Definição de Exploit | O que é exploit?

O que você precisa saber sobre exploits de computador

Explorações de computador. O que são e por que você deve se preocupar?

Você já notou como os desenvolvedores de software estão sempre corrigindo e atualizando seus softwares, às vezes lançando atualizações apenas alguns dias após o lançamento inicial do software?

Isso porque todos os softwares que você possui e que possuirá em sua vida terão vulnerabilidades que os criminosos cibernéticos podem encontrar e aproveitar - em outras palavras, "explorar". Não existe software livre de explorações - sempre haverá brechas. O software de computador é tão sólido quanto um bloco de queijo suíço.

Por meio de exploits, os criminosos cibernéticos podem obter acesso ao seu computador e roubar informações confidenciais ou instalar malware. Apesar de uma desaceleração na atividade de exploits, os criminosos cibernéticos continuam recorrendo a esse método furtivo de ataque. Com isso em mente, agora é o momento perfeito para nos instruirmos sobre o tema das explorações e nos protegermos adequadamente. Portanto, role a tela para baixo, leia e aprenda tudo o que você precisa saber sobre exploits de computador.

O que é um exploit? Definição de exploit

Uma exploração de computador é um tipo de malware que se aproveita de bugs ou vulnerabilidades, que os criminosos cibernéticos usam para obter acesso ilícito a um sistema. Essas vulnerabilidades estão ocultas no código do sistema operacional e de seus aplicativos, esperando para serem descobertas e utilizadas pelos criminosos cibernéticos. Os softwares comumente explorados incluem o próprio sistema operacional, navegadores, Microsoft Office e aplicativos de terceiros. Às vezes, as explorações são agrupadas por grupos de criminosos cibernéticos no que é chamado de kit de exploração. Os kits de exploração facilitam o uso de explorações e a disseminação de malware por criminosos com conhecimento técnico limitado.

Para entender melhor o que são exploits, pode ser útil pensar nas caras travas de cilindro para bicicletas e laptops populares no início dos anos 2000. As pessoas pagavam mais de US$ 50 por esses cadeados, achando que eles mantinham seus objetos de valor seguros, até que alguém publicou um vídeo on-line demonstrando como esses cadeados podiam ser violados em questão de segundos usando uma caneta Bic barata e facilmente disponível.

Isso forçou os fabricantes de fechaduras a atualizarem suas fechaduras e os consumidores tiveram que fazer o upgrade para as novas fechaduras à prova de arrombamento. Essa é uma exploração tangível de um sistema de segurança física. No que se refere ao software, os criminosos cibernéticos estão procurando truques inteligentes, assim como o cara da caneta Bic, que lhes permitam acessar os computadores, os dispositivos móveis e as redes de outras pessoas.

Os ataques de exploit geralmente começam com malspam e downloads drive-by. Os criminosos cibernéticos enganam as vítimas desavisadas para que abram um anexo de e-mail infectado ou cliquem em links que redirecionam para um site mal-intencionado. Os anexos infectados, geralmente um documento do Word ou PDF, conterão códigos de exploração projetados para aproveitar os pontos fracos dos aplicativos.

Os downloads automáticos aproveitam as vulnerabilidades do seu navegador, como o Internet Explorer ou o Firefox, por exemplo, ou os plug-ins executados no navegador, como o Flash. Você pode visitar um site que já visitou com segurança no passado, mas dessa vez o site foi hackeado e você nem mesmo saberá disso. Como alternativa, você pode clicar em um link mal-intencionado em um e-mail de spam que o leve a uma versão falsificada de um site conhecido.

E, em casos particularmente complicados, você pode visitar um site legítimo que exibe um anúncio ou pop-up infectado com malware, também conhecido como malvertising. Ao visitar o site, o código malicioso na página da Web funcionará de forma invisível em segundo plano para carregar o malware em seu computador.

Os criminosos cibernéticos usam exploits como um meio para atingir algum fim malicioso, que varia de um problema incômodo a um incômodo incapacitante. Os criminosos cibernéticos podem tentar colocar os recursos do seu computador para trabalhar em um botnet zumbi para fins de um ataque DDoS ou para minerar Bitcoin(cryptojacking).

Como alternativa, os criminosos cibernéticos podem tentar instalar adware e inundar sua área de trabalho com anúncios. Os criminosos cibernéticos podem querer entrar em seu sistema e roubar dados imediatamente ou instalar malware para coletar secretamente seus dados ao longo do tempo(spyware). Por fim, os criminosos cibernéticos podem instalar malware que criptografa todos os seus arquivos e exigir pagamento em troca da chave de criptografia(ransomware).

O que é uma exploração de dia zero?

Dia zero! O único dia do ano em que fazemos uma pausa para reconhecer o humilde zero. Se isso fosse verdade. Na verdade, uma exploração de dia zero, também conhecida como exploração de hora zero, é uma vulnerabilidade de software que ninguém, exceto o criminoso cibernético que a criou, conhece e para a qual não há correção disponível. Quando uma exploração se torna de conhecimento público, ela deixa de ser um dia zero. Às vezes, uma exploração conhecida é chamada de exploração de dia n, indicando que um ou mais dias se passaram desde que a exploração foi divulgada.

Quando uma exploração de dia zero se torna informação pública, os fabricantes de software estão em uma corrida contra os criminosos para corrigir a exploração antes que os criminosos possam tirar proveito e colher os benefícios. Felizmente, os pesquisadores têm escrúpulos. Se os pesquisadores encontrarem uma exploração antes dos criminosos, eles geralmente informarão a falha ao fabricante e darão a ele a chance de corrigi-la antes de informar o público (e os criminosos) em geral.

A busca proativa por exploits tornou-se um esporte para alguns hackers. Na competição anual Pwn2own, os especialistas em exploits ganham dinheiro e prêmios por invadir com sucesso softwares populares em várias categorias, incluindo navegadores da Web e aplicativos corporativos. Como uma demonstração de seu interesse em segurança de software, a Microsoft e a VMware patrocinaram o evento Pwn2own em 2018.

Com relação à proatividade dos fabricantes de software em encontrar e corrigir explorações, David Sanchez, engenheiro de pesquisa principal do Malwarebytes , disse: "É verdade que a Microsoft e outros fabricantes de software estão se esforçando muito para proteger seus aplicativos, como o Office, e explorá-los tornou-se difícil - quase impossível. Security Os caras e os criminosos cibernéticos ainda encontram uma maneira de explorá-los com sucesso. 100% de segurança é apenas uma ilusão, mas os aplicativos Malwarebytes protegem as pessoas o mais próximo possível desses 100%."

"100 por cento de segurança é apenas uma ilusão. Os aplicativos Malwarebytes protegem as pessoas o mais próximo possível desses 100 por cento."
- David Sanchez
Malwarebytes Engenheiro de pesquisa principal

História dos exploits de computador

As explorações são tão antigas quanto a computação. Como já dissemos, todos os softwares têm vulnerabilidades e, ao longo dos anos, ocorreram algumas verdadeiras besteiras. Aqui está um resumo rápido de algumas das explorações de computador mais notáveis.

Nossa exploração dos maiores (ou seja, piores) exploits do mundo começa em 1988 com o worm Morris, um dos primeiros worms e exploits de computador. Com o nome de seu criador, Robert Tappan Morris, o worm homônimo foi projetado para descobrir o tamanho da Internet naqueles primeiros anos de formação, usando várias vulnerabilidades para acessar contas e determinar o número de computadores conectados a uma rede.

O worm ficou fora de controle, infectando computadores várias vezes, executando várias cópias do worm simultaneamente até que não houvesse mais recursos para usuários legítimos. O worm Morris havia se tornado efetivamente um ataque DDOS.

O worm SQL Slammer tomou o mundo de assalto em 2003, alistando cerca de 250.000 servidores que executavam o software SQL Server da Microsoft em seu botnet. Depois que um servidor era infectado, ele usava um estilo de ataque disperso, gerando endereços IP aleatórios e enviando códigos infectados para esses endereços. Se o servidor visado tivesse o SQL Server instalado, ele também seria infectado e adicionado à botnet. Como resultado do SQL Slammer, 13.000 caixas eletrônicos do Bank of America ficaram off-line.

