Zero Day Initiative e ITPro dão uma mostra do tamanho da encrenca em que permanece a questão da segurança digital.
Hoje, todos temos uma boa idéia sobre como a segurança digital afeta as nossas vidas. Mas muita gente se pergunta como a Microsoft e todos os grandes forncedores tratam esta questão. Isto, é claro, inconformados com a precariedade dos resultados eternamente apresentados por eles. Por isso, fomos olhar o que aconteceu na maior competição mundial de segurança digital que ocorreu entre 6 e 8 de Abril passado e para as revelações apuradas pelo magazine digital ITPro que, por uma semana, acompanhou a descoberta de novas vulnerabilidades através da internet. Para nós, ficou claro que o futuro da indústria da Segurança permanece assegurado, pois os desenvolvedores não estão mesmo dando conta do recado.
Competição hacker expõe vulnerabilidade generalizada
A Pwn2Own 2021, realizada pela Zero Day Initiative entre os dias 06 e 08 de abril, premiou hackers do bem de todo mundo inscritos para encontrar vulnerabilidades em diversas soluções. US$ 1.200.000,00 e um Tesla Model 3 foi a premiação recorde para invasões bem-sucedidas ocorridas nos Sistemas o Windows 10, Microsoft Teams, Microsoft Exchange, Ubuntu Desktop, Google Chrome, Microsoft Edge, Safari e Parallels Desktop além de vários outros serviços distribuídos em 23 categorias incluindo sistemas, navegadores, virtualização, servidores e comunicação corporativa. Foi um banho!
ITPro – Google Chrome sob ataque
Na semana passada, foram descobertas duas vulnerabilidades de alto risco no Chrome. A primeira aproveitava um erro de validação existente no mecanismo de renderização do Java (sempre ele!). O erro ocasionava a abertura de uma brecha no navegador que os hackers utilizavam para subtrair informações digitadas pelos usuários. Isto, tanto em sites válidos quanto em sites falsos para os quais os usuários podiam ser direcionados pelos hacker sem que percebessem. A segunda brecha explorava um bug do navegador Blink que também liberava o acesso ao hacker para executar códigos que podiam assumir a digitação do operador e trocar os dados imputados sem que ele percebesse essa alteração na tela.
ITPro – Windows Exchange Server na berlinda
A frequência de descobertas envolvendo os produtos da Microsoft é intensa. As da semana passada foram localizadas em dois dos seus carros-chefes – O Exchange Server e o Teams. O Exchange é o servidor de e-mails que grandes corporações utilizam para gerenciar internamente o seu correio eletrônico. O Teams é a Plataforma web que concentra e gerencia a comunicação e as atividades das equipes dentro do Office 365. Nas últimas semanas, estes dois serviços têm falhado seguidamente, hora devido a bugs, hora devido a vulnerabilidades.
ITPro – Windows escancarado
A escalada de falhas de privilégio é antiga na Microsoft e vem sendo explorada dentro de uma cadeia de outras fragilidades que só alimentam a felicidade dos hackers. A falha recente foi descoberta no Windows Desktop Manager e permite que o invasor execute códigos arbitrários, crie contas com privilégios totais, acesse, manipule, inclua ou exclua dados e softwares sem qualquer dificuldade.
ITPro – Milhões de dispositivos IoT em risco
A IoT, é outra assídua frequentadora das listas de alera de risco. Na semana passada foram denunciadas nove novas vulnerabilidades que podian ser encontradas em mais de cem milhões de dispositivos corporativos e domésticos em uso no mundo. Elas foram localizadas na programação dos protocolos de rede (TCP/IP) e nos registos de Nomes de Domínio (DNS) destes equipamentos. Isto significa que, além de assumir totalmente qualquer destes dispositivos, o invasor ainda poderia executar ataques de negação de serviço (DDoS – para derrubar sites e sistemas) ou códigos de qualquer natureza com gigantesca força (para penetração em sistemas e banco de dados).
Neste momento, só a Microsoft trabalha na correção de 19 falhas críticas e 88 falhas importantes, sem contar as de menor risco. E esse número é abastecido semanalmente. O risco sustenta com folga sua dianteira sobre a segurança.
