Exploração

As explorações tiram partido de vulnerabilidades de software, escondidas no código do sistema operativo e das suas aplicações, que os cibercriminosos utilizam para obter acesso ilícito ao seu sistema.

DESCARREGAR ANTIVÍRUS GRATUITO

O que precisa de saber sobre exploits informáticos

Explorações informáticas. O que são e porque é que se deve preocupar?

Já reparou como os programadores de software estão sempre a aplicar patches e a atualizar o seu software - por vezes lançando actualizações apenas alguns dias após o lançamento inicial do software?

Isto porque cada peça de software que possui e que alguma vez possuirá na sua vida terá vulnerabilidades que os cibercriminosos podem encontrar e aproveitar - por outras palavras, "explorar". Não existe software livre de exploits - haverá sempre buracos. O software de computador é tão sólido como um bloco de queijo suíço.

Através de exploits, os cibercriminosos podem aceder ao seu computador e roubar informações sensíveis ou instalar malware. Apesar de um abrandamento na atividade de exploits, os cibercriminosos continuam a recorrer a este método de ataque furtivo. Tendo isso em conta, esta é a altura ideal para nos informarmos sobre o tema dos exploits e nos protegermos em conformidade. Por isso, desloque-se para baixo, continue a ler e aprenda tudo o que precisa de saber sobre exploits informáticos.

O que é um exploit? Definição de exploit

Um exploit informático é um tipo de malware que tira partido de bugs ou vulnerabilidades, que os cibercriminosos utilizam para obter acesso ilícito a um sistema. Estas vulnerabilidades estão escondidas no código do sistema operativo e das suas aplicações, à espera de serem descobertas e utilizadas pelos cibercriminosos. O software normalmente explorado inclui o próprio sistema operativo, browsers, Microsoft Office e aplicações de terceiros. Por vezes, as explorações são agrupadas por grupos de cibercriminosos naquilo a que se chama um kit de exploração. Os kits de exploração facilitam aos criminosos com conhecimentos técnicos limitados a utilização de explorações e a disseminação de malware.

Para compreender melhor o que são exploits, pode ser útil pensar nas caras fechaduras de cilindro para bicicletas e computadores portáteis populares no início dos anos 2000. As pessoas pagavam mais de 50 dólares por estes cadeados, pensando que estes mantinham os seus objectos de valor seguros, até que alguém publicou um vídeo online demonstrando como estes cadeados podiam ser abertos numa questão de segundos utilizando uma caneta Bic barata e facilmente disponível.

Isto obrigou os fabricantes de fechaduras a actualizarem as suas fechaduras e os consumidores tiveram de passar a usar as novas fechaduras à prova de arrombamento. Trata-se de uma exploração tangível de um sistema de segurança física. No que se refere ao software, os cibercriminosos procuram truques inteligentes, tal como o tipo da caneta Bic, que lhes permitam aceder aos computadores, dispositivos móveis e redes de outras pessoas.

Os ataques de exploração começam frequentemente com malspam e descarregamentos automáticos. Os cibercriminosos enganam as vítimas inocentes, levando-as a abrir um anexo de correio eletrónico infetado ou a clicar em ligações que redireccionam para um sítio Web malicioso. Os anexos infectados, muitas vezes um documento Word ou PDF, contêm código de exploração concebido para tirar partido das fragilidades das aplicações.

As transferências automáticas tiram partido das vulnerabilidades do seu navegador, como o Internet Explorer ou o Firefox, por exemplo, ou dos plug-ins executados no seu navegador, como o Flash. Pode visitar um sítio Web que já visitou com segurança no passado, mas desta vez o sítio foi pirateado e nem sequer se apercebeu disso. Em alternativa, pode clicar numa ligação maliciosa num e-mail de spam que o leva a uma versão falsificada de um sítio Web conhecido.

E em casos particularmente complicados, pode visitar um sítio Web legítimo que apresente um anúncio ou pop-up infetado com malware, também conhecido como malvertising. Ao visitar o sítio, o código malicioso na página Web funcionará invisivelmente em segundo plano para carregar malware no seu computador.

Os cibercriminosos utilizam os exploits como um meio para atingir um fim malicioso, que vai desde um problema incómodo a um incómodo incapacitante. Os cibercriminosos podem tentar colocar os recursos do seu computador a trabalhar numa rede de bots zombie para efeitos de um ataque DDoS ou para extrair Bitcoin(cryptojacking).