O worm Conficker de 2008 é notável por alguns motivos. Em primeiro lugar, ele reuniu muitos computadores em sua rede de bots, supostamente 11 milhões de dispositivos em seu auge. Em segundo lugar, o Conficker popularizou um tipo de subterfúgio que os vírus usam para evitar a detecção, chamado Domain Generating Algorithm (DGA). Em resumo, a técnica DGA permite que um pouco de malware se comunique infinitamente com seu servidor de comando e controle (C&C) gerando novos domínios e endereços IP.

Criado para atacar o programa nuclear do Irã, o worm Stuxnet de 2010 aproveitou-se de várias vulnerabilidades de dia zero no site Windows para obter acesso a um sistema. A partir daí, o worm foi capaz de se autorreplicar e se espalhar de um sistema para outro.

Descoberto em 2014, o exploit Heartbleed foi usado para atacar o sistema de criptografia que permite que computadores e servidores conversem entre si de forma privada. Em outras palavras, os criminosos cibernéticos poderiam usar a exploração para espionar sua conversa digital. O sistema de criptografia, chamado OPEN SSL, foi usado em 17,5% ou meio milhão de servidores da Web "seguros". São muitos dados vulneráveis.

Como esse é um problema dos sites que você visita (lado do servidor), e não um problema do seu computador (lado do cliente), cabe aos administradores de rede corrigir essa exploração. A maioria dos sites de boa reputação corrigiu esse exploit há alguns anos, mas nem todos, portanto, ainda é um problema que deve ser levado em consideração.

2017 foi um ano marcante para o ransomware. Os ataques de ransomware WannaCry e NotPetya aproveitaram os exploits EternalBlue/DoublePulsar Windows para entrar sorrateiramente nos computadores e manter os dados como reféns. Combinados, esses dois ataques causaram danos de US$ 18 bilhões em todo o mundo. O ataque NotPetya, em particular, paralisou temporariamente - entre muitos outros - uma fábrica de chocolate Cadbury e o fabricante de preservativos Durex. Os hedonistas de todo o mundo prenderam a respiração coletiva até que o exploit fosse corrigido.

O ataque da Equifax em 2017 poderia ter sido evitado se a agência de crédito tivesse se esforçado mais para manter seu software atualizado. Nesse caso, a falha de software que os criminosos cibernéticos usaram para invadir a rede de dados da Equifax já era bem conhecida e havia uma correção disponível. Em vez de corrigir a situação, a Equifax e seu software desatualizado permitiram que os criminosos cibernéticos roubassem informações pessoais de centenas de milhões de clientes dos EUA. "Obrigado."

Agora, antes que os usuários da Apple comecem a pensar que os Macs não são suscetíveis a ataques baseados em exploits, considere o bug de root de 2017 que permitia que os criminosos cibernéticos simplesmente inserissem a palavra "root" no campo de nome de usuário e pressionassem return duas vezes para obter acesso total ao computador. Esse bug foi rapidamente corrigido antes que os criminosos cibernéticos pudessem tirar proveito dele, mas isso só mostra que qualquer software pode ter bugs exploráveis. A propósito, informamos que as explorações doMac estão aumentando. Até o final de 2017, havia 270% mais ameaças exclusivas na plataforma Mac do que em 2016.

Ultimamente, tem havido poucas novidades no mundo das explorações de navegador. Por outro lado, os kits de exploração do Office estão em alta. Desde 2017, notamos um aumento no uso de kits de exploração baseados no Office. Foi no outono daquele ano que relatamos pela primeira vez várias explorações inovadoras do Word, incluindo uma oculta em avisos falsos do IRS e outro ataque de dia zero oculto em documentos do Word, exigindo pouca ou nenhuma interação da vítima para ser iniciado.

Agora estamos vendo um novo tipo de kit de exploração do Office que não depende de macros, ou seja, código especial incorporado ao documento, para fazer seu trabalho sujo. Em vez disso, esse kit de exploração usa o documento como um chamariz, acionando um download automático que implementa a exploração.

Mais recentemente, os criminosos cibernéticos estão implantando malware sem arquivo, assim chamado porque esse tipo de malware não depende do código instalado no computador de destino para funcionar. Em vez disso, o malware sem arquivo explora os aplicativos já instalados no computador, armando efetivamente o computador contra si mesmo e contra outros computadores.

"O malware sem arquivo explora os aplicativos já instalados no computador, armando efetivamente o computador contra si mesmo e contra outros computadores."

