Uma falha presente no sistema de quarentena de antivírus pode colocar em risco milhões de usuários no mundo. A vulnerabilidade AVGater, descoberta pelo especialista austríaco Florian Bogner, explora as funções de softwares de segurança para conceder privilégios de administrador a hackers que desejam invadir o computador da vítima.
Até o momento, o problema foi identificado em 13 antivírus conhecidos. Entre eles estão soluções das empresas Kaspersky, Malwarebytes, Trend Micro, Emsisoft, Ikarus e ZoneAlarm, que já receberam atualizações de correção. Os nomes dos demais softwares afetados estão sob sigilo para evitar ataques em massa. Entenda como o ataque funciona e como se proteger.
Bogner é um hacker white hat (que não é criminoso) contratado por grandes empresas para encontrar falhas em redes corporativas. Em um de seus trabalhos, ele descobriu uma maneira de contornar a ação de softwares antivírus e usá-los a favor do invasor. O ataque envolve uma combinação de funções do Windows e recursos de quarentena e restauração de arquivos presentes em softwares de segurança.
Ao explorar a brecha, um hacker mal-intencionado pode usar o sistema de restauração do antivírus para obter controle total do computador do usuário. Em poucos passos, um criminoso pode ganhar acesso de administrador por meio do próprio software de segurança.
"O AVGater pode ser usado para restaurar um arquivo colocado previamente em quarentena para qualquer local arbitrário do sistema de arquivos. Isso é possível porque o processo de restauração é executado pelo antivírus usando um modo privile
Organizações costumam ser mais difíceis de invadir por conta das restrições que o departamento de TI impõe aos computadores dos usuários. No entanto, a descoberta do especialista permite que hackers ganhem privilégios de administrador usando antivírus instalados em PCs com acesso limitado à rede.
Como funciona
O primeiro passo do ataque consiste em infectar o computador da vítima com um malware feito para ser pego pelo antivírus. Uma vez dentro da quarentena, um hacker pode explorar a vulnerabilidade para enganar o software de proteção e flexibilizar o sistema de restauração. A função de restauração é usada normalmente para recuperar arquivos removidos por engano, mas, nesse caso, pode servir para que o código malicioso volte à ativa.
Uma vez acionado o sistema de restauração do antivírus, o golpe ativa um mecanismo de estresse do sistema de arquivos NTFS do Windows para manipular o local para o qual o malware será realocado. Em vez de recuperar o arquivo para a origem – o que permitiria uma nova ação do antivírus para a quarentena –, o criminoso pode mover a ameaça para um diretório de sua escolha, como o Arquivos de Programas.
O Windows passa então a ler o malware de forma diferente, tratando-o como um componente do sistema. A essa altura, o malware ganha passe livre para executar suas ações com privilégios de administrador, dando ao hacker acesso profundo ao computador. No caso de empresas, a técnica permite que o atacante invada um PC com acesso restrito e, em pouco tempo, obtenha o controle da rede inteira.
O problema ocorre porque softwares antivírus têm acesso a todos os locais do sistema para buscar ameaças. Programas do tipo são divididos em dois setores: um com o qual o usuário interage e outro restrito ao sistema, inacessível a quem não tem permissões de administrador no PC. A vulnerabilidade descoberta pelo especialista está justamente em fazer a ponte entre essas duas frentes do antivírus, abrindo caminho para hackers que sabem explora-la.
“No contexto do usuário não-privilegiado, existe apenas a interface de usuário do antivírus. Por si só, ela não tem poder real, porque está sendo executada dentro de uma sessão limitada. No entanto, ao conversar com o serviço de antivírus do Windows é possível fazer muitas coisas que um usuário normal não poderia”, explica o especialista.
Apesar da menção recorrente ao Windows, Bogner garante que a falha ocorre apenas nos antivírus. Aparentemente, não está em discussão uma possível vulnerabilidade no sistema da Microsoft.
Como se proteger
A única medida que usuários podem tomar para se proteger da falha é manter o antivírus atualizado. O especialista que descobriu a vulnerabilidade tem informado secretamente as empresas cujos softwares foram afetados. Aos poucos, elas vêm liberando correções. Kaspersky, Malwarebytes, Trend Micro, Emisoft, Ikaru e ZoneAlarm foram as primeiras. No entanto, há ainda pelo menos sete outros antivírus com atualizações críticas pendentes para os próximos dias.
Outros casos
Não é a primeira vez que uma vulnerabilidade séria atinge programas antivírus. Em 2005, durante a conferência hacker Blackhat, especialistas já alertavam sobre falhas em produtos desenvolvidos por Symantec, McAfee, Trend Micro e F-Secure. Em outro evento do tipo dois anos mais tarde, antivírus da CA eTrust, Norman, Panda, ESET, F-Secure, Avira e Avast foram apontados como inseguros.
Em novembro de 2016, um dos engenheiros responsáveis pela segurança do Google Chrome chegou a publicar no Twitter que “os antivírus são um grande impedimento para o lançamento de um navegador seguro”.
Via Bogner.sh e Arstechnica
Dúvidas sobre segurança digital? Pergunte no Fórum do TechTudo.
>>> Veja o artigo completo no TechTudo
Mais Artigos...
- Steam: veja como desistir da compra e pedir reembolso dos jogos
- Receita Digital: entenda o que é, como funciona e como validar
- Como jogar Ride, o simulador de motos para PS3, PS4, Xbox e PC
- WWDC 2015: Apple revela iOS 9 com Siri 'mais smart', El Capitan e Music
- Lumia 435, smart 'baratinho' da Microsoft, é homologado pela Anatel
- Lego Dimensions e Tony Hawk se destacam entre os lançamentos da semana
- INTZ disputa vaga para torneio de League of Legends na China
- Como usar o DBAN para limpar todos os arquivos do disco rígido
- Aibo está de volta: robô cão da Sony encanta convidados na CES 2018
- Relembre jogadores que gastaram milhares no LoL, CS:GO e Fortnite
- Boost Master, carregador rápido da Asus, começa a ser vendido no Brasil
- Ação bloqueada no Instagram: usuários reclamam de problema no app
- Sharks joga bem, mas esbarra em Cloud9 e é eliminada da ESL Pro League
- Como colocar duas fotos no mesmo Story do Instagram
- AMD anuncia placa de vídeo com GPU dupla e foco em realidade virtual
- League of Legends ganha sistema de torneios para todos os jogadores
- Game XP será evento de games dentro do Rock in Rio
- Bicicleta inteligente com Android controla seu passeio e evita roubos
- The Witcher, Bioshock: veja os jogos que completarão 10 anos em 2017
- Nova bateria de alum?nio promete recarga total em um minuto; entenda