Em alternativa, os cibercriminosos podem tentar instalar adware e inundar o seu ambiente de trabalho com anúncios. Os cibercriminosos podem querer entrar no seu sistema e roubar dados diretamente ou instalar malware para recolher secretamente dados seus ao longo do tempo(spyware). Finalmente, os cibercriminosos podem instalar malware que encripta todos os seus ficheiros e exigir um pagamento em troca da chave de encriptação(ransomware).

O que é uma exploração de dia zero?

Dia zero! O único dia do ano em que fazemos uma pausa para reconhecer o humilde zero. Se ao menos isso fosse verdade. Na verdade, uma exploração de dia zero, também conhecida como exploração de hora zero, é uma vulnerabilidade de software que ninguém, exceto o cibercriminoso que a criou, conhece e para a qual não existe uma correção disponível. Quando um exploit se torna do conhecimento público, deixa de ser um zero-day. Por vezes, um exploit conhecido é referido como um exploit de dia n, indicando que passaram um ou mais dias desde que o exploit foi publicitado.

Quando uma exploração de dia zero se torna pública, os fabricantes de software estão numa corrida contra os criminosos para corrigir a exploração antes que os criminosos possam tirar partido e colher os benefícios. Felizmente, os investigadores têm escrúpulos. Se os investigadores descobrirem uma exploração antes dos criminosos, normalmente comunicam a falha ao fabricante e dão-lhe a oportunidade de a corrigir antes de darem conhecimento ao público (e aos criminosos) em geral.

A procura proactiva de exploits tornou-se um desporto para alguns hackers. Na competição anual Pwn2own, os especialistas em exploits ganham dinheiro e prémios por piratearem com sucesso software popular em várias categorias, incluindo navegadores Web e aplicações empresariais. Como demonstração do seu interesse na segurança do software, a Microsoft e a VMware patrocinaram o evento Pwn2own em 2018.

Relativamente à proactividade dos fabricantes de software na procura e correção de exploits, David Sanchez, Engenheiro de Investigação Principal Malwarebytes , afirmou: "É verdade que a Microsoft e outros fabricantes de software estão a trabalhar arduamente para proteger as suas aplicações, como o Office, e explorá-las tornou-se difícil - quase impossível. Os tipos de segurança e os cibercriminosos ainda encontram uma forma de os explorar com sucesso. 100 por cento de segurança é apenas uma ilusão, mas as aplicações Malwarebytes protegem as pessoas o mais próximo possível desses 100 por cento."

"100 por cento de segurança é apenas uma ilusão. As aplicações Malwarebytes protegem as pessoas o mais próximo possível desses 100 por cento."
- David Sanchez
Engenheiro de Investigação PrincipalMalwarebytes

História das explorações informáticas

As explorações são tão antigas como a informática. Como já referimos, todo o software tem vulnerabilidades e, ao longo dos anos, têm-se verificado algumas verdadeiras peripécias. Aqui está um resumo rápido de algumas das mais notáveis explorações informáticas.

A nossa exploração dos maiores (ou seja, piores) exploits do mundo começa em 1988 com o worm Morris, um dos primeiros worms e exploits informáticos. Batizado com o nome do seu criador, Robert Tappan Morris, o worm com o mesmo nome foi concebido para descobrir a dimensão da Internet naqueles primeiros anos de formação, utilizando várias vulnerabilidades para aceder a contas e determinar o número de computadores ligados a uma rede.

O worm ficou fora de controlo, infectando computadores várias vezes, executando várias cópias do worm em simultâneo até não restarem recursos para os utilizadores legítimos. O worm Morris tinha-se tornado efetivamente num ataque DDOS.

O worm SQL Slammer tomou o mundo de assalto em 2003, alistando na sua rede de bots cerca de 250.000 servidores com o software SQL Server da Microsoft. Uma vez infetado um servidor, utilizava um estilo de ataque disperso, gerando endereços IP aleatórios e enviando código infetado para esses endereços. Se o servidor visado tivesse o SQL Server instalado, também ele seria infetado e adicionado à rede de bots. Como resultado do SQL Slammer, 13.000 ATMs do Bank of America ficaram offline.

O worm Conficker de 2008 é notável por algumas razões. Em primeiro lugar, ele reuniu muitos computadores em sua rede de bots: 11 milhões de dispositivos em seu auge. Segundo, o Conficker popularizou um tipo de subterfúgio que os vírus usam para evitar a deteção, chamado Algoritmo de Geração de Domínio (DGA). Resumidamente, a técnica DGA permite que um pouco de malware comunique incessantemente com o seu servidor de comando e controlo (C&C), gerando novos domínios e endereços IP.

