0
0
Toda vez que esses patches críticos saem para qualquer sistema operacional, dispositivo ou aplicativo que achamos que você possa estar usando, você pode prever com antecedência o que vamos dizer.
Remendar cedo, remendar com frequência.
Afinal, por que arriscar deixar os bandidos se esgueirarem na sua frente quando você poderia dar um passo resoluto à frente deles?
Bem, este mês, a equipe de Segurança Ofensiva do SophosLabs (que é ofensiva como no oposto da defensiva, por sinal, não como no oposto de educado; e é a segurança que é ofensiva de qualquer maneira, não a equipe) veio com alguns conselhos ainda mais convincentes de “patch now”.
É na forma de um vídeo curto, e mostra um computador Windows 10 não reparado sendo travado à vontade em toda a rede por um simples script Python que tropeça em bugs:https://player.vimeo.com/video/467834951
Se a pessoa que executa o script pode apontar um pacote de rede IPv6 especialmente elaborado em seu computador – especificamente, um pacote ICMP armadilhado – então eles podem derrubá-lo sem aviso prévio.
Você vê uma Tela Azul da Morte (BSoD), e qualquer trabalho que você não tinha salvo está perdido, provavelmente para sempre.
O ICMP é abreviação de Internet Control Message Protocol, e é um tipo de pacote de rede de baixo nível que é muito mais simples do que configurar uma conexão TCP regular, e ainda mais simples do que o UDP. O tipo mais conhecido de mensagem ICMP é provavelmente um pacote de ping, gerado pelo utilitário que existe em quase todos os sistemas operacionais. Você coloca um computador pelo endereço IP e se ele receber o pacote, ele envia uma resposta – um pacote de pong, se quiser. Pinging verifica se você pode se comunicar com outro dispositivo, como um ponto de partida básico, mas útil para diagnósticos de rede. Livremente falando, se alguém pode pingar seu computador Windows 10 ou Windows Server 2019 não gravado do deles, ele provavelmente pode travar você com este bug.ping
Não vamos entrar em detalhes aqui – e mesmo no relatório do SophosLabs nossos especialistas evitaram dar o suficiente para você começar a explorar essa vulnerabilidade à vontade – mas o que você precisa saber é que esse bug é denotado CVE-2020-16898.
O bug foi descoberto em um componente do Windows chamado , e como o nome do arquivo sugere, este não é um programa qualquer e antigo.TCPIP.SYS
TCPIP.SYS é um driver de kernel, o que significa que se você acionar esse bug, você está explorando uma vulnerabilidade dentro do próprio kernel, que é o núcleo de qualquer sistema Windows em execução.
É por isso que o sistema trava com um BSoD em vez de apenas desligar um aplicativo com um erro enquanto deixa todo o resto em execução.
Afinal, desligar o kernel significa que não há “mais nada” para continuar funcionando, dado que é o kernel que controla todo o resto.
Assim, um acidente no kernel, também conhecido como pânico no jargão Unix, força um desligamento total, normalmente seguido de uma reinicialização automática.
Curiosamente, o bug que você vê acionando no vídeo acima que provoca o BSoD é causado por um estouro de buffer.
TCPIP.SYS não verifica corretamente o tamanho de um dos campos de dados que podem aparecer opcionalmente em pacotes IPv6 ICMP, para que você possa enfiar muitos dados nele e corromper a pilha do sistema.
Bang! Lá vai.
Duas décadas atrás, quase qualquer estouro de buffer baseado em pilha no Windows poderia ser usado não apenas para travar um sistema, mas também, com um pouco de cuidado e planejamento, para assumir o fluxo de execução do processador e desviá-lo para um fragmento de programa – conhecido como shellcode – de sua própria escolha.
Em outras palavras, o Windows stack transborda no software de neworking quase sempre usado para levar às chamadas explorações de execução de código remoto, onde os atacantes poderiam acionar o bug de longe com tráfego de rede especialmente criado, executar código de sua própria escolha e, assim, injetar malware sem que você sequer esteja ciente.
Mas inúmeras melhorias de segurança no Windows, do Windows XP SP3 em diante, tornaram os transbordamentos de pilhas cada vez mais difíceis de explorar, e hoje em dia eles podem ser usados apenas para forçar falhas, não para assumir completamente.
No entanto, um descontentamento em sua rede que poderia travar qualquer computador à vontade, servidores e laptops, poderia causar muito dano apenas através do que é conhecido como um ataque de negação de serviço, especialmente porque a recuperação de cada acidente requer uma reinicialização completa.
Em teoria, é claro, um bandido determinado pode ser capaz de descobrir como explorar cve-2020-16898 para assumir um computador remoto, não apenas para quebrá-lo, de modo que a Microsoft classificou esse bug como crítico, dado que uma classificação de gravidade de 9.8 (de 10), e sinalizou-o com uma avaliação de explorabilidade de 1, abreviação de “exploração mais provável”.
Ligeiramente irritantemente, as classificações de gravidade pioram em uma escala de 0 a 10, enquanto as avaliações de explorabilidade pioram em uma escala de 3 a zero. 0 significa “já está sendo explorado, então você já está em perigo direto” e 3 significa “este bug provavelmente vai ser muito pouco”. Um valor de 1 significa que mesmo que o bug seja muito difícil de explorar, você pode esperar que os atacantes se esforcem muito para ele, porque bugs anteriores desse tipo foram explorados com sucesso.
Em outras palavras, mesmo que o CVE-2020-16898 ainda não tenha sido transformado em um ataque de trabalho, você deve corrigir agora, porque você pode apostar suas botas que os cibercrimnsos estão trabalhando nele.
No jargão vagamente militarista da pesquisa de cibersegurança, isso significa que alguém, em algum lugar, está tentando armar esse inseto agora.
Para uma explicação de por que as versões modernas do Windows não são fáceis de explorar usando essa falha, e para uma justificativa de por que nossa própria Equipe de Segurança Ofensiva acha improvável – mas não impossível! – que qualquer um vai ter sucesso, por favor leia o relatório SophosLabs.
O que é que eu faço?
Como dissemos, você precisa remendar.
Embora uma exploração nunca possa ser encontrada, é uma aposta justa que qualquer exploração de trabalho que apareça será o que é chamado de wormable, o que significa que ele poderia ser usado não apenas para invadir seu computador de outra pessoa, mas também para invadir o computador de uma terceira pessoa automaticamente do seu.
Isso permitiria que o bug fosse usado para criar um vírus de computador auto-replicante, ou worm, que poderia se espalhar tanto longe quanto rápido,inteiramente sem intervenção humana.
Se você genuinamente não pode corrigir ainda, há duas soluções alternativas:
- Desligue o IPv6 no Windows. Esta é apenas uma opção se você tiver uma rede IPv4 pura.
- Desligue o recurso ICMP do buggy no Windows, conhecido como IPv6 IMCP RDNSS (abreviação de Recursive DNS Server).
Instruções para desativar o ICMP RDNSS (e voltar a ligar depois de corrigido) podem ser encontradas na página de consultoria CVE-2020-16898da Microsoft.
FONTE: NAKED SECURITY