Exploração

As explorações tiram partido das vulnerabilidades do software, escondidas no código do sistema operativo e das suas aplicações, que os cibercriminosos utilizam para obter acesso ilícito ao seu sistema.

Antivírus Premium

Principais conclusões

  • As explorações são ataques que tiram partido das vulnerabilidades de software em sistemas operativos e aplicações comuns (como navegadores e ferramentas de escritório) para obter acesso não autorizado ou executar ações maliciosas sem que os utilizadores tenham de instalar malware.
  • Os ataques de exploração ocorrem frequentemente de forma silenciosa, geralmente através de sites maliciosos, downloads automáticos ou links de e-mail, e podem não envolver ficheiros de malware tradicionais.
  • As explorações de dia zero são especialmente perigosas porque visam vulnerabilidades desconhecidas ou para as quais ainda não foram lançadas correções, permitindo que os atacantes atuem antes de estarem disponíveis as correções de software.
  • As soluções antivírus tradicionais têm uma eficácia limitada contra exploits, uma vez que se concentram normalmente na deteção de cargas maliciosas conhecidas, em vez das próprias técnicas de exploit.

O que precisa de saber sobre exploits informáticos

Explorações informáticas. O que são e porque é que se deve preocupar?

Já reparou como os programadores de software estão sempre a aplicar patches e a atualizar o seu software - por vezes lançando actualizações poucos dias após o lançamento inicial do software?

Isto porque cada peça de software que possui e que alguma vez possuirá na sua vida terá vulnerabilidades que os cibercriminosos podem encontrar e aproveitar - por outras palavras, "explorar". Não existe software livre de exploits - haverá sempre buracos. O software de computador é tão sólido como um bloco de queijo suíço.

Por meio de exploits, os cibercriminosos podem obter acesso ao seu computador e roubar informações confidenciais ou instalar malware. Apesar da diminuição na atividade de exploits, os cibercriminosos continuam a recorrer a esse método furtivo de ataque. Com isso em mente, agora é o momento perfeito para nos informarmos sobre o tema dos exploits e nos protegermos adequadamente. Então, continue a ler e aprenda tudo o que precisa saber sobre exploits de computador.

O que é um exploit? Definição de exploit

Um exploit informático é um tipo de malware que tira partido de bugs ou vulnerabilidades, que os cibercriminosos utilizam para obter acesso ilícito a um sistema. Estas vulnerabilidades estão escondidas no código do sistema operativo e das suas aplicações, à espera de serem descobertas e utilizadas pelos cibercriminosos. O software normalmente explorado inclui o próprio sistema operativo, browsers, Microsoft Office e aplicações de terceiros. Por vezes, as explorações são agrupadas por grupos de cibercriminosos naquilo a que se chama um kit de exploração. Os kits de exploração facilitam aos criminosos com conhecimentos técnicos limitados a utilização de explorações e a disseminação de malware.

Para compreender melhor o que são exploits, pode ser útil pensar nas caras fechaduras de cilindro para bicicletas e computadores portáteis populares no início dos anos 2000. As pessoas pagavam mais de 50 dólares por estes cadeados, pensando que mantinham os seus objectos de valor seguros, até que alguém publicou um vídeo online demonstrando como estes cadeados podiam ser abertos numa questão de segundos utilizando uma caneta Bic barata e facilmente disponível.

Isto obrigou os fabricantes de fechaduras a actualizarem as suas fechaduras e os consumidores tiveram de passar a usar as novas fechaduras à prova de arrombamento. Trata-se de uma exploração tangível de um sistema de segurança física. No que se refere ao software, os cibercriminosos procuram truques inteligentes, tal como o tipo da caneta Bic, que lhes permitam aceder aos computadores, dispositivos móveis e redes de outras pessoas.

Os ataques de exploração começam frequentemente com malspam e descarregamentos automáticos. Os cibercriminosos enganam as vítimas inocentes, levando-as a abrir um anexo de correio eletrónico infetado ou a clicar em ligações que redireccionam para um sítio Web malicioso. Os anexos infectados, muitas vezes um documento Word ou PDF, contêm código de exploração concebido para tirar partido das fragilidades das aplicações.

As transferências automáticas tiram partido das vulnerabilidades do seu navegador, como o Internet Explorer ou o Firefox, por exemplo, ou dos plug-ins executados no seu navegador, como o Flash. Pode visitar um sítio Web que já visitou com segurança no passado, mas desta vez o sítio foi pirateado e nem sequer se apercebeu disso. Em alternativa, pode clicar numa ligação maliciosa num e-mail de spam que o leva a uma versão falsificada de um sítio Web conhecido.