Concebido para atacar o programa nuclear do Irão, o worm Stuxnet de 2010 tirou partido de várias vulnerabilidades de dia zero no Windows para obter acesso a um sistema. A partir daí, o worm foi capaz de se auto-replicar e espalhar-se de um sistema para outro.

Descoberto em 2014, o exploit Heartbleed foi utilizado para atacar o sistema de encriptação que permite que os computadores e os servidores conversem entre si de forma privada. Por outras palavras, os cibercriminosos podiam usar o exploit para escutar a sua conversa digital. O sistema de encriptação, denominado OPEN SSL, foi utilizado em 17,5% ou meio milhão de servidores Web "seguros". São muitos dados vulneráveis.

Uma vez que se trata de um problema dos sítios Web que visita (do lado do servidor), e não de um problema do seu computador (do lado do cliente), cabe aos administradores de rede corrigir esta exploração. A maioria dos sítios Web com boa reputação corrigiu este exploit há alguns anos, mas nem todos, pelo que continua a ser um problema a ter em conta.

2017 foi um ano marcante para o ransomware. Os ataques de ransomware WannaCry e NotPetya tiraram partido das explorações EternalBlue/DoublePulsar Windows para se infiltrarem nos computadores e manterem os dados como reféns. Combinados, estes dois ataques causaram danos no valor de 18 mil milhões de dólares em todo o mundo. O ataque NotPetya, em particular, paralisou temporariamente - entre muitas outras - uma fábrica de chocolate Cadbury e o fabricante de preservativos Durex. Os hedonistas de todo o mundo sustiveram a respiração colectiva até que o exploit fosse corrigido.

O ataque de 2017 à Equifax poderia ter sido evitado se a agência de crédito tivesse feito um esforço maior para manter o seu software atualizado. Neste caso, a falha de software que os cibercriminosos utilizaram para invadir a rede de dados da Equifax já era bem conhecida e havia uma correção disponível. Em vez de corrigir a situação, a Equifax e o seu software desatualizado permitiram que os cibercriminosos roubassem informações pessoais de centenas de milhões de clientes dos EUA. "Obrigado."

Agora, antes que os utilizadores da Apple comecem a pensar que os Macs não são susceptíveis a ataques baseados em exploits, considere o bug de raiz de 2017 que permitia aos cibercriminosos introduzir simplesmente a palavra "root" no campo do nome de utilizador e carregar duas vezes em "return" para obter acesso total ao computador. Esse bug foi rapidamente corrigido antes que os cibercriminosos pudessem tirar partido dele, mas isto só mostra que qualquer software pode ter bugs exploráveis. A propósito, informámos que as exploraçõesMac estão a aumentar. No final de 2017, havia 270% mais ameaças exclusivas na plataforma Mac do que em 2016.

Ultimamente, tem havido poucas novidades no mundo das explorações de browsers. Por outro lado, os kits de exploração do Office estão a aumentar. Desde 2017, temos notado um aumento no uso de kits de exploração baseados no Office. No outono daquele ano, relatamos pela primeira vez várias explorações inovadoras do Word, incluindo uma oculta em avisos falsos do IRS e outro ataque de dia zero oculto em documentos do Word, exigindo pouca ou nenhuma interação da vítima para iniciar.

Estamos agora a assistir a um novo tipo de kit de exploração do Office que não depende de macros, ou seja, de código especial incorporado no documento, para fazer o seu trabalho sujo. Em vez disso, este kit de exploração utiliza o documento como chamariz, accionando um descarregamento automático que implementa a exploração.

Mais recentemente, os cibercriminosos estão a implementar malware sem ficheiros, assim chamado porque este tipo de malware não depende de código instalado no computador alvo para funcionar. Em vez disso, o malware sem ficheiro explora as aplicações já instaladas no computador, armando efetivamente o computador contra si próprio e contra outros computadores.

"O malware sem ficheiro explora as aplicações já instaladas no computador, armando efetivamente o computador contra si próprio e contra outros computadores."

Explorações em telemóveis: Android e iOS

A maior preocupação dos utilizadores de telemóveis é instalar aplicações que não tenham sido aprovadas pela Google e pela Apple. O descarregamento de aplicações fora da Google Play Store e da Apple App Store significa que as aplicações não foram aprovadas pelas respectivas empresas. Estas aplicações não confiáveis podem tentar explorar vulnerabilidades no Android para obter acesso ao seu dispositivo móvel, roubar informações sensíveis e executar outras acções maliciosas.

