Todos os anos o laboratório independente Virus Bulletin realiza o evento mais importante do ano para a comunidade de pesquisa antivírus, a Virus Bulletin Conference. Participaram desta conferência os principais pesquisadores dos laboratórios de antivírus, incluindo a ESET, apresentando as principais tendências no mundo do malware e crime digital.
Uma das palestras técnicas de maior importância foi ministrada por Holly Stewart, da Microsoft, que falou sobre os principais exploits de 2011. Exploits são códigos de programas desenvolvidos para explorar falhas em aplicativos ou sistemas operacionais. A seguir, comentaremos sobre essa palestra e os principais pontos apresentados.
A maneira mais simples de diferenciar os diferentes tipos de exploits é categorizar de acordo com a tecnologia que eles utilizam, ou seja, o meio que violaram para cumprir seu objetivo.
A exploração das vulnerabilidades em Java foram mais importantes neste ano. Isso porque somente os cinco principais exploits de Java representaram 89% do total de detecções nos cinco primeiro meses do ano. A seguir explicaremos os principais:
• CVE-2010-0840: Arquivo malicioso da classe Java que explora uma vulnerabilidade no JRE (Java Runtime Environment). No caso de ter êxito neste processo, é possível executar o download e a execução de arquivos sem que a vítima perceba. Além disso, vale destacar que se trata do exploit com maior índice de detecções neste ano, chegando a mais de 740 mil computadores no mês de março.
• CVE-2008-5353: Exploit que utiliza uma vulnerabilidade que afeta a versão 5 do Java Virtual Machine, incluindo a atualização 22, assim como a versão 6 e sua atualização 10. A vulnerabilidade permite que um applet java ganhe privilégios e possivelmente consiga acesso sem restrições ao arquivo hosts do sistema.
A exploração de vulnerabilidades em HTML/JS é difícil de contar, já que muitos deles possuem a habilidade de se ofuscar nos navegadores web. A maioria desses exploits são genéricos e estão relacionados com iframes e a utilização de JavaScript malicioso. A seguir vamos comentar os principais:
• CVE-2010-0806: Arquivo JavaScript projetado para explorar a vulnerabilidade no Internet Explorer 6 Service Pack 1 do Microsoft Windows 200 Service Pack 4, e no Internet Explorer 6 e 7.
• Mult: JavaScript malicioso, que pode ser embutido em páginas da web e documentos. Esses exploits tiram proveito de muitas vulnerabilidades.
Em relação aos exploits para Sistemas Operacionais, existem para todos, como Windows, GNU/Linux, Android, etc. Por exemplo, temos os exploits CpILnk, CVE-2010-1885 e Lotoor, que totalizam 94% dos exploits criados para esta categoria. Os primeiros são ameaças programadas para Windows, enquanto a última foi desenvolvida para os sistemas Android. A seguir, uma breve explicação sobre cada um deles:
• CpILnk: Trata-se de um exploit que tira proveito de como a Shell do Windows administra os atalhos de arquivos. Essa vulnerabilidade foi descoberta graças à análise do worm Stuxnet.
• CVE-2010-1885: Esse exploit afeta a Ajuda e o Centro de Suporte do Windows XP e do Windows Server 2003. Ao não se tratar de uma ação coordenada, não era possível uma atualização.
• Lootor: Trata-se de um exploit criado especialmente para Android. Ele explora o sistema operacional para ganhar privilégios de root, o que permite a um criminoso possuir privilégios de administrador sobre o dispositivo de forma remota.
Em relação à exploração de documentos, os exploits com esse intuito se encontram, em sua maioria, ocultos no software Adobe PDF, representando cerca de 96% do total dessa categoria.
No grupo do Shockwave Flash, um exploit chamado CVE-2011-0611 representa cerca de 70% dos computadores violados por esta categoria. Essa ameaça foi originalmente descoberta no que parecia ser um ataque a um alvo em particular.
Resumindo, é importante sempre contar com uma solução antivírus com capacidade de detecção proativa, boas práticas para navegar na Internet e manter todos os seus sistemas atualizados o tempo todo, para assim diminuir o risco de infecção de seus dispositivos através desses exploits.
Gonzalo Presa
Analista de Segurança Jr.