Divulgação Check Point

Os pesquisadores da Check