Descoberta vulnerabilidade em API oficial da Microsoft

Os investigadores da Check Point alertam para uma vulnerabilidade numa função do Windows que protege contra tipos de ataque conhecidos por Path-Traversal. O nome técnico desta função central é "PathCchCanonicalize", e representa a API oficial que o Windows recomenda aos fabricantes para aumentar os níveis de defesa contra os ataques de Path-Traversal.

Faz referência a um ataque no qual o ciberdelinquente engana uma aplicação para que leia e mais tarde divulgue o conteúdo dos ficheiros fora do diretório original da aplicação ou do servidor web. Por outras palavras, um ataque “Path-Traversal” ocorre quando um programa recebe um nome de ficheiro como entrada e não o verifica, permitindo que o atacante guarde este documento no número de diretórios quanto ele deseje dentro do equipamento infetado, ou ler ficheiros para os quais não tem acesso nem permissão. Por isso, este tipo de ameaça oferece ao ciberatacante a capacidade de mover-se livremente pelos diretórios de um equipamento.

Os ataques “Path-Traversal” são utilizados para obter acesso à informação sensível armazenada em ficheiros arbitrários noutras áreas de uma aplicação, ou pastas do sistema de ficheiros que o servidor web pode ler. Por meio deste ciberataque, um atacante pode modificar ficheiros críticos como programas, descarregar ficheiros de passwords, expor o código fonte da aplicação web, ou executar potentes comandos no servidor web, deixando-o completamente exposto.

Em 2019, oos investigadores da Check Point revelaram a existência de vulnerabilidades no “Remote Desktop Protocol (RDP)” da Microsoft, um sistema que permite aceder a outros equipamentos de forma remota através de conexões de rede para aplicações baseadas em Windows e que são executadas em servidor. Esta tecnologia permite conectar-se a um equipamento remotamente e trabalhar nele como se fosse o seu próprio equipamento. Os investigadores demonstraram que, uma vez infetado com malware, este computador poderia tomar o controlo das atividades de qualquer outro utilizador que tentasse aceder a ele. Por exemplo, se um membro da equipa de TI tentasse conectar-se a um computador corporativo remotamente que estivesse infetado por um malware, este poderia infetar também o seu equipamento. Os investigadores da Check Point chamaram a este vetor de ataque “Reverse RDP”, porque o utilizador de RDP pensa que está a controlar um computador de forma remota, porém a falha demonstra que é o inverso que acontece.

A Microsoft emitiu imediatamente um patch de segurança para solucionar esta falha, mas em outubro de 2019, os investigadores da Check Point descobriram que tinha falhas de segurança, o que lhes permitiu recriar o processo de exploração original. Durante o processo, os especialistas da empresa de segurança descobriram que a Microsoft tinha usado o "PathCchCanonicalize" para solucionar o problema, o que lhes permitiu concluir que algo não funcionava bem na API. A Check Point revelou estas conclusões com a Microsoft, e a empresa publicou um novo patch de segurança em fevereiro de 2020. No entanto, todos os programas que usam esta funcionalidade encontram-se vulneráveis a este tipo de ciberataque.

"Esta investigação concluiu: primeiramente as equipas de TI das grandes empresas que usam Windows devem instalar um patch de fevereiro da Microsoft para se assegurarem que os clientes que usem RDP se encontram protegidos contra a vulnerabilidade que foi descoberta em 2019. A segunda, é que os fabricantes e programadores devem ter em conta que a Microsoft se esqueceu de reparar esta vulnerabilidade na sua API oficial, por isso todo e qualquer programa criado de acordo com o guia das melhores práticas da Microsoft continuará a estar vulnerável a um ataque de ‘Path-Traversal’. Por isso, é fundamental que implementem o patch de segurança de forma manual para garantir que estão seguros”, afirma Omri Herscovici, Head of Vulnerabilities Research da Check Point.