Entenda a falha do Windows que pode causar um ‘novo WannaCry’

Atualização já foi liberada pela Microsoft, mas inúmeros computadores ainda estão vulneráveis
Renato Santino28/05/2019 01h10

20190226084527

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Não é sempre que acontece, mas ocasionalmente uma falha em algum sistema muito popular dá as caras e assusta toda a comunidade de especialistas em segurança digital. Agora é um destes momentos, graças a uma falha conhecida como Bluekeep afetando computadores Windows que não tenham instalado o último pacote de correção liberado pela Microsoft.

A falha foi considerada de “alta severidade” pela própria Microsoft, forçando a empresa a liberar pacotes de correção até mesmo para versões abandonadas do Windows, como XP, Vista e 2003, além das versões que ainda têm suporte. Ainda assim, pelo fato de muitas pessoas ignorarem os alertas de segurança, há uma infinidade de computadores expostos.

Qual é a falha, afinal de contas? Por questão de segurança, a Microsoft não expôs a falha quando liberou o pacote de correção, mas especialistas em segurança já conseguiram fazer a engenharia reversa e descobrir como explorar a vulnerabilidade. É questão de tempo para que alguém com más intenções descubra como utilizá-la, o que poderia iniciar um novo ataque global não muito diferente do WannaCry, que infectou centenas de milhares de máquinas em algumas horas em mais de 150 países.

O que torna a vulnerabilidade tão grave é o fato de não depender de interação do usuário final para que a infecção aconteça. Isso faz com que qualquer pessoa possa ser afetada se for alvo, mesmo que tenha experiência com tecnologia; não é necessário clicar sem querer num link falso recebido por e-mail, por exemplo, que costuma ser um método comum de ataque.

A técnica envolve um recurso do Windows chamado Remote Desktop Control, que é uma ferramenta que tem a função de permitir controlar remotamente outro computador (como o próprio nome em inglês já diz) por meio de uma interface gráfica. Obviamente, a função foi pensada para ser usada de forma voluntária, normalmente para usos vinculados a suporte técnico, não para permitir que código seja executado no computador de uma vítima sem o seu conhecimento. Ela afeta todas as versões do sistema operacional lançadas antes do Windows 8, o que representa ainda uma fatia bastante significativa do mercado de PCs, especialmente graças ao Windows 7, que ainda tem suporte oficial da Microsoft até o ano que vem.

A partir do momento em que o cibercrime tomar conhecimento da vulnerabilidade, não é difícil imaginar uma nova leva de ataques similar ao WannaCry de 2017. São situações absolutamente similares, no fim das contas. O WannaCry (e sua outra variação, conhecida como NotPetya), utilizava uma vulnerabilidade do Windows que ficou conhecida como EternalBlue. A brecha era conhecida, ao que se sabe, apenas pela NSA (a Agência de Segurança Naciona dos EUA), mas acabou vazando para o mundo do cibercrime pelas mãos de uma organização conhecida como Shadow Brokers. A Microsoft publicou uma correção, mas o número de computadores que ignoraram a atualização foi enorme, permitindo que o WannaCry infectasse e se espalhasse com facilidade pelo planeta.

Neste caso, o que impede que o Bluekeep seja explorado tão violentamente quanto o EternalBlue foi é a ausência, até o momento, de uma porção de código confiável para infecção e distribuição do malware. É um passo difícil de ser dado, mas não impossível. A empresa de segurança SANS nota que “o desenvolvimento do exploit está ativo, e eu não acho você tenha mais do que uma semana”, disse Johannes B. Ullrich, pesquisador da empresa.

Caso o cibercrime consiga transformar essa vulnerabilidade em uma arma efetivamente, o worm resultante poderia se tornar tão destrutivo como o WannaCry foi, replicando-se automaticamente em redes corporativas. Isso poderia ser feito tanto para fins econômicos, seja por um ransomware para arrecadar dinheiro para os hackers, quanto políticos, atingindo empresas e órgãos de infraestrutura, por exemplo.

Em casos como este, é sempre necessário frisar: atualizar o Windows deve ser parte de uma rotina saudável de cibersegurança de uma empresa e de usuários comuns. No caso do Bluekeep, essa é uma prática que eliminaria riscos graves que podem dar as caras a qualquer momento.

Renato Santino é editor(a) no Olhar Digital