Como é que me posso proteger de exploits?

As explorações podem ser assustadoras. Isso significa que devemos atirar os nossos routers pela janela e fingir que estamos na Idade das Trevas informática pré-internet? Certamente que não. Aqui estão algumas dicas se quiser ser proactivo em relação à proteção contra exploits.

  1. Mantenha-se atualizado. Actualiza regularmente o seu sistema operativo e as várias aplicações que tem instaladas? Se respondeu que não, pode ser uma potencial vítima dos cibercriminosos. Depois de uma exploração de dia zero ser conhecida pelo fornecedor de software e de ser lançada uma correção, cabe ao utilizador individual corrigir e atualizar o seu software. De facto, as explorações de dia zero tornam-se mais perigosas e generalizadas depois de se tornarem do conhecimento público, porque um grupo mais vasto de agentes de ameaças está a tirar partido da exploração. Consulte os seus fornecedores de software e verifique se existem actualizações ou correcções disponíveis. Se possível, aceda às definições do seu software e active as actualizações automáticas para que estas actualizações ocorram automaticamente em segundo plano, sem qualquer esforço adicional da sua parte. Isto eliminará o tempo de espera entre o momento em que uma vulnerabilidade é anunciada e o momento em que é corrigida. Os cibercriminosos aproveitam-se das pessoas que se esquecem ou simplesmente não sabem que devem atualizar e corrigir o seu software.
  2. Actualize o seu software. Em alguns casos, uma aplicação de software torna-se tão antiga e pesada que o fabricante do software deixa de a suportar(abandonware), o que significa que quaisquer erros adicionais que sejam descobertos não serão corrigidos. Seguindo de perto o conselho anterior, certifique-se de que o seu software ainda é suportado pelo fabricante. Se não for, actualize para a versão mais recente ou mude para outra que faça o mesmo.
  3. Mantenha-se seguro em linha. Certifique-se de que o Microsoft SmartScreen ou o Google Safe Browsing estão activados para o seu navegador da Web preferido. O seu navegador verificará todos os sítios que visita em relação às listas negras mantidas pela Microsoft e pelo Google e afastá-lo-á de sítios conhecidos por fornecerem malware. Ferramentas anti-malware eficazes como o Malwarebytespor exemplo, também bloquearão os maus sites, oferecendo-lhe várias camadas de proteção.
  4. Usa-o ou perde-o. Os piratas informáticos vão piratear. Não há muito que possamos fazer quanto a isso. Mas se não houver software, não há vulnerabilidade. Se já não estiver a utilizar o software, apague-o do seu computador. Os piratas informáticos não conseguem entrar em algo que não está lá.
  5. Instalar aplicações autorizadas. Quando se trata de manter a segurança no seu dispositivo móvel, utilize apenas aplicações autorizadas. Há alturas em que pode querer sair da App Store e da Google Play Store, como quando está a testar uma nova aplicação, mas deve ter a certeza de que pode confiar no fabricante da aplicação. No entanto, de um modo geral, opte por aplicações aprovadas que tenham sido avaliadas pela Apple e pela Google.
  6. Utilizar software anti-exploit. Assim, tomou todas as precauções necessárias para evitar ataques baseados em exploits. E quanto às explorações de dia zero? Lembre-se, uma exploração de dia zero é uma vulnerabilidade de software que só os cibercriminosos conhecem. Não há muito que possamos fazer para nos protegermos das ameaças que não conhecemos. Ou será que há? Um bom programa anti-malware, como Malwarebytes para Windows, Malwarebytes para Mac, Malwarebytes para Android ou Malwarebytes para iOS, pode reconhecer e bloquear proactivamente o software malicioso que se aproveita das vulnerabilidades do seu computador utilizando uma análise heurística do ataque. Por outras palavras, se o programa de software suspeito estiver estruturado e se comportar como malware, Malwarebytes irá sinalizá-lo e colocá-lo em quarentena.

Como é que as explorações afectam a minha empresa?

Em muitos aspectos, a sua empresa representa um alvo de maior valor para os cibercriminosos e para as explorações do que o consumidor individual - mais dados para roubar, mais para pedir resgate e mais pontos finais para atacar.

