Uma falha crítica na segurança do Internet Explorer coloca em risco todos os usuários de Windows, mesmo com outros navegadores padrão. A Kaspersky descobriu nesta quarta-feira (9) um ataque malicioso que usa o Word para expandir a vulnerabilidade do IE e atingir Chrome, Firefox ou até o Edge, padrão do Windows 10. O problema poderia ocasionar roubo de dados ou dinheiro, por exemplo.
A Microsoft já está ciente do problema e liberou um pacote de correção para download. Ainda não há registro de vítimas no Brasil, mas o ataque pode chegar ao país rapidamente, segundo a empresa de cibersegurança.
Falha de segurança pode atingir computadores no mundo todo (Foto: Reprodução/brandprotect)
De acordo com a Kaspersky, o ataque tira proveito da vulnerabilidade CVE-2018-8174, explorada por hackers, antes mesmo de ser descoberta. Falhas do tipo são conhecidas pelo termo "Zero Day" ("Dia Zero", em português), pois permitem o acesso por criminosos antes de haver correção disponível.
De acordo com Dmitry Bestuzhev, diretor da Equipe de Análise e Pesquisa da Kaspersky Lab, a exigência de discrição no começo dos ataques tornou a ação mais direcionada, com vítimas inicialmente apenas na Rússia e China. No entanto, com a divulgação da brecha, o volume de caso deve aumentar.
O Brasil pode ser um alvo fácil por conta da presença de um alto número de máquinas com versão falsa do Windows. "O principal problema para o Brasil é o seguinte: o índice de pirataria é incrivelmente alto. Até mesmo algumas empresas usam software pi
... rateado. Isso significa que esses usuários não conseguem ter atualizações e correções", afirma Bestuzhev.
Internet Explorer tem falha de segurança desconhecida; saiba atualizar (Foto: Paulo Alves/TechTudo)
Como funciona
A investida maldosa tem grande potencial de infecção, pois, além de ser eficaz em máquinas desatualizadas, não se restringe aos usuários do Internet Explorer. Os hackers distribuem um documento Word no formato .rtf que abre um arquivo HTML no IE ao ser baixado por qualquer navegador. O documento pode ser disponibilizado em sites infectados ou chegar via e-mail.
O HTML carregado no IE força o comportamento anormal devido à vulnerabilidade. Após essa fase, o sistema abre caminho para a execução remota de códigos com vários objetivos. "Qualquer propósito malicioso. Pode ser roubo de dados ou dinheiro, destruição de dados, etc", conta Bestuzhev.
Como se proteger
O Internet Explorer vem instalado em qualquer versão do Windows, mesmo que não seja mais usado no dia a dia e nem configurado como padrão — como no caso do Windows 10. Por isso, mesmo quem não usa o antigo navegador deve baixar a correção para se manter seguro.
O pacote de correção já foi liberado via Windows Update, então deve chegar rapidamente ao PC, caso o recurso esteja configurado para funcionar automaticamente. Já computadores offline ou com software pirateado só têm uma opção: baixar a solução manualmente por meio do site oficial. Confira, no tutorial abaixo, como fazer o download do pacote de correção do Windows.
Passo 1. Acesse a página de suporte de segurança da Microsoft (https://portal.msrc.microsoft.com/en-us/eula) e aceite os termos de uso;
Aceite os termos de uso da Microsoft (Foto: Reprodução/Paulo Alves)