E em casos particularmente complicados, pode visitar um sítio Web legítimo que apresente um anúncio ou pop-up infetado com malware, também conhecido como malvertising. Ao visitar o sítio, o código malicioso na página Web funcionará invisivelmente em segundo plano para carregar malware no seu computador.

Os cibercriminosos utilizam os exploits como um meio para atingir um fim malicioso, que vai desde um problema incómodo a um incómodo incapacitante. Os cibercriminosos podem tentar colocar os recursos do seu computador a trabalhar numa rede de bots zombie para efeitos de um ataque DDoS ou para extrair Bitcoin(cryptojacking).

Em alternativa, os cibercriminosos podem tentar instalar adware e inundar o seu ambiente de trabalho com anúncios. Os cibercriminosos podem querer entrar no seu sistema e roubar dados diretamente ou instalar malware para recolher secretamente dados seus ao longo do tempo(spyware). Por último, os cibercriminosos podem instalar malware que encripta todos os seus ficheiros e exigir um pagamento em troca da chave de encriptação(ransomware).

O que é uma exploração de dia zero?

Dia zero! O único dia do ano em que fazemos uma pausa para reconhecer o humilde zero. Se ao menos isso fosse verdade. Na verdade, uma exploração de dia zero, também conhecida como exploração de hora zero, é uma vulnerabilidade de software que ninguém, exceto o cibercriminoso que a criou, conhece e para a qual não existe uma correção disponível. Quando um exploit se torna do conhecimento público, deixa de ser um zero-day. Por vezes, um exploit conhecido é referido como um exploit de dia n, indicando que passaram um ou mais dias desde que o exploit foi publicitado.

Quando uma exploração de dia zero se torna pública, os fabricantes de software estão numa corrida contra os criminosos para corrigir a exploração antes que os criminosos possam tirar partido e colher os benefícios. Felizmente, os investigadores têm escrúpulos. Se os investigadores descobrirem uma exploração antes dos criminosos, normalmente comunicam a falha ao fabricante e dão-lhe a oportunidade de a corrigir antes de darem conhecimento ao público (e aos criminosos) em geral.

A procura proactiva de exploits tornou-se um desporto para alguns hackers. Na competição anual Pwn2own, os especialistas em exploits ganham dinheiro e prémios por piratearem com sucesso software popular em várias categorias, incluindo navegadores Web e aplicações empresariais. Como demonstração do seu interesse na segurança do software, a Microsoft e a VMware patrocinaram o evento Pwn2own em 2018.

Relativamente à proactividade dos fabricantes de software na procura e correção de exploits, David Sanchez, Engenheiro de Investigação Principal Malwarebytes , afirmou: "É verdade que a Microsoft e outros fabricantes de software estão a trabalhar arduamente para proteger as suas aplicações, como o Office, e explorá-las tornou-se difícil - quase impossível. Os tipos de segurança e os cibercriminosos ainda encontram uma forma de os explorar com sucesso. 100 por cento de segurança é apenas uma ilusão, mas as aplicações Malwarebytes protegem as pessoas o mais próximo possível desses 100 por cento."

História das explorações informáticas

As explorações são tão antigas como a informática. Como já referimos, todo o software tem vulnerabilidades e, ao longo dos anos, têm-se verificado algumas verdadeiras peripécias. Aqui está um resumo rápido de algumas das mais notáveis explorações informáticas.

A nossa exploração dos maiores (ou seja, piores) exploits do mundo começa em 1988 com o worm Morris, um dos primeiros worms e exploits informáticos. Batizado com o nome do seu criador, Robert Tappan Morris, o worm com o mesmo nome foi concebido para descobrir a dimensão da Internet naqueles primeiros anos de formação, utilizando várias vulnerabilidades para aceder a contas e determinar o número de computadores ligados a uma rede.

O worm ficou fora de controlo, infectando computadores várias vezes, executando várias cópias do worm em simultâneo até não restarem recursos para os utilizadores legítimos. O worm Morris tinha-se tornado efetivamente num ataque DDOS.

O worm SQL Slammer tomou o mundo de assalto em 2003, alistando na sua rede de bots cerca de 250.000 servidores com o software SQL Server da Microsoft. Uma vez infetado um servidor, utilizava um estilo de ataque disperso, gerando endereços IP aleatórios e enviando código infetado para esses endereços. Se o servidor visado tivesse o SQL Server instalado, também ele seria infetado e adicionado à rede de bots. Como resultado do SQL Slammer, 13.000 ATMs do Bank of America ficaram offline.

