Uma falha presente no sistema de quarentena de antivírus pode colocar em risco milhões de usuários no mundo. A vulnerabilidade AVGater, descoberta pelo especialista austríaco Florian Bogner, explora as funções de softwares de segurança para conceder privilégios de administrador a hackers que desejam invadir o computador da vítima.

Até o momento, o problema foi identificado em 13 antivírus conhecidos. Entre eles estão soluções das empresas Kaspersky, Malwarebytes, Trend Micro, Emsisoft, Ikarus e ZoneAlarm, que já receberam atualizações de correção. Os nomes dos demais softwares afetados estão sob sigilo para evitar ataques em massa. Entenda como o ataque funciona e como se proteger.

Falha de segurança (Foto: Reprodução/brandprotect)

Bogner é um hacker white hat (que não é criminoso) contratado por grandes empresas para encontrar falhas em redes corporativas. Em um de seus trabalhos, ele descobriu uma maneira de contornar a ação de softwares antivírus e usá-los a favor do invasor. O ataque envolve uma combinação de funções do Windows e recursos de quarentena e restauração de arquivos presentes em softwares de segurança.

Ao explorar a brecha, um hacker mal-intencionado pode usar o sistema de restauração do antivírus para obter controle total do computador do usuário. Em poucos passos, um criminoso pode ganhar acesso de administrador por meio do próprio software de segurança.

"O AVGater pode ser usado para restaurar um arquivo colocado previamente em quarentena para qualquer local arbitrário do sistema de arquivos. Isso é possível porque o processo de restauração é executado pelo antivírus usando um modo privile

... giado do Windows", afirma Bogner.

Organizações costumam ser mais difíceis de invadir por conta das restrições que o departamento de TI impõe aos computadores dos usuários. No entanto, a descoberta do especialista permite que hackers ganhem privilégios de administrador usando antivírus instalados em PCs com acesso limitado à rede.

Como funciona

O primeiro passo do ataque consiste em infectar o computador da vítima com um malware feito para ser pego pelo antivírus. Uma vez dentro da quarentena, um hacker pode explorar a vulnerabilidade para enganar o software de proteção e flexibilizar o sistema de restauração. A função de restauração é usada normalmente para recuperar arquivos removidos por engano, mas, nesse caso, pode servir para que o código malicioso volte à ativa.

Uma vez acionado o sistema de restauração do antivírus, o golpe ativa um mecanismo de estresse do sistema de arquivos NTFS do Windows para manipular o local para o qual o malware será realocado. Em vez de recuperar o arquivo para a origem – o que permitiria uma nova ação do antivírus para a quarentena –, o criminoso pode mover a ameaça para um diretório de sua escolha, como o Arquivos de Programas.

O Windows passa então a ler o malware de forma diferente, tratando-o como um componente do sistema. A essa altura, o malware ganha passe livre para executar suas ações com privilégios de administrador, dando ao hacker acesso profundo ao computador. No caso de empresas, a técnica permite que o atacante invada um PC com acesso restrito e, em pouco tempo, obtenha o controle da rede inteira.

O problema ocorre porque softwares antivírus têm acesso a todos os locais do sistema para buscar ameaças. Programas do tipo são divididos em dois setores: um com o qual o usuário interage e outro restrito ao sistema, inacessível a quem não tem permissões de administrador no PC. A vulnerabilidade descoberta pelo especialista está justamente em fazer a ponte entre essas duas frentes do antivírus, abrindo caminho para hackers que sabem explora-la.

“No contexto do usuário não-privilegiado, existe apenas a interface de usuário do antivírus. Por si só, ela não tem poder real, porque está sendo executada dentro de uma sessão limitada. No entanto, ao conversar com o serviço de antivírus do Windows é possível fazer muitas coisas que um usuário normal não poderia”, explica o especialista.

Apesar da menção recorrente ao Windows, Bogner garante que a falha ocorre apenas nos antivírus. Aparentemente, não está em discussão uma possível vulnerabilidade no sistema da Microsoft.

Ataque passa pela quarentena de antivírus (Foto: Reprodução/Florian Bogner)

Como se proteger

A única medida que usuários podem tomar para se proteger da falha é manter o antivírus atualizado. O especialista que descobriu a vulnerabilidade tem informado secretamente as empresas cujos softwares foram afetados. Aos poucos, elas vêm liberando correções. Kaspersky, Malwarebytes, Trend Micro, Emisoft, Ikaru e ZoneAlarm foram as primeiras. No entanto, há ainda pelo menos sete outros antivírus com atualizações críticas pendentes para os próximos dias.

Outros casos

Não é a primeira vez que uma vulnerabilidade séria atinge programas antivírus. Em 2005, durante a conferência hacker Blackhat, especialistas já alertavam sobre falhas em produtos desenvolvidos por Symantec, McAfee, Trend Micro e F-Secure. Em outro evento do tipo dois anos mais tarde, antivírus da CA eTrust, Norman, Panda, ESET, F-Secure, Avira e Avast foram apontados como inseguros.

Em novembro de 2016, um dos engenheiros responsáveis pela segurança do Google Chrome chegou a publicar no Twitter que “os antivírus são um grande impedimento para o lançamento de um navegador seguro”.

Engenheiro do Google alertou sobre problemas em antivírus (Foto: Reprodução/Twitter)

Dúvidas sobre segurança digital? Pergunte no Fórum do TechTudo.



>>> Veja o artigo completo no TechTudo