Em um mundo cada vez mais digital, a segurança cibernética tornou-se uma preocupação primordial. As empresas de tecnologia estão constantemente em uma corrida contra o tempo para identificar e corrigir vulnerabilidades em seus sistemas antes que sejam exploradas por cibercriminosos. Nesse contexto, a descoberta de uma nova vulnerabilidade no sistema operacional Windows pela Kaspersky, uma das principais empresas de segurança cibernética do mundo, é de grande importância.
Os especialistas Boris Larin e Mert Degirmenci, da Kaspersky, detectaram uma falha inédita no Windows, conhecida como CVE-2024-30051, no início de abril de 2024. Esta descoberta foi feita durante a investigação de uma vulnerabilidade na biblioteca principal do Windows DWM que eleva privilégio (CVE-2023-36033). A descoberta desta nova falha ressalta a importância do trabalho contínuo de empresas como a Kaspersky na identificação e correção de vulnerabilidades para garantir a segurança dos sistemas operacionais.
A correção para essa nova falha foi disponibilizada em 14 de maio, como parte do pacote de atualização lançado pela Microsoft. Esta rápida resposta da Microsoft demonstra a seriedade com que as empresas de tecnologia estão levando a questão da segurança cibernética.
Este artigo irá explorar em detalhes a descoberta desta vulnerabilidade, as ações tomadas pela Kaspersky e pela Microsoft em resposta, e as implicações desta descoberta para a segurança cibernética. Acompanhe para entender melhor este importante acontecimento no mundo da segurança cibernética. Saiba também o que é CVE.
Descoberta da vulnerabilidade
Em 1º de abril de 2024, um documento enviado ao VirusTotal despertou o interesse dos pesquisadores da Kaspersky. O nome do arquivo sugeria uma possível falha no sistema operacional Windows. Apesar do inglês incorreto e da falta de detalhes sobre como acionar a falha, o documento descreveu um processo de exploração semelhante à exploração de dia zero encontrada em 2023 (CVE-2023-36033), embora fossem diferentes. Suspeitando que essa falha fosse fictícia ou inexplorável, a equipe prosseguiu com a investigação. Uma rápida verificação revelou que se tratava de uma falha desconhecida (zero-day) e genuína, capaz de aumentar os privilégios no sistema atacado.
Qual o impacto dessa falha para os usuários do Windows?
A falha identificada no Windows, conhecida como CVE-2024-30051, pode ter um impacto significativo para os usuários do sistema operacional. Como uma vulnerabilidade de elevação de privilégio, ela permite que um atacante obtenha níveis mais altos de acesso ao sistema, o que pode levar a uma série de problemas de segurança.
- Comprometimento da segurança dos dados: com acesso elevado, um atacante pode ter acesso a dados sensíveis armazenados no sistema. Isso pode incluir informações pessoais, detalhes financeiros e dados corporativos confidenciais.
- Instalação de malware: a falha pode permitir que um atacante instale software malicioso no sistema do usuário. Isso pode variar desde spyware que monitora as atividades do usuário até ransomware que criptografa os dados do usuário e exige um resgate para desbloqueá-los.
- Controle do sistema: em casos extremos, um atacante pode ganhar controle total sobre o sistema de um usuário. Isso pode permitir que eles alterem configurações, instalem ou removam software e executem uma variedade de outras ações sem o conhecimento ou consentimento do usuário.
- Propagação de ataques: uma vez que um sistema é comprometido, ele pode ser usado para propagar o ataque a outros sistemas na mesma rede. Isso pode levar a um comprometimento em larga escala que pode ser difícil de conter e corrigir.
Por isso, é crucial que os usuários do Windows apliquem a correção para essa vulnerabilidade o mais rápido possível para proteger seus sistemas contra possíveis explorações. Além disso, é sempre uma boa prática manter todos os softwares atualizados, usar uma solução de segurança confiável e seguir as melhores práticas de segurança cibernética para minimizar o risco de comprometimento.
Como posso verificar se meu sistema está vulnerável a essa falha?
Para verificar se o seu sistema está vulnerável à falha CVE-2024-30051, você pode seguir os passos abaixo:
- Verifique a versão do seu sistema operacional Windows: Você pode fazer isso pressionando a tecla Windows + R, digitando “winver” na caixa de diálogo e pressionando Enter. Uma janela será aberta mostrando a versão do seu sistema operacional.