O worm Conficker de 2008 é notável por algumas razões. Em primeiro lugar, ele reuniu muitos computadores em sua rede de bots: 11 milhões de dispositivos em seu auge. Segundo, o Conficker popularizou um tipo de subterfúgio que os vírus usam para evitar a deteção, chamado Algoritmo de Geração de Domínio (DGA). Resumidamente, a técnica DGA permite que um pouco de malware comunique incessantemente com o seu servidor de comando e controlo (C&C), gerando novos domínios e endereços IP.

Concebido para atacar o programa nuclear do Irão, o worm Stuxnet de 2010 tirou partido de várias vulnerabilidades de dia zero no Windows para obter acesso a um sistema. A partir daí, o worm foi capaz de se auto-replicar e espalhar-se de um sistema para outro.

Descoberto em 2014, o exploit Heartbleed foi utilizado para atacar o sistema de encriptação que permite que os computadores e os servidores conversem entre si de forma privada. Por outras palavras, os cibercriminosos podiam usar o exploit para escutar a sua conversa digital. O sistema de encriptação, denominado OPEN SSL, foi utilizado em 17,5% ou meio milhão de servidores Web "seguros". São muitos dados vulneráveis.

Uma vez que se trata de um problema dos sítios Web que visita (do lado do servidor), e não de um problema do seu computador (do lado do cliente), cabe aos administradores de rede corrigir esta exploração. A maioria dos sítios Web com boa reputação corrigiu este exploit há alguns anos, mas nem todos, pelo que continua a ser um problema a ter em conta.

2017 foi um ano marcante para o ransomware. Os ataques de ransomware WannaCry e NotPetya tiraram partido das explorações EternalBlue/DoublePulsar Windows para se infiltrarem nos computadores e manterem os dados como reféns. Combinados, estes dois ataques causaram danos no valor de 18 mil milhões de dólares em todo o mundo. O ataque NotPetya, em particular, paralisou temporariamente - entre muitas outras - uma fábrica de chocolate Cadbury e o fabricante de preservativos Durex. Os hedonistas de todo o mundo sustiveram a respiração colectiva até que o exploit fosse corrigido.

O ataque de 2017 à Equifax poderia ter sido evitado se a agência de crédito tivesse feito um esforço maior para manter o seu software atualizado. Neste caso, a falha de software que os cibercriminosos utilizaram para invadir a rede de dados da Equifax já era bem conhecida e havia uma correção disponível. Em vez de corrigir a situação, a Equifax e o seu software desatualizado permitiram que os cibercriminosos roubassem informações pessoais de centenas de milhões de clientes dos EUA. "Obrigado."

Agora, antes que os utilizadores da Apple comecem a pensar que os Macs não são susceptíveis a ataques baseados em exploits, considere o bug de raiz de 2017 que permitia aos cibercriminosos introduzir simplesmente a palavra "root" no campo do nome de utilizador e carregar duas vezes em "return" para obter acesso total ao computador. Esse bug foi rapidamente corrigido antes que os cibercriminosos pudessem tirar partido dele, mas isto só mostra que qualquer software pode ter bugs exploráveis. A propósito, informámos que as exploraçõesMac estão a aumentar. No final de 2017, havia 270% mais ameaças exclusivas na plataforma Mac do que em 2016.

Ultimamente, tem havido poucas novidades no mundo das explorações de browsers. Por outro lado, os kits de exploração do Office estão a aumentar. Desde 2017, temos notado um aumento no uso de kits de exploração baseados no Office. No outono daquele ano, relatamos pela primeira vez várias explorações inovadoras do Word, incluindo uma oculta em avisos falsos do IRS e outro ataque de dia zero oculto em documentos do Word, exigindo pouca ou nenhuma interação da vítima para iniciar.

Estamos agora a assistir a um novo tipo de kit de exploração do Office que não depende de macros, ou seja, de código especial incorporado no documento, para fazer o seu trabalho sujo. Em vez disso, este kit de exploração utiliza o documento como chamariz, accionando um descarregamento automático que implementa a exploração.

Mais recentemente, os cibercriminosos estão a implementar malware sem ficheiros, assim chamado porque este tipo de malware não depende de código instalado no computador alvo para funcionar. Em vez disso, o malware sem ficheiro explora as aplicações já instaladas no computador, armando efetivamente o computador contra si próprio e contra outros computadores.

Explorações em telemóveis: Android e iOS

A maior preocupação dos utilizadores de telemóveis é instalar aplicações que não tenham sido aprovadas pela Google e pela Apple. O descarregamento de aplicações fora da Google Play Store e da Apple App Store significa que as aplicações não foram aprovadas pelas respectivas empresas. Estas aplicações não confiáveis podem tentar explorar vulnerabilidades no Android para obter acesso ao seu dispositivo móvel, roubar informações sensíveis e executar outras acções maliciosas.

