Os pesquisadores da empresa
apontam que a vulnerabilidade original do Microsoft RDP detectada em fevereiro
deste ano não havia sido completamente resolvida
Os pesquisadores da Check
Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora global
líder em soluções de cibersegurança, alertam para uma vulnerabilidade em uma
função do Windows que protege contra um tipo de ataque conhecido como
Path-Traversal. O nome técnico desse recurso principal é
"PathCchCanonicalize" e representa a API oficial que o Windows
recomenda aos desenvolvedores para aumentar os níveis de defesa contra ataques
Path-Traversal.
O que é um ataque “Path-Traversal”?
O
Path-Traversal refere-se a um ataque por meio do qual um atacante engana um
aplicativo para ler e, em seguida, divulgar o conteúdo de arquivos fora do
diretório raiz do documento do aplicativo ou do servidor da Web. Em outras
palavras, um ataque “Path-Traversal” ocorre quando um programa recebe um nome
de arquivo como entrada e não o verifica, permitindo que o atacante salve este
documento em quantos diretórios quiser no mesmo computador infectado, ou leia
arquivos nos quais ele não deveria ter acesso. Portanto, esse tipo de ameaça
oferece ao cibercriminoso a capacidade de se mover livremente entre os
diretórios de um computador.
Geralmente, os ataques de “Path-Traversal” são usados para
obter acesso a informações confidenciais armazenadas em
arquivos arbitrários em outras áreas de um aplicativo ou pasta do sistema de arquivos que o
servidor da Web pode ler. Com esse ciberataque, um atacante pode modificar
arquivos críticos, como programas, baixar arquivos de senhas, expor o código
fonte do aplicativo da Web ou executar comandos fortes no servidor da Web,
deixando-o completamente exposto.
Como essa vulnerabilidade foi descoberta?
Em 2019, os pesquisadores da Check Point revelaram
vulnerabilidades no "Remote Desktop Protocol (RDP)" da Microsoft, um
sistema que permite que outros computadores sejam acessados remotamente
por meio de conexões de rede para aplicativos
baseados no Windows em execução em um
servidor. Essa tecnologia permite que alguém se
conecte a um computador remotamente e trabalhe nele como se fosse seu próprio equipamento.
Os pesquisadores demonstraram ainda que, uma vez infectado com
malware, esse computador poderia assumir o controle das atividades de qualquer
outro usuário que tentasse acessá-lo. Por exemplo, se um membro da equipe de TI
tentasse se conectar a um computador corporativo remoto infectado por malware,
essa ameaça também poderia infectar o computador do membro da equipe. Os
pesquisadores da Check Point chamaram esse vetor de ataque de "RDP
reverso" porque um usuário do RDP pensa que está controlando remotamente
um computador, mas a falha mostra que o inverso é o contrário.
A Microsoft lançou rapidamente um patch de segurança para
solucionar esse vetor de ataque RDP reverso, mas, em outubro de 2019, os
pesquisadores da Check Point descobriram que o patch da Microsoft
(CVE-2019-0887) tinha falhas de segurança, permitindo que os pesquisadores
recriassem a exploração original. Durante o processo, os especialistas da
empresa observaram que a Microsoft havia usado o
"PathCchCanonicalize" como uma solução, permitindo concluir que algo
estava errado com a API. A Check Point revelou essas descobertas à Microsoft
que lançou um novo patch de segurança em fevereiro de 2020. No entanto, todos
os programas que usam essa funcionalidade são vulneráveis ao mesmo
tipo de ciberataque.
"Esta pesquisa levou a duas conclusões: a primeira é que a
equipe de TI de grandes empresas que usam o Windows deve instalar o patch de
fevereiro de 2020 da Microsoft para garantir que os clientes, com os quais eles
usam RDP, estejam protegidos contra a vulnerabilidade que descobrimos em 2019.
A segunda é que os desenvolvedores devem estar cientes de que a Microsoft
esqueceu de corrigir a vulnerabilidade em sua API oficial; portanto, todos os
programas usados de acordo com o guia de melhores práticas da Microsoft
permanecerão vulneráveis a um ataque ‘Path-Traversal’. Portanto, é essencial que apliquem um patch
de segurança manualmente para garantir a
proteção ”, diz Omri Herscovici, chefe da equipe de pesquisa de
vulnerabilidades da Check Point.
Check Point Research
Check Point Security
Nenhum comentário:
Postar um comentário