Exploits em dispositivos móveis: Android e iOS

A maior preocupação dos usuários de dispositivos móveis é instalar aplicativos que não tenham sido aprovados pelo Google e pela Apple. O download de aplicativos fora da Google Play Store e da Apple App Store significa que os aplicativos não foram aprovados pelas respectivas empresas. Esses aplicativos não confiáveis podem tentar explorar vulnerabilidades em iOS/Android para obter acesso ao seu dispositivo móvel, roubar informações confidenciais e executar outras ações mal-intencionadas.

Como posso me proteger de explorações?

As explorações podem ser assustadoras. Isso significa que devemos jogar nossos roteadores pela janela e fingir que estamos na Idade das Trevas dos computadores pré-internet? Certamente que não. Aqui estão algumas dicas se você quiser ser proativo em relação à proteção contra exploits.

Mantenha-se atualizado. Você atualiza regularmente seu sistema operacional e todos os vários aplicativos que tem instalados? Se a resposta for negativa, você pode ser uma vítima em potencial dos criminosos cibernéticos. Depois que uma exploração de dia zero se torna conhecida pelo fornecedor do software e uma correção é lançada, o ônus de corrigir e atualizar o software recai sobre o usuário individual. Na verdade, as explorações de dia zero tornam-se mais perigosas e difundidas depois que se tornam de conhecimento público, porque um grupo mais amplo de agentes de ameaças está tirando proveito da exploração. Verifique com seus fornecedores de software se há atualizações ou patches disponíveis. Se possível, acesse as configurações do software e ative as atualizações automáticas para que essas atualizações ocorram automaticamente em segundo plano, sem nenhum esforço extra de sua parte. Isso eliminará o tempo de atraso entre o momento em que uma vulnerabilidade é anunciada e o momento em que ela é corrigida. Os criminosos cibernéticos se aproveitam das pessoas que se esquecem ou simplesmente não sabem que devem atualizar e corrigir seus softwares.
Atualize seu software. Em alguns casos, um aplicativo de software se torna tão antigo e pesado que o fabricante do software deixa de oferecer suporte a ele(abandonware), o que significa que os bugs adicionais que forem descobertos não serão corrigidos. Seguindo de perto o conselho anterior, verifique se o fabricante ainda oferece suporte ao seu software. Se não for, atualize para a versão mais recente ou mude para outra que faça a mesma coisa.
Fique seguro on-line. Certifique-se de que o Microsoft SmartScreen ou o Google Safe Browsing estejam ativados no navegador de sua preferência. Seu navegador verificará todos os sites que você visitar em relação às listas negras mantidas pela Microsoft e pelo Google e o afastará de sites conhecidos por fornecerem malware. Ferramentas antimalware eficazes, como o Malwarebytespor exemplo, também bloquearão sites ruins, oferecendo várias camadas de proteção.
Use-o ou perca-o. Hackers vão hackear. Não há muito que possamos fazer com relação a isso. Mas se não houver software, não há vulnerabilidade. Se você não estiver mais usando o software, exclua-o do seu computador. Os hackers não podem invadir algo que não está lá.
Instale aplicativos autorizados. Quando se trata de manter a segurança em seu dispositivo móvel, use apenas aplicativos autorizados. Há ocasiões em que você pode querer sair da App Store e da Google Play Store, como quando está testando um novo aplicativo, mas você deve ter certeza de que pode confiar no fabricante do aplicativo. De modo geral, no entanto, fique com aplicativos aprovados que tenham sido examinados pela Apple e pelo Google.
Use um software anti-exploit. Portanto, você tomou todas as precauções necessárias para evitar ataques baseados em explorações. E quanto às explorações de dia zero? Lembre-se de que uma exploração de dia zero é uma vulnerabilidade de software que somente os criminosos cibernéticos conhecem. Não há muito que possamos fazer para nos proteger das ameaças que não conhecemos. Ou será que há? Um bom programa antimalware, como Malwarebytes para Windows, Malwarebytes para Mac, Malwarebytes para Android, ou Malwarebytes para iOS, pode reconhecer e bloquear proativamente softwares mal-intencionados que se aproveitam de vulnerabilidades em seu computador usando análise heurística do ataque. Em outras palavras, se o programa de software suspeito for estruturado e se comportar como malware, o Malwarebytes o sinalizará e o colocará em quarentena.