Como é que me posso proteger de exploits?

As explorações podem ser assustadoras. Isso significa que devemos atirar os nossos routers pela janela e fingir que estamos na Idade das Trevas informática pré-internet? Certamente que não. Aqui estão algumas dicas se quiser ser proactivo em relação à proteção contra exploits.

  1. Mantenha-se atualizado. Actualiza regularmente o seu sistema operativo e as várias aplicações que tem instaladas? Se respondeu que não, pode ser uma potencial vítima dos cibercriminosos. Depois de uma exploração de dia zero ser conhecida pelo fornecedor de software e de ser lançada uma correção, cabe ao utilizador individual corrigir e atualizar o seu software. De facto, as explorações de dia zero tornam-se mais perigosas e generalizadas depois de se tornarem do conhecimento público, porque um grupo mais vasto de agentes de ameaças está a tirar partido da exploração. Consulte os seus fornecedores de software e verifique se existem actualizações ou correcções disponíveis. Se possível, aceda às definições do seu software e active as actualizações automáticas para que estas actualizações ocorram automaticamente em segundo plano, sem qualquer esforço adicional da sua parte. Isto eliminará o tempo de atraso entre o momento em que uma vulnerabilidade é anunciada e o momento em que é corrigida. Os cibercriminosos aproveitam-se das pessoas que se esquecem ou simplesmente não sabem que devem atualizar e corrigir o seu software.
  2. Actualize o seu software. Em alguns casos, uma aplicação de software torna-se tão antiga e pesada que o fabricante do software deixa de a suportar(abandonware), o que significa que quaisquer erros adicionais que sejam descobertos não serão corrigidos. Seguindo de perto o conselho anterior, certifique-se de que o seu software ainda é suportado pelo fabricante. Se não for, actualize para a versão mais recente ou mude para outra versão que faça o mesmo.
  3. Mantenha-se seguro em linha. Certifique-se de que o Microsoft SmartScreen ou o Google Safe Browsing estão activados para o seu navegador da Web preferido. O seu navegador verificará todos os sítios que visita em relação às listas negras mantidas pela Microsoft e pelo Google e afastá-lo-á de sítios conhecidos por fornecerem malware. Ferramentas anti-malware eficazes como o Malwarebytespor exemplo, também bloquearão os maus sites, oferecendo-lhe várias camadas de proteção.
  4. Usa-o ou perde-o. Hackers informáticos vão piratear. Não há muito que possamos fazer quanto a isso. Mas se não houver software, não há vulnerabilidade. Se já não estiver a utilizar o software, apague-o do seu computador. Hackers informáticos não conseguem entrar em algo que não está lá.
  5. Instalar aplicações autorizadas. Quando se trata de manter a segurança no seu dispositivo móvel, utilize apenas aplicações autorizadas. Há alturas em que pode querer ir para fora da App Store e da Google Play Store, como quando está a testar uma nova aplicação, mas deve ter a certeza de que pode confiar no fabricante da aplicação. No entanto, de um modo geral, opte por aplicações aprovadas que tenham sido avaliadas pela Apple e pela Google.
  6. Utilizar software anti-exploit. Assim, tomou todas as precauções necessárias para evitar ataques baseados em exploits. E quanto às explorações de dia zero? Lembre-se, uma exploração de dia zero é uma vulnerabilidade de software que só os cibercriminosos conhecem. Não há muito que possamos fazer para nos protegermos das ameaças que não conhecemos. Ou será que há? Um bom programa anti-malware, como Malwarebytes para Windows, Malwarebytes para Mac, Malwarebytes para Android ou Malwarebytes para iOS, pode reconhecer e bloquear proactivamente o software malicioso que se aproveita das vulnerabilidades do seu computador, utilizando uma análise heurística do ataque. Por outras palavras, se o programa de software suspeito estiver estruturado e se comportar como malware, Malwarebytes irá sinalizá-lo e colocá-lo em quarentena.

Artigos relacionados

FAQ

O que é uma vulnerabilidade informática?

As vulnerabilidades são o mesmo que malware?

O que é uma exploração de dia zero?

Que software é mais frequentemente alvo de exploits?

O que é um kit de exploração?

Como é que as vulnerabilidades são normalmente exploradas?

Como é que me posso proteger de exploits?

De que forma as vulnerabilidades colocam as empresas em risco?

Os dispositivos móveis são vulneráveis a ataques?