0
0
O fim oficial do suporte da Microsoft para o aplicativo de desktop Internet Explorer 11 em 15 de junho relegou para o histórico um navegador que existe há quase 27 anos. Mesmo assim, o IE ainda provavelmente fornecerá um alvo suculento para os atacantes.
Isso ocorre porque algumas organizações ainda estão usando o Internet Explorer (IE), apesar dos planos há muito conhecidos da Microsoft de depreciar a tecnologia. Enquanto isso, a Microsoft manteve o mecanismo de navegador MSHTML (também conhecido como Trident) IE como parte do Windows 11 até 2029, permitindo que as organizações sejam executadas no modo IE enquanto fazem a transição para o navegador Microsoft Edge. Em outras palavras, o IE ainda não está morto, nem as ameaças a ele.
Embora o IE tenha uma participação insignificante no mercado de navegadores em todo o mundo nos dias de hoje (0,52%), muitas empresas ainda o executam ou têm aplicativos legados vinculados ao IE. Este parece ser o caso em países como o Japão e a Coréia. Histórias no Nikkei Ásia e no Japan Times esta semana citaram uma pesquisa da Keyman’s Net mostrando que quase 49% das 350 empresas japonesas pesquisadas ainda estão usando o IE. Outro relatório na MBN da Coreia do Sul apontou para várias grandes organizações que ainda executam o IE.
“O Internet Explorer existe há mais de 20 anos e muitas empresas investiram em usá-lo para muitas coisas além da simples navegação na Web”, diz Todd Schell, gerente sênior de produto da Ivanti. Ainda existem aplicativos corporativos intimamente ligados ao IE que geralmente estão executando scripts mais antigos e personalizados em seu site ou têm aplicativos que podem exigir scripts mais antigos. “Por exemplo, as empresas podem ter construído extensos scripts que geram e depois exibem relatórios no IE. Eles não investiram em atualizá-los para usar o HTML 5 para Edge ou outros navegadores modernos.”
Essas organizações enfrentam o tipo de problemas de segurança associados a todas as outras tecnologias de software que não são mais suportadas. Executar o IE 11 como um aplicativo autônomo após a data de término do suporte significa que vulnerabilidades anteriormente desconhecidas – ou pior ainda, conhecidas, mas não corrigidas – podem ser exploradas daqui para frente, diz Schell.
“Isso é verdade para qualquer aplicativo ou sistema operacional, mas historicamente tem sido um problema ainda maior para os navegadores, que têm um uso tão generalizado”, diz Schell. É difícil dizer quantas organizações em todo o mundo estão atualmente presas usando uma tecnologia que não é mais suportada porque não migraram mais cedo. Mas, a julgar pelo fato de que a Microsoft continuará a suportar o modo de compatibilidade no Edge até 2029, o IE provavelmente permanece em uso generalizado, observa ele.
Qualquer organização que ainda não tenha priorizar a mudança do IE por causa das implicações de segurança, diz Claire Tills, engenheira de pesquisa sênior da Tenable. “O fim do suporte significa que as novas vulnerabilidades não receberão patches de segurança se não atingirem um certo limite de criticidade e, mesmo nesses casos raros, essas atualizações estarão disponíveis apenas para clientes que pagaram por Atualizações de Segurança Estendida”, diz ela.
Insetos ainda abundam
O Microsoft Edge agora substituiu oficialmente o aplicativo de desktop Internet Explorer 11 no Windows 10. Mas o fato de o mecanismo MSHTML existir como parte do sistema operacional Windows até 2029 significa que as organizações estão em risco de vulnerabilidades no mecanismo do navegador – mesmo que não estejam mais usando o IE.
De acordo com Maddie Stone, pesquisadora de segurança da equipe de caça a bugs Project Zero do Google, o IE teve um bom número de bugs de dia zero nos últimos anos, mesmo quando seu uso diminuiu. No ano passado, por exemplo, a equipe do Projeto Zero rastreou quatro dias zero no IE — o maior número desde 2016, quando o mesmo número de dias zero foi descoberto no navegador. Três das quatro vulnerabilidades de dia zero do ano passado (CVE-2021-26411, CVE-2021-33742 e CVE-2021-40444) tiveram como alvo o MSHTML e foram exploradas por meio de outros métodos além da Web, diz Stone.
“Não está claro para mim como a Microsoft pode ou não bloquear o acesso ao MSHTML no futuro”, diz Stone. “Mas se o acesso permanecer como está agora, isso significa que os atacantes podem explorar vulnerabilidades no MSHTML por meio de rotas como documentos do Office e outros tipos de arquivos, como vimos no ano passado” com os três dias zero do MSHTML, diz ela. O número de explorações de dia zero detectadas nos componentes selvagens do IE tem sido bastante consistente de 2015 a 2021 e sugere que o navegador continua sendo um alvo popular para os atacantes, diz Stone.
Tills da Tenable observa que uma das vulnerabilidades mais amplamente exploradas em um produto da Microsoft em 2021 foi, de fato, o CVE-2021-40444, uma execução remota de código zero dia em MSHTML. A vulnerabilidade foi amplamente explorada em ataques de phishing por tudo, desde operadores de ransomware como serviço até grupos avançados de ameaças persistentes.
“Dado que a Microsoft continuará a suportar o MSHTML, as organizações devem examinar as mitigações para vulnerabilidades como o CVE-2021-40444 e determinar quais podem adotar a longo prazo para reduzir o risco de vulnerabilidades futuras”, observa Tills.
As Mitigações Usuais
A Microsoft não estava disponível a partir deste post para comentar sobre a questão do risco potencial para as organizações de ataques direcionados ao MSHTML. Mas o Schell de Ivanti diz que é razoável supor que a Microsoft forneceu segurança adequada e sandbox em torno do MSHTML ao executar no modo de compatibilidade do IE. Ele diz que a Microsoft pode monitorar e fornecer quaisquer atualizações necessárias para o MSHTML, já que é um produto e recurso suportados. A melhor mitigação, como sempre, é que as organizações mantenham seu software, sistema operacional e navegador atualizados e garantam que os mecanismos de detecção de antivírus e malware também estejam atualizados.
“O MSHTML agora é apenas uma das muitas bibliotecas que temos no Windows 11”, diz Johannes Ullrich, reitor de pesquisa do SANS Institute. “Claro, é complexo e que ainda tem uma superfície de ataque significativa, mas um pouco reduzida”, observa ele. Portanto, a melhor mitigação para as organizações é continuar corrigindo o Windows quando as atualizações estiverem disponíveis, diz ele.
“A IE ainda é popular o suficiente para ser um alvo que vale a pena” para os atacantes, acrescenta Ullrich.
Mesmo assim, o número contínuo de zero dias sendo descobertos no IE não significa necessariamente que os atacantes tenham de repente intensificado seu interesse em atacá-lo. “Pode ser que tenha sido mais fácil encontrar vulnerabilidades usando ferramentas mais recentes na antiga base de código do IE”, diz Ullrich.
FONTE: DARK READING