Como as explorações afetam meus negócios?

De muitas maneiras, sua empresa representa um alvo de maior valor para os criminosos cibernéticos e explorações do que o consumidor individual - mais dados para roubar, mais para pedir resgate e mais endpoints para atacar.

Veja, por exemplo, a violação de dados da Equifax. Nesse caso, os criminosos cibernéticos usaram uma exploração no Apache Struts 2 para obter acesso à rede da Equifax e aumentar seus privilégios de usuário. Uma vez que os invasores estavam na rede, eles se tornaram administradores do sistema, obtendo acesso a dados confidenciais de milhões de consumidores. Ninguém sabe o resultado total do ataque da Equifax, mas ele pode acabar custando milhões de dólares à agência de crédito. Há um processo de ação coletiva em andamento e as pessoas também estão levando a Equifax a um tribunal de pequenas causas, ganhando mais de US$ 8.000 por caso.

Além do aumento de privilégios, as explorações podem ser usadas para implantar outros malwares, como foi o caso do ataque do ransomware NotPetya. O NotPetya se espalhou pela Internet atacando indivíduos e empresas. Usando os exploits EternalBlue e MimiKatz Windows , o NotPetya conseguiu se estabelecer em uma rede e se espalhou de computador para computador, bloqueando cada endpoint, criptografando os dados do usuário e paralisando os negócios. Computadores, smartphones, telefones de mesa VOIP, impressoras e servidores foram todos inutilizados. Total Os danos às empresas em todo o mundo foram estimados em 10 bilhões de dólares.

Então, como você pode proteger sua empresa? Você precisa se livrar dos pontos fracos do seu sistema com uma boa estratégia de gerenciamento de patches. Aqui estão algumas coisas que você deve ter em mente ao descobrir o que é melhor para sua rede.

Implemente a segmentação da rede. A distribuição de seus dados em sub-redes menores reduz a superfície de ataque - alvos menores são mais difíceis de atingir. Isso pode ajudar a conter uma violação em apenas alguns endpoints em vez de toda a sua infraestrutura.
Aplique o princípio do menor privilégio (PoLP). Em suma, conceda aos usuários o nível de acesso de que precisam para fazer seu trabalho e nada mais. Novamente, isso ajuda a conter os danos causados por violações ou ataques de ransomware.
Mantenha-se atualizado com as atualizações. Fique de olho na Patch Tuesday e planeje-se de acordo com ela. O Microsoft Security Response Center mantém um blog com todas as informações mais recentes sobre atualizações. Você também pode assinar o boletim informativo por e-mail para ficar por dentro do que está sendo corrigido todos os meses.
Priorize suas atualizações. O dia seguinte à Patch Tuesday às vezes é chamado de Exploit Wednesday (com a língua bem firme na bochecha). Os criminosos cibernéticos tomaram conhecimento das possíveis explorações e a corrida é para atualizar os sistemas antes que os criminosos cibernéticos tenham a chance de atacar. Para agilizar o processo de correção, considere a possibilidade de lançar atualizações em cada endpoint a partir de um agente central, em vez de deixar que cada usuário final as conclua em seu próprio tempo.
Audite suas atualizações após o fato. Os patches devem corrigir o software, mas, às vezes, eles acabam quebrando as coisas. Vale a pena acompanhar e garantir que os patches que você enviou à sua rede não pioraram as coisas e desinstalá-los conforme necessário.
Livre-se do abandonware. Às vezes, é difícil se livrar de um software antigo que já passou da data de validade, especialmente em uma grande empresa em que o ciclo de compras se move com a urgência de uma preguiça, mas o software descontinuado é realmente o pior cenário para qualquer administrador de rede ou sistema. Os criminosos cibernéticos procuram ativamente sistemas que executam software desatualizado e obsoleto, portanto, substitua-o o mais rápido possível.
Obviamente, um bom software de segurança de endpoint é uma parte essencial de qualquer programa de proteção contra exploits. Considere Malwarebytes. Com o Malwarebytes Endpoint Protection e o Malwarebytes Endpoint Detection and Response, temos uma solução para todas as necessidades de segurança de sua empresa.

Por fim, se tudo isso ainda não saciou sua fome de conhecimento sobre exploits, você sempre pode ler mais sobre exploits no blog Malwarebytes Labs .