Uma falha presente no sistema de quarentena de antivírus pode colocar em risco milhões de usuários no mundo. A vulnerabilidade AVGater, descoberta pelo especialista austríaco Florian Bogner, explora as funções de softwares de segurança para conceder privilégios de administrador a hackers que desejam invadir o computador da vítima.
Até o momento, o problema foi identificado em 13 antivírus conhecidos. Entre eles estão soluções das empresas Kaspersky, Malwarebytes, Trend Micro, Emsisoft, Ikarus e ZoneAlarm, que já receberam atualizações de correção. Os nomes dos demais softwares afetados estão sob sigilo para evitar ataques em massa. Entenda como o ataque funciona e como se proteger.
Bogner é um hacker white hat (que não é criminoso) contratado por grandes empresas para encontrar falhas em redes corporativas. Em um de seus trabalhos, ele descobriu uma maneira de contornar a ação de softwares antivírus e usá-los a favor do invasor. O ataque envolve uma combinação de funções do Windows e recursos de quarentena e restauração de arquivos presentes em softwares de segurança.
Ao explorar a brecha, um hacker mal-intencionado pode usar o sistema de restauração do antivírus para obter controle total do computador do usuário. Em poucos passos, um criminoso pode ganhar acesso de administrador por meio do próprio software de segurança.
"O AVGater pode ser usado para restaurar um arquivo colocado previamente em quarentena para qualquer local arbitrário do sistema de arquivos. Isso é possível porque o processo de restauração é executado pelo antivírus usando um modo privile
Organizações costumam ser mais difíceis de invadir por conta das restrições que o departamento de TI impõe aos computadores dos usuários. No entanto, a descoberta do especialista permite que hackers ganhem privilégios de administrador usando antivírus instalados em PCs com acesso limitado à rede.
Como funciona
O primeiro passo do ataque consiste em infectar o computador da vítima com um malware feito para ser pego pelo antivírus. Uma vez dentro da quarentena, um hacker pode explorar a vulnerabilidade para enganar o software de proteção e flexibilizar o sistema de restauração. A função de restauração é usada normalmente para recuperar arquivos removidos por engano, mas, nesse caso, pode servir para que o código malicioso volte à ativa.
Uma vez acionado o sistema de restauração do antivírus, o golpe ativa um mecanismo de estresse do sistema de arquivos NTFS do Windows para manipular o local para o qual o malware será realocado. Em vez de recuperar o arquivo para a origem – o que permitiria uma nova ação do antivírus para a quarentena –, o criminoso pode mover a ameaça para um diretório de sua escolha, como o Arquivos de Programas.
O Windows passa então a ler o malware de forma diferente, tratando-o como um componente do sistema. A essa altura, o malware ganha passe livre para executar suas ações com privilégios de administrador, dando ao hacker acesso profundo ao computador. No caso de empresas, a técnica permite que o atacante invada um PC com acesso restrito e, em pouco tempo, obtenha o controle da rede inteira.
O problema ocorre porque softwares antivírus têm acesso a todos os locais do sistema para buscar ameaças. Programas do tipo são divididos em dois setores: um com o qual o usuário interage e outro restrito ao sistema, inacessível a quem não tem permissões de administrador no PC. A vulnerabilidade descoberta pelo especialista está justamente em fazer a ponte entre essas duas frentes do antivírus, abrindo caminho para hackers que sabem explora-la.
“No contexto do usuário não-privilegiado, existe apenas a interface de usuário do antivírus. Por si só, ela não tem poder real, porque está sendo executada dentro de uma sessão limitada. No entanto, ao conversar com o serviço de antivírus do Windows é possível fazer muitas coisas que um usuário normal não poderia”, explica o especialista.
Apesar da menção recorrente ao Windows, Bogner garante que a falha ocorre apenas nos antivírus. Aparentemente, não está em discussão uma possível vulnerabilidade no sistema da Microsoft.
Como se proteger
A única medida que usuários podem tomar para se proteger da falha é manter o antivírus atualizado. O especialista que descobriu a vulnerabilidade tem informado secretamente as empresas cujos softwares foram afetados. Aos poucos, elas vêm liberando correções. Kaspersky, Malwarebytes, Trend Micro, Emisoft, Ikaru e ZoneAlarm foram as primeiras. No entanto, há ainda pelo menos sete outros antivírus com atualizações críticas pendentes para os próximos dias.
Outros casos
Não é a primeira vez que uma vulnerabilidade séria atinge programas antivírus. Em 2005, durante a conferência hacker Blackhat, especialistas já alertavam sobre falhas em produtos desenvolvidos por Symantec, McAfee, Trend Micro e F-Secure. Em outro evento do tipo dois anos mais tarde, antivírus da CA eTrust, Norman, Panda, ESET, F-Secure, Avira e Avast foram apontados como inseguros.
Em novembro de 2016, um dos engenheiros responsáveis pela segurança do Google Chrome chegou a publicar no Twitter que “os antivírus são um grande impedimento para o lançamento de um navegador seguro”.
Via Bogner.sh e Arstechnica
Dúvidas sobre segurança digital? Pergunte no Fórum do TechTudo.
>>> Veja o artigo completo no TechTudo
Mais Artigos...
- Como fazer a internet do celular durar mais? Veja cinco dicas para Android
- Flamengo x Junior Barranquilla ao vivo: como assistir ao jogo online
- Como controlar apresentações do Keynote usando o iPhone?
- Bloqueio no Brasil e falhas de vídeo: relembre bugs do WhatsApp em 2016
- Segurança no Android: aprenda a proteger celular de apps maliciosos
- Veja os jogos de corrida com gráficos mais realistas para baixar em 2020
- Prime Gaming: veja jogos para PC liberados de graça em outubro de 2020
- Reclamações na Black Friday 2014 passam edição de 2013 em poucas horas
- Como fazer pesquisas sem salvar o histórico no Google para iPhone
- PES 2016 terá volta de lenda do Winning Eleven ao jogo de futebol