No ano passado, a Microsoft (MS) resolveu um grande número de vulnerabilidades no Windows e nos seus respectivos componentes, bem como no Office. Algumas dessas vulnerabilidades foram utilizadas por atacantes para disponibilizarem código malicioso antes do surgimento de uma patch para o software alvo, ou por outras palavras, o que chamamos de um ataque 0-day. A maioria desses ataques concentraram-se em falhas no Internet Explorer.
Podemos dizer que o ano de 2013 foi marcado pelo surgimento de vulnerabilidades 0-day que foram utilizadas principalmente em ataques direccionados. Neste caso, os criminosos trabalharam no desenvolvimento de exploits, não para a propagação aleatória de código malicioso, mas sim para a sua utilização em ataques a utilizadores específicos, perseguindo um determinado conjunto de objetivos, alguns dos quais apenas são conhecidos para os atacantes.
Na tabela abaixo encontra estatísticas acerca das vulnerabilidades que a Microsoft resolveu no ano passado:
As vulnerabilidades mostradas a vermelho foram exploradas in the wild, ou seja, foram utilizadas em ataques reais contra os utilizadores finais antes de existir uma patch disponível.
A tabela abaixo fornece mais informações acerca das vulnerabilidades, para as quais existiram exploits in-the-wild no ano passado (antes do patch apropriado aparecer).
Como podemos observar, os atacantes foram capazes de usar alguns ficheiros executáveis do sistema Windows que foram compilados sem suporte para ASRL, ou seja, Address Space Layout Randomization para a construção de gadgets ROP (Return-Oriented Programming), e foram por isso capazes de contornar o ASLR.
Um exemplo é a biblioteca hxds.dll do Microsoft Office 2007-2010 que foi compilada sem ASLR. Numa Patch Tuesday de Dezembro, o gigante de Redmond fechou esta falha.
A próxima lista contém informações acerca de avisos de segurança, lançados no ano passado.
A comparação abaixo mostra os componentes do Windows, que em 2013, foram mais “remendados”. Note-se que as versões actualmente suportadas do Microsoft Windows vão do Windows XP com o Service Pack 3 até ao Windows 8.1 em desktops e do Windows Server 2003 ao Windows Server 2012 R2 para servidores.
A mesma comparação ao nível do Office (2003 ao 2013 para Windows) é mostrada abaixo:
O próximo gráfico compara actualizações e os exploits a que se destinaram.
Drive-by download – É o principal método para disponibilizar código oculto através do redirecionamento para kits de exploits.
Local Privilege Escalation (LPE , Elevação de privilégios ) – Esta é uma forma de se obter privilégios máximos no Windows, geralmente associada com o lançamento do código em modo kernel para contornar as restrições alusivas a cada utilizador.
Execução Remota de Código (RCE) – Os atacantes usam este método, por exemplo, em drive-by, e em muitos casos ele pode ser activado não só via páginas web, mas também através de e-mail, mensagens instantâneas, etc.
Como podemos observar no gráfico acima, alguns produtos como o browser Internet Explorer, o Framework NET e o plugin Silverlight são utilizados por atacantes para execução remota de código e, de facto, na maioria das vezes, tudo é feito através do browser. Os invasores utilizam uma página na Internet concebida para este efeito e que contém conteúdo malicioso que explora uma vulnerabilidade nos programas acima mencionados. Eventualmente, estas páginas são usadas para a entrega de malware. O utilizador pode seleccionar uma opção especial para o Internet Explorer que reduz estes problemas. Esta opção chama-se Enhanced Protection Mode (EPM) ou modo sandbox.
A imagem abaixo revela como seleccionar esse modo.
As vulnerabilidades nas aplicações incluídas no pacote Microsoft Office também podem ser utilizadas por criminosos para a instalação remota de código malicioso. Olhando para as atualizações emitidas no ano passado, podemos ver que a maioria teve como principal objectivo eliminar as vulnerabilidades que permitiam a execução remota de código.
Importa salientar que as versões mais recentes do Word 2013 e do Outlook 2013 têm funcionalidades especiais de segurança, para mitigarem eventuais “explorações”. Deste modo os programas não poderão executar funcionalidades potencialmente perigosas.
Por exemplo, o Outlook executa os processos do Word com um baixo nível de integridade e com privilégios reduzidos, protegendo assim o utilizador e claro está, o sistema.
Como é possível observar, em 2013 a Microsoft corrigiu um número muito mais de vulnerabilidades do que fez em 2012. Esta tendência é mais evidente no driver de subsistema de interface gráfica – win32k.sys – e no browser Internet Explorer. Considere ainda que em Outubro, a Microsoft lançou uma nova versão do Windows – Windows 8.1 – e do browser Internet Explorer 11. Importa salientar que o Internet Explorer 11 também pode ser instalado no Windows 7.
A tabela abaixo mostra as vulnerabilidades (0-day aquando da exploração), que os atacantes utilizaram para a entrega de código malicioso. O ano passado pode ser apelidado do ano de ataques dirigidos. Na maioria deles, os atacantes procuraram por vulnerabilidades e utilizaram-nas exclusivamente para ataques a regiões específicas. Consideramos que ao longo deste ano, a tendência irá manter-se.
A coluna com (*) revela o mês em que as vulnerabilidades foram inicialmente exploradas para um ataque dirigido.
O ano passado demonstra que a Microsoft prestou atenção às tecnologias de protecção que permitem fechar a porta aos exploits. Eis as três principais tecnologias responsáveis por esta façanha:
Conclusão
Como podemos observar, no ano passado, a Microsoft corrigiu muitas vulnerabilidades: a maioria delas estão relacionados com a execução não autorizada / remota de código, permitindo aos invasores comprometerem sistemas vulneráveis. Para além disso, a empresa introduziu recursos de segurança úteis, que tornaram o processo de exploração mais difícil. Estes recursos estão presentes em maior número nas versões mais recentes do sistema operativo da Microsoft, o que faz com que o Windows 8 e 8.1 sejam uma boa opção. Recomendamos que os nossos leitores e clientes instalem sempre as actualizações de segurança assim que forem lançadas e tenham um bom antivírus instalado no computador.
