descobriu a vulnerabilidade tem informado secretamente as empresas cujos softwares foram afetados. Aos poucos, elas vêm liberando correções. Kaspersky, Malwarebytes, Trend Micro, Emisoft, Ikaru e ZoneAlarm foram as primeiras. No entanto, há ainda pelo menos sete outros antivírus com atualizações críticas pendentes para os próximos dias.
Outros casos
Não é a primeira vez que uma vulnerabilidade séria atinge programas antivírus. Em 2005, durante a conferência hacker Blackhat, especialistas já alertavam sobre falhas em produtos desenvolvidos por Symantec, McAfee, Trend Micro e F-Secure. Em outro evento do tipo dois anos mais tarde, antivírus da CA eTrust, Norman, Panda, ESET, F-Secure, Avira e Avast foram apontados como inseguros.
Em novembro de 2016, um dos engenheiros responsáveis pela segurança do Google Chrome chegou a publicar no Twitter que “os antivírus são um grande impedimento para o lançamento de um navegador seguro”.
Via Bogner.sh e Arstechnica
Dúvidas sobre segurança digital? Pergunte no Fórum do TechTudo.
>>> Veja o artigo completo no TechTudo
Mais Artigos...
- Como jogar Lost Lands 3 e dicas para mandar bem no game de PC e celular
- Avast expirou? Saiba como renovar a licen?a gratuita do antiv?rus no PC
- iPhone 7 e 7 Plus perdem saída de fone de ouvido; veja preço de lançamento
- Google permitirá comprar produtos diretamente nos resultados de pesquisa
- Como ativar verificação de duas etapas no Rainbow Six: Siege
- Descubra como deixar seu smartphone Android com a cara do iOS 8
- Dez principais motivos para ficar animado com o PS5 e Xbox Series X
- Nubank é seguro? Confira como se proteger no aplicativo
- Acer Nitro 5 vs Dell G3: compare a ficha técnica dos notebooks gamer
- Tekken 7 mostra Negan, de The Walking Dead, e outros novos lutadores
- Como entrar no WeVerse e usar o aplicativo
- PS Vita completa 4 anos: lista reúne melhores jogos do portátil da Sony
- Windows 10 ir? usar menos espa?o de armazenamento no PC e no celular
- Confira como baixar e instalar o primeiro jogo de Assassin’s Creed
- Mac travou com um CD dentro? Veja como ejetar o disco do seu notebook
- Como converter PDF em Word? Veja seis ferramentas online e grátis
- Detonado de Dragon Age Inquisition: aprenda a zerar o famoso RPG
- Snapdragon 845: o que esperar do próximo chip da Qualcomm
- 'O que aconteceu com WhatsApp?' Queda vira motivo para boatos como Gold
- Como criar emblemas personalizados para o seu soldado em Battlefield 1