Hoje vamos trazer uma história que muito bem se tornaria um drama dos cinemas e aclamado pela crítica, a única diferença é que essa fábula se tornou real, e por mais famosa que um dia tenha sido, ainda podemos sentir seus danos e perceber que muitas empresas possuem dificuldades para lidar com contratempos do passado que se fazem presente em 2023.
Em 2017 um grande ataque cibernético atingiu mais de 200.000 computadores em todo o planeta. Naquele momento conhecíamos o terror das infraestruturas de tecnologia da informação ao redor do globo: A EternalBlue, uma das vulnerabilidades mais impiedosas e silenciosas da história por conta da sua enorme popularidade e dependência de sistemas Windows, como também da utilização de seu protocolo para compartilhamento de arquivos. Além disso, um exploit foi amplamente utilizado pela agência nacional de segurança americana para espionagem e vazou através de um grupo criminoso conhecido como Shadowbrokers. Exploit com boa qualidade precedendo worms de fácil disseminação.
Ao realizarmos uma rápida pesquisa no SHODAN podemos notar que em 2023 muitos servidores e equipamentos de tecnologia ainda possuem a versão 1 do protocolo SMB. Cerca de 700.000 máquinas expostas para a internet contendo um serviço crítico que pode servir como porta de entrada para invasores e vírus de computadores:
Ao abrir o código referente ao um exploit dessa vulnerabilidade publicamente disponibilizado também podemos identificar as versões vulneráveis:
Versões vulneráveis a esse exploit:
- Windows Vista
- Windows Server 2008
- Windows 7
- Windows Server 2008 R2
- Windows 8.1
- Windows Server 2012 and Windows Server 2012 R2
- Windows RT 8.1
- Windows 10
- Windows Server 2016
Mas o que torna essa vulnerabilidade tão perigosa?
A vulnerabilidade permite a execução de código remota, ou seja, um invasor pode acessar o sistema vulnerável sem consentimento e a partir desse ponto instalar um ransomware, roubar e vender arquivos sigilosos, escalar privilégios no host e até mesmo em toda a infraestrutura da empresa estabelecendo uma persistência difícil de ser eliminada após a infecção.
O ransomware particularmente sequestra seus dados exigindo um valor em troca da liberação dos sistemas – acordo que muitas vezes não é cumprido – além disso dados pessoais de seus clientes são preciosos e valem dinheiro em mercados criminosos, causando um grande transtorno para as vítimas – uma vez que é possível utilizar essas informações para realizar crimes financeiros por exemplo – e também prejudica a reputação de seu negócio.
Nesse momento tudo parece complicado, mas a boa notícia é que a SecureOne possui serviços que podem trazer tranquilidade para seu negócio e para seus clientes. A análise de vulnerabilidades e os testes de intrusão são medidas proativas que identificam falhas garantindo a manutenção das operações de tecnologia seguras expondo vulnerabilidades desconhecidas ao mesmo tempo cumprindo com regulamentações legais.
Após entender um pouco sobre esse drama tecnológico e baseando no fato que temos muitos sistemas para serem corrigidos, me parece que o azul pode não ser eterno mas estará presente no nosso cotidiano ainda por muitos anos à frente. Aliás!! Existe sim um documentário vencedor do Oscar que te ajuda a entender um pouco deste contexto: Citizenfour.
Entre em contato com nosso time de segurança ofensiva e venha bater um papo sem compromisso sobre como lidar com as ameaças presentes no nosso dia a dia!
Até a próxima.
Carlos Mesquita
Operações Ofensivas