Uma pergunta que os engenheiros de segurança estão enfrentando atualmente diz respeito ao Silverlight da Microsoft. Como você pode ter notado, A Microsoft acabou de corrigir uma vulnerabilidade crítica no Silverlight no Patch Tuesday de 12 de janeiro:
MS16-006: Atualização de segurança para o Silverlight para corrigir a execução remota de código, também disponível como KB 3126036
Esta é a descrição oficial do MS16-006 fornecida pela MS no boletim de segurança:
Esta atualização de segurança resolve uma vulnerabilidade no Microsoft Silverlight. A vulnerabilidade pode permitir a execução remota de código se um usuário visitar um site comprometido que contém um aplicativo Silverlight especialmente criado. Um invasor não teria como forçar os usuários a visitar um site comprometido. Em vez de, um invasor teria que convencer os usuários a visitar o site, normalmente fazendo com que eles cliquem em um link em um e-mail ou mensagem instantânea que leva os usuários ao site do invasor.
Aprender mais sobre janeiro 12 patch Tuesday
O que incomoda os especialistas em segurança, como os pesquisadores da Kaspersky Lab, é que, embora as explorações do Silverlight tenham sido usadas em um pequeno número de ataques, não demorará muito para que tais ataques se tornem generalizados. Conforme apontado por especialistas, A Microsoft falou pouco sobre as explorações do Silverlight.
Por que as vulnerabilidades do Silverlight são uma ameaça potencial?
As vulnerabilidades do Silverlight podem ser muito semelhantes aos bugs de segurança do Flash Player. Eles permitiriam que atores de malware bem treinados atacassem vítimas executando vários navegadores e plataformas. Pesquisadores da Kaspersky observaram tais ataques e, por enquanto, os atacantes visam apenas computadores Windows. Contudo, com apenas alguns ajustes, os invasores podem começar a atacar o Mac OS X e outras plataformas. O que geralmente aconteceria se um usuário fosse enganado para um esquema de spear-phishing ou se tornasse vítima de um download drive-by. Em ambos os cenários, o agente do malware teria deixado cair um aplicativo Silverlight malicioso em um websver vulnerável.
Por que a exploração do Silverlight é tão importante? Isso é o que o pesquisador da Kaspersky Lab, Brian Bartholomew, diz:
É um grande negócio; As vulnerabilidades do Silverlight não aparecem com tanta frequência. A exploração do dia zero em si é bastante técnica, mas uma vez que uma prova de conceito cai nas mãos de alguém que sabe o que está fazendo e faz a engenharia reversa do patch, não é tão difícil produzir uma versão armada disso.
além disso, uma exploração aplicada em ataques direcionados também pode ser "encaminhada" para kits de exploração atualmente ativos e disponibilizada para várias operações maliciosas.
O bug do Silverlight foi relatado à Microsoft pelos pesquisadores da Kaspersky Lab, Costin Raiu e Anton Ivanov. A atenção deles foi chamada por um e-mail enviado por um hacker russo (Vitaliy Toropov) para a Equipe de Hacking durante sua infame violação, alegando que ele tinha uma vulnerabilidade de dia zero do Silverlight para venda. Além disso, o bug tinha pelo menos dois anos em 2013. O hacker até acreditava que o dia zero poderia passar despercebido por um período mais longo.
Isso faz parte da comunicação com Vitaliy publicada por ArsTechnica:
Eu recomendo a você o novo dia 0 para iOS 7 / OS X Safari ou meu antigo exploit Silverlight que foi escrito 2.5 anos atrás e tem todas as chances de sobreviver nos próximos anos também.
O exploit patcheado do Silverlight é o único?
De acordo com Bartolomeu, Os pesquisadores da Kaspersky descobriram uma vulnerabilidade do Silverlight mais antiga e uma prova de conceito que também foi creditada a Toropov e enviada ao Packet Storm (um portal de informações de segurança). O arquivo pode ser baixado e continha informações suficientes para o Kaspersky escrever uma regra YARA para o arquivo DLL que acionou a exploração.
O que é YARA?
YARA é uma ferramenta usada principalmente por pesquisadores de malware para identificar e classificar amostras de malware. YARA é aplicado para criar descrições de famílias de malware com base em padrões textuais ou binários. Cada descrição (ou regra) é um conjunto de cordas.
Assim que a regra YARA estiver pronta, foi implantado nos computadores dos clientes da Kaspersky. Tudo parecia estar bem até o final de novembro 2015. É quando um alerta foi disparado no computador de um usuário por uma das detecções genéricas para o 2013 explorar. A análise mostrou que o arquivo malicioso foi criado em julho 21, quase duas semanas após a violação da equipe de Hacking ter ocorrido e os dados roubados terem se tornado públicos online. A exploração foi relatada à Microsoft, e foi corrigido em janeiro 12 2016 patch Tuesday.
O que ainda não está claro para os pesquisadores é se o exploit de dia zero corrigido é o mesmo divulgado pela violação da equipe de hacking (aquele proposto para venda por Toropov), ou um novo exploit escrito depois.
Bartolomeu da Kaspersky diz que há semelhanças nas duas amostras que apontam para Toropov:
Poucas pessoas escrevem Silverlight zero dias, então o campo é estreitado significativamente,”Bartholomew disse. “Além disso, existem algumas cadeias de caracteres de erro usadas em seu antigo exploit de 2013 que nos apegamos e pensamos que eram únicos. Essas foram a base de nossa regra.
Finalmente, o perigoso sobre os exploits de dia zero do Silverlight é que eles têm o potencial de se espalharem.
Referências
ThreatPost
ArsTechnica
Kaspersky Lab
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: