Vulnerabilidades do Stuxnet e do Conficker combinadas em um novo ataque

Vulnerabilidades do Stuxnet e do Conficker combinadas em um novo ataque

Hoje vamos falar sobre o que pode acontecer quando duas vulnerabilidades conhecidas se combinam, afetando a segurança de uma empresa. Em particular, vamos analisar como a combinação da vulnerabilidade utilizada pelo Stuxnet (MS10-046) e outra, implementada pelo Conficker (MS08-068), poderiam permitir o acesso remoto por parte de um cibercriminoso. A primeira das vulnerabilidades se refere

Hoje vamos falar sobre o que pode acontecer quando duas vulnerabilidades conhecidas se combinam, afetando a segurança de uma empresa. Em particular, vamos analisar como a combinação da vulnerabilidade utilizada pelo Stuxnet (MS10-046) e outra, implementada pelo Conficker (MS08-068), poderiam permitir o acesso remoto por parte de um cibercriminoso. A primeira das vulnerabilidades se refere

Hoje vamos falar sobre o que pode acontecer quando duas vulnerabilidades conhecidas se combinam, afetando a segurança de uma empresa. Em particular, vamos analisar como a combinação da vulnerabilidade utilizada pelo Stuxnet (MS10-046) e outra, implementada pelo Conficker (MS08-068), poderiam permitir o acesso remoto por parte de um cibercriminoso.

A primeira das vulnerabilidades se refere à exploração dos acessos diretos do Windows (arquivos com extensão LNK) e sua data de publicação é de 2010. Seus efeitos permitem que, através de um arquivo LNK, seja possível baixar e executar um conjunto de arquivos maliciosos (de forma local ou remota), utilizando o caminho do ícone de acesso direto. Já a segunda vulnerabilidade tem mais de três anos e é amplamente utilizada pelo Conficker para se propagar através de uma rede infectada, graças a uma falha de segurança na autenticação do protocolo SMB.

Combinando ambas as vulnerabilidades, um criminoso poderia obter o acesso a um sistema remoto sem a necessidade de obter as senhas do usuário. Um acesso direto, alojado nas pastas compartilhadas forçaria a execução do exploit do Stuxnet para obter uma sessão válida na máquina da vítima. Esse ataque poderia ser utilizado tanto de maneira interna na rede como de maneira remota, mas, para o segundo caso, a complexidade aumenta um pouco. O resultado deste ataque permite ao criminoso obter as credenciais da pessoa que cai no golpe e carrega o acesso direto. O maior impacto ocorre quando um usuário com permissão de administrador da rede acessa a pasta compartilhada e o exploit é executado.

Há certos pontos que devem ser levados em conta sobre este caso. O primeiro deles reforça a importância de manter o sistema atualizado com todos os pacotes de segurança instalados. Anos depois da publicação do pacote que mitiga a vulnerabilidade utilizada pelo Conficker, esta ainda continua entre os códigos maliciosos com maior índice de detecção. Além disso, confirma que não se deve adicionar usuários com permissão de administrador, e que oferecer tais privilégios não é uma boa prática. Para conhecer mais sobre as boas práticas para a segurança empresarial, recomendamos ler nossos 10 mandamentos da segurança da informação na empresa.

Pablo Ramos
Especialista em Awareness & Research

Discussão