Veja-se, por exemplo, a violação de dados da Equifax. Neste caso, os cibercriminosos utilizaram uma exploração no Apache Struts 2 para obter acesso à rede da Equifax e aumentar os seus privilégios de utilizador. Uma vez na rede, os atacantes tornaram-se administradores do sistema, obtendo acesso a dados sensíveis de milhões de consumidores. Ninguém sabe quais são as consequências do ataque da Equifax, mas pode acabar por custar milhões de dólares à agência de crédito. Há uma ação judicial colectiva em curso e os indivíduos estão a levar a Equifax para o tribunal de pequenas causas, ganhando mais de 8.000 dólares por caso.

Para além do aumento de privilégios, as explorações podem ser utilizadas para implantar outro malware - como foi o caso do ataque do ransomware NotPetya. O NotPetya espalhou-se pela Internet, atacando indivíduos e empresas. Utilizando as explorações EternalBlue e MimiKatz Windows , o NotPetya conseguiu penetrar numa rede e espalhou-se de computador para computador, bloqueando cada ponto final, encriptando os dados dos utilizadores e paralisando o negócio. Computadores, smartphones, telefones de secretária VOIP, impressoras e servidores ficaram todos inutilizados. Os prejuízos Total para as empresas em todo o mundo foram estimados em 10 mil milhões de dólares.

Então, como pode proteger a sua empresa? É necessário eliminar os pontos fracos do seu sistema com uma boa estratégia de gestão de patches. Aqui estão algumas coisas a ter em mente ao descobrir o que é melhor para a sua rede.

  • Implementar a segmentação da rede. Espalhar os seus dados em sub-redes mais pequenas reduz a superfície de ataque - alvos mais pequenos são mais difíceis de atingir. Isso pode ajudar a conter uma violação em apenas alguns pontos de extremidade em vez de toda a sua infraestrutura.
  • Aplicar o princípio do menor privilégio (PoLP). Em suma, dar aos utilizadores o nível de acesso de que necessitam para fazer o seu trabalho e nada mais. Mais uma vez, isto ajuda a conter os danos causados por violações ou ataques de ransomware.
  • Mantenha-se atualizado com as actualizações. Esteja atento à Patch Tuesday e planeie em função da mesma. O Centro de Resposta de Segurança da Microsoft mantém um blogue com todas as informações de atualização mais recentes. Também pode subscrever o boletim informativo por correio eletrónico para se manter a par do que está a ser corrigido todos os meses.
  • Dê prioridade às suas actualizações. O dia seguinte à Patch Tuesday é por vezes chamado (com a língua bem assente na bochecha) Exploit Wednesday. Os cibercriminosos tomaram conhecimento de potenciais explorações e a corrida é para atualizar os sistemas antes que os cibercriminosos tenham oportunidade de atacar. Para acelerar o processo de correção, deve considerar lançar actualizações em cada ponto final a partir de um agente central, em vez de deixar que cada utilizador final as conclua no seu próprio tempo.
  • Auditar as actualizações após o facto. É suposto as correcções corrigirem o software, mas por vezes as correcções acabam por estragar tudo. Vale a pena acompanhar e certificar-se de que os patches que enviou para a sua rede não pioraram as coisas e desinstalá-los se necessário.
  • Livrar-se do abandonware. Por vezes, é difícil livrar-se de software antigo que já passou da data de validade, especialmente numa grande empresa onde o ciclo de compras se move com a urgência de uma preguiça, mas o software descontinuado é verdadeiramente o pior cenário para qualquer administrador de rede ou sistema. Os cibercriminosos procuram ativamente sistemas com software desatualizado e obsoleto, por isso substitua-o o mais rapidamente possível.
  • Naturalmente, um bom software de segurança de terminais é uma parte essencial de qualquer programa de proteção contra exploits. Considere Malwarebytes. Com o Malwarebytes Endpoint Protection e Malwarebytes Endpoint Detection and Response, temos uma solução para todas as necessidades de segurança da sua empresa.

Finalmente, se tudo isto não saciou a sua fome de conhecimento sobre exploits, pode sempre ler mais sobre exploits no blogue Malwarebytes Labs.

Notícias sobre exploits


Análises de kits de exploração: 

Kits de exploração: revisão da primavera de 2019
Kits de exploração: revisão do inverno de 2019
Kits de exploração: revisão do outono de 2018
Kits de exploração: revisão do verão de 2018
Kits de exploração: revisão da primavera de 2018
Kits de exploração: revisão do inverno de 2018
Leia mais notícias sobre explorações e vulnerabilidades no blogue Malwarebytes Labs .