Divulgação pública de exploit para IE pode provocar ataques generalizados
Um exploit para uma vulnerabilidade - que afeta todas as versões do Internet Explorer e ainda não foi corrigida pela Microsoft - foi integrado à ferramenta open-source de teste de penetração Metasploit, um movimento que pode estimular o aumento no número de ataques contra a falha .
A vulnerabilidade é conhecida como CVE- 2013-3893 e foi anunciada pela Microsoft em 17 de setembro, depois que a empresa tomou conhecimento de seu uso em ataques direcionados. A gigante lançou uma ferramenta temporária "Fix It" que os usuários podem baixar e instalar para solucionar a falha - mas nenhum patch permanente foi lançado por meio do Windows Update.
A vulnerabilidade afeta todas as versões do Internet Explorer e pode ser explorada para executar código arbitrário nas máquinas quando os usuários do IE visitam uma página web especialmente projetada para o ataque, hospedada em um site malicioso ou comprometido.
Pesquisadores de segurança emitiram avisos sobre campanhas de ataque em curso, que têm utilizado a vulnerabilidade para atingir organizações no Japão e Taiwan desde o final de agosto ou até julho, de acordo com alguns relatos.
Desde 29 de agosto, quando um exploit para a falha foi detectado pela primeira vez como parte de um ataque apelidado de "Operation DeputyDog", o exploit foi adotado por pelo menos mais dois grupos de APTs (ameaças persistentes avançadas) e usado em ataques direcionados, de acordo com um novo relatório feito por pesquisadores da empresa de segurança FireEye.
Na segunda-feira (30), o desenvolvedor de exploit e colaborador do Metasploit, Wei Chen, incluiu um módulo para o exploit CVE-2013-3893 na popular ferramenta de teste de penetração. Chen observou que o módulo é baseado no código de exploração que já está sendo usado por invasores.
A inclusão do exploit no Metasploit é significativa porque, enquanto esta ferramenta é voltada principalmente a profissionais de segurança, cibercriminosos adquiriram o hábito de "emprestar" exploits feitos a partir da ferramenta e usá-los em seus próprios ataques.
"Enquanto os crackers tiverem acesso ao código de exploração disponível publicamente, veremos exemplos do exploit sendo utilizados por cibercriminosos e, provavelmente, os encontraremos também em alguns dos mais famosos kits de exploração", disse Jaime Blasco, gerente da equipe de pesquisa da empresa de segurança AlienVault, via sábado via e-mail. "Tenho certeza que se o Metasploit inclui este exploit, veremos um aumento na exploração generalizada."
Os kits de exploração a que Basco se refere são ferramentas comerciais como o Black Hole, que estão disponíveis para um grande número de criminosos, e que são geralmente usadas em ataques que têm um âmbito muito mais vasto do que as campanhas APT.
É altamente possível que o exploit já esteja sendo usado como parte de tais kits, disse o gerente de engenharia do Metasploit, Tod Beardsley, na terça (01), por e-mail. O exploit usado no novo módulo Metasploit foi obtido a partir de ataques existentes e existem similaridades entre ele e os exploits anteriores conhecidamente usados em tais ferramentas.
Em particular, o código de exploração contém um código de sistema de impressões digitais que não é realmente utilizado - o que sugere que o autor original tem, pelo menos, alguma familiaridade com as explorações anteriores encontradas nos pacotes de exploração, disse Beardsley.
De acordo com Chen, o código malicioso parece ter sido reutilizado em vários explots desde 2012, pelo menos.
A próxima leva de atualizações de segurança da Microsoft está agendado para o dia 8 de outubro, mas não está claro se a empresa irá liberar uma correção permanente para esta vulnerabilidade em particular até lá.
Beardsley espera que sim. "A Fix It é eficaz, então espero que corrija corretamente", disse.
Comentários