- Compare com as informações da vulnerabilidade: Verifique se a sua versão do Windows está entre as versões afetadas pela vulnerabilidade CVE-2024-30051. Essas informações geralmente podem ser encontradas no site oficial da Microsoft ou em comunicados de empresas de segurança, como a Kaspersky.
- Verifique as atualizações do sistema: Se a sua versão do Windows estiver entre as afetadas, verifique se você instalou todas as atualizações de segurança disponíveis. Você pode fazer isso indo em Configurações > Atualização e Segurança > Windows Update e clicando em “Verificar atualizações”.
- Use uma ferramenta de verificação de vulnerabilidades: Existem várias ferramentas disponíveis que podem verificar o seu sistema em busca de vulnerabilidades conhecidas. Essas ferramentas geralmente fornecem um relatório detalhado das vulnerabilidades encontradas e das ações recomendadas.
Lembre-se, a melhor maneira de proteger o seu sistema contra vulnerabilidades é manter o seu sistema operacional e todos os softwares instalados atualizados, usar uma solução de segurança confiável e seguir as melhores práticas de segurança cibernética. Se você suspeitar que o seu sistema pode estar comprometido, entre em contato com um profissional de segurança cibernética.
Quais são as versões do Windows afetadas por essa vulnerabilidade?
A falha identificada no Windows, conhecida como CVE-2024-30051, afeta as seguintes versões do sistema operacional Windows:
- Windows 10: Versões de 1809 a 22H2, incluindo sistemas de 32 bits, sistemas baseados em x64 e sistemas baseados em ARM64.
- Windows 11: Versões de 21H2 a 23H2, incluindo sistemas baseados em x64 e sistemas baseados em ARM64.
- Windows Server 2016: Todas as versões anteriores à 10.0.14393.6981.
- Windows Server 2019 e 2019 Server Core installation: Todas as versões anteriores à 10.0.17763.5820.
- Windows Server 2022: Todas as versões anteriores à 10.0.20348.2461 e 10.0.20348.2458.
É importante notar que a vulnerabilidade permite que os atacantes aumentem seus privilégios para o nível SYSTEM em sistemas Windows vulneráveis, incluindo o Windows 10 e superior, bem como o Windows Server 2016 e versões posteriores. Portanto, é altamente recomendável que os usuários dessas versões do Windows apliquem as atualizações de segurança mais recentes para proteger seus sistemas contra possíveis explorações.
Como posso verificar a versão específica do meu sistema Windows?
Para verificar a versão específica do seu sistema operacional Windows, você pode seguir os seguintes passos:
- Pressione a tecla Windows + R no seu teclado para abrir a caixa de diálogo “Executar”.
- Digite “winver” na caixa de diálogo e pressione Enter.
- Uma janela será aberta mostrando a versão do seu sistema operacional Windows.
Essas informações incluirão a versão do Windows que você está usando (por exemplo, Windows 10, Windows 11), a compilação do sistema operacional e outras informações relevantes. Se você estiver procurando por informações mais detalhadas, como se você está executando uma versão de 32 bits ou 64 bits do Windows, você pode encontrar isso no Painel de Controle em Sistema e Segurança > Sistema.
Como posso atualizar meu sistema para a versão mais recente e corrigir essa falha?
Para atualizar o seu sistema operacional Windows para a versão mais recente e corrigir a falha, você pode seguir os passos abaixo:
- Abra as Configurações do Windows: Pressione a tecla Windows + I no seu teclado para abrir as Configurações do Windows.
- Vá para Atualização e Segurança: No menu de Configurações, clique em “Atualização e Segurança”.
- Verifique as atualizações disponíveis: Na seção “Windows Update”, clique em “Verificar atualizações”. O Windows irá então procurar por qualquer atualização disponível para o seu sistema.
- Instale as atualizações disponíveis: Se houver atualizações disponíveis, clique em “Instalar agora” ou “Baixar e instalar”. O Windows irá então baixar e instalar as atualizações.
- Reinicie o seu sistema: Após a instalação das atualizações, você pode precisar reiniciar o seu sistema para que as alterações entrem em vigor.
Lembre-se, é sempre uma boa prática manter o seu sistema operacional e todos os softwares instalados atualizados para proteger o seu sistema contra possíveis explorações. Além disso, usar uma solução de segurança confiável e seguir as melhores práticas de segurança cibernética pode ajudar a minimizar o risco de comprometimento.
Como posso verificar a eficácia das atualizações após instalá-las?
Após instalar as atualizações, você pode verificar a eficácia delas seguindo os passos abaixo:
- Verifique a versão do seu sistema operacional: Após a instalação das atualizações, verifique novamente a versão do seu sistema operacional para confirmar que as atualizações foram instaladas com sucesso. Você pode fazer isso pressionando a tecla Windows + R, digitando “winver” na caixa de diálogo e pressionando Enter.
- Use uma ferramenta de verificação de vulnerabilidades: Existem várias ferramentas disponíveis que podem verificar o seu sistema em busca de vulnerabilidades conhecidas. Essas ferramentas geralmente fornecem um relatório detalhado das vulnerabilidades encontradas e das ações recomendadas. Se a vulnerabilidade CVE-2024-30051 não aparecer no relatório, isso é um bom indicativo de que a atualização foi bem-sucedida.
- Monitore o desempenho do seu sistema: Após a instalação das atualizações, monitore o desempenho do seu sistema para quaisquer alterações. Se o seu sistema continuar funcionando normalmente e sem problemas, isso é um bom sinal de que as atualizações foram eficazes.
- Verifique as notificações de segurança: Mantenha-se atualizado com as notificações de segurança da Microsoft e de outras fontes confiáveis. Se houver novas informações sobre a vulnerabilidade ou sobre problemas com a atualização, elas provavelmente serão comunicadas por esses canais.
Lembre-se, a melhor maneira de proteger o seu sistema contra vulnerabilidades é manter o seu sistema operacional e todos os softwares instalados atualizados, usar uma solução de segurança confiável e seguir as melhores práticas de segurança cibernética.
Ação da Kaspersky
A Kaspersky comunicou imediatamente suas descobertas à Microsoft, que confirmou a falha e atribuiu-lhe o código CVE-2024-30051. Após o relatório, a Kaspersky começou a monitorar as explorações e ataques usando esta falha até então desconhecida. Em meados de abril, a equipe detectou que essa falha foi explorada, através de um exploit usado em conjunto com o trojan bancário QakBot e outras pragas, indicando que vários grupos tiveram acesso à falha.
Palavras do pesquisador
“Achamos o documento do VirusTotal intrigante, devido à sua natureza descritiva e decidimos investigar mais a fundo, o que nos levou a descobrir esta vulnerabilidade crítica de zero-day”, disse Boris Larin, principal pesquisador de segurança da Kaspersky GReAT. “A velocidade com que os grupos de cibercriminosos estão integrando esta exploração em seu arsenal ressalta a importância das atualizações e vigilância na segurança corporativa”.
Próximos passos
A Kaspersky divulgará mais detalhes técnicos da CVE-2024-30051 assim que a maioria dos usuários atualizarem o Windows. A Kaspersky agradece à Microsoft pela pronta análise e lançamento das correções.
Atualizações da Kaspersky
Os produtos Kaspersky foram atualizados para detectar exploits e ataques que usam a CVE-2024-30051 com os seguintes veredictos:
- PDM:Exploit.Win32.Generic
- PDM:Trojan.Win32.Generic
- UDS:DangerousObject.Multi.Generic
- Trojan.Win32.Agent.gen
- Trojan.Win32.CobaltStrike.gen
Sobre o QakBot
A Kaspersky rastreia esse trojan bancário sofisticado desde sua descoberta em 2007. Originalmente, ele roubava credenciais bancárias, mas o QakBot evoluiu significativamente, adquirindo novas funcionalidades, como roubo de e-mail, keylogging e a capacidade de se espalhar e instalar ransomware. O malware é conhecido por suas atualizações e melhorias frequentes, o que o torna uma ameaça persistente no cenário da cibersegurança. Nos últimos anos, observou-se que o QakBot se aproveita de outras botnets, como o Emotet, para distribuição.