O funcionamento de qualquer programa informático depende de linhas de código, contudo, erros nessa codificação podem originar fragilidades no software. Algumas dessas falhas provocaram grande apreensão e tiveram consequências graves, abalando o setor da segurança cibernética.
Então, quais são as vulnerabilidades de software mais graves e ameaçadoras?
1. Log4Shell
A vulnerabilidade Log4Shell existia no Apache Log4j, uma estrutura de registo Java muito utilizada por milhões de pessoas em todo o mundo.
Em novembro de 2021, uma falha crítica de programação foi identificada por Chen Zhaojun, membro da equipa de Segurança na Nuvem da Alibaba. Zhaojun detetou inicialmente a falha em servidores do Minecraft.
A falha, designada oficialmente por CVE-2021-44228, tornou-se conhecida como Log4Shell.
A falha de segurança Log4Shell é uma vulnerabilidade de dia zero, o que significa que foi utilizada por agentes maliciosos antes de ser identificada por especialistas em segurança informática. Isto permitiu a execução remota de código, possibilitando aos hackers instalar códigos maliciosos no Log4j, facilitando o roubo de dados, espionagem e a disseminação de malware.
Embora tenha sido lançada uma correção para a vulnerabilidade Log4Shell pouco tempo após a sua descoberta, esta falha de segurança ainda não desapareceu.
Cibercriminosos continuam a usar o Log4Shell nas suas explorações até hoje, apesar da correção ter diminuído significativamente o nível de ameaça. De acordo com Rezilion, impressionantes 26% dos servidores públicos do Minecraft ainda são vulneráveis ao Log4Shell.
Caso uma empresa ou indivíduo não tenha atualizado o seu software, a vulnerabilidade Log4Shell provavelmente ainda existe, deixando uma porta aberta para invasores.
2. EternalBlue
EternalBlue (oficialmente conhecido como MS17-010) é uma vulnerabilidade de software que começou a causar polémica em abril de 2017. É surpreendente que esta vulnerabilidade tenha sido parcialmente desenvolvida pela NSA, uma agência de inteligência dos EUA conhecida por auxiliar o Departamento de Defesa em assuntos militares.
A NSA descobriu a vulnerabilidade EternalBlue na Microsoft, embora a Microsoft só tenha tomado conhecimento da falha cinco anos depois. A NSA desenvolveu a EternalBlue como uma potencial arma cibernética, e foi necessário um ataque para que o mundo fosse notificado da sua existência.
Em 2017, um grupo de hackers conhecido como Shadow Brokers divulgou a existência do EternalBlue após se infiltrar digitalmente na NSA. Foi descoberto que a falha dava à NSA um acesso secreto a uma variedade de dispositivos com base no Windows, incluindo os que executam o Windows 7, Windows 8 e o frequentemente criticado Windows Vista. Ou seja, a NSA podia aceder a milhões de dispositivos sem o conhecimento dos utilizadores.
Embora exista uma correção para o EternalBlue, a Microsoft e a falta de conhecimento público sobre a falha deixaram dispositivos vulneráveis durante anos.
3. Heartbleed
A falha de segurança Heartbleed foi oficialmente descoberta em 2014, embora já existisse na biblioteca de código OpenSSL dois anos antes. Certas versões desatualizadas da biblioteca OpenSSL continham o Heartbleed, que foi considerado grave após a sua descoberta.
Conhecido oficialmente como CVE-2014-0160, o Heartbleed era uma preocupação muito séria devido à sua localização no OpenSSL. Como o OpenSSL era usado como camada de encriptação SSL entre as bases de dados dos sites e os utilizadores finais, muitos dados confidenciais podiam ser acedidos através da falha Heartbleed.
Mas durante esse processo de comunicação, existia outra conexão que não era encriptada, uma espécie de camada base que assegurava que ambos os computadores na conversa estavam ativos.
Os hackers encontraram uma forma de explorar esta linha de comunicação não encriptada para extrair dados confidenciais do computador previamente protegido. Essencialmente, o invasor sobrecarregava o sistema com pedidos na esperança de recuperar informações valiosas.
O Heartbleed foi corrigido no mesmo mês da sua descoberta oficial, mas versões mais antigas do OpenSSL ainda podem ser vulneráveis à falha.
4. Double Kill
Double Kill (ou CVE-2018-8174) foi uma vulnerabilidade crítica de dia zero que colocou os sistemas Windows em risco. Descoberta em 2018, esta falha ganhou as manchetes nos jornais de segurança cibernética devido à sua presença em todos os sistemas operativos Windows a partir do 7.
O Double Kill encontra-se no navegador Windows Internet Explorer e explora uma falha de script VB. O método de ataque envolve o uso de uma página maliciosa do Internet Explorer que contém o código necessário para abusar da vulnerabilidade.
O Double Kill tem o potencial de dar aos invasores os mesmos tipos de permissões de sistema que o utilizador autorizado original, se explorado corretamente. Os invasores podem até obter o controlo total do dispositivo Windows em tais situações.
Em maio de 2018, a Windows lançou uma correção para o Double Kill.
5. CVE-2022-0609
CVE-2022-0609 é outra vulnerabilidade grave de software identificada em 2022. O bug com base no Chrome acabou por ser uma vulnerabilidade de dia zero que foi explorada livremente por invasores.
Essa vulnerabilidade pode afetar todos os utilizadores do Chrome, pelo que o seu nível de gravidade é tão elevado. O CVE-2022-0609 é conhecido como um bug de uso após libertação, o que significa que tem a capacidade de alterar dados e executar código remotamente.
Não demorou muito para o Google lançar uma correção para o CVE-2022-0609 numa atualização do navegador Chrome.
6. BlueKeep
Em maio de 2019, uma falha crítica de software conhecida como BlueKeep foi descoberta por Kevin Beaumont, especialista em segurança cibernética. A falha pode ser encontrada no Protocolo de Área de Trabalho Remota da Microsoft, que é usado para diagnosticar remotamente problemas do sistema, além de fornecer aos utilizadores acesso remoto às suas áreas de trabalho a partir de outro dispositivo.
Oficialmente conhecido como CVE-2019-0708, o BlueKeep é uma vulnerabilidade de execução remota, o que significa que pode ser usado para executar código remotamente num dispositivo de destino. A prova de conceitos desenvolvida pela Microsoft mostrou que os computadores visados podem ser comprometidos e controlados por invasores em menos de um minuto, destacando a gravidade da falha.
Depois de um dispositivo ser acedido, o invasor pode executar remotamente o código na área de trabalho de um utilizador.
A única vantagem do BlueKeep é que afeta apenas versões mais antigas do Windows, incluindo:
- Windows Vista.
- Windows XP.
- Windows Server 2003.
- Windows Server 2008.
- Windows Server 2008 R2.
- Windows 7.
Se o seu dispositivo estiver a executar qualquer sistema operativo Windows posterior aos listados acima, provavelmente não precisa de se preocupar com o BlueKeep.
7. ZeroLogon
ZeroLogon, ou CVE-2020-1472, como é conhecido oficialmente, é uma falha de segurança de software com base na Microsoft, descoberta em agosto de 2020. O Common Vulnerability Scoring System (CVSS) classificou esta falha em 10 de 10 na escala de gravidade, tornando-a extremamente perigosa.
Esta falha pode explorar o recurso do Active Directory que geralmente existe nos servidores Windows Enterprise. Oficialmente, isso é conhecido como protocolo remoto de início de sessão de rede do Active Directory.
O ZeroLogon coloca os utilizadores em risco porque tem o potencial de alterar detalhes confidenciais da conta, incluindo as senhas. A falha explora o método de autenticação para que as contas possam ser acedidas sem verificar a identidade.
No mesmo mês da sua descoberta, a Microsoft lançou duas correções para o ZeroLogon.
Vulnerabilidades de software são preocupantemente comuns
Dependemos tanto do software que é natural que bugs e falhas surjam. No entanto, alguns desses erros de codificação podem dar lugar a vulnerabilidades de segurança facilmente exploráveis, colocando em risco fornecedores e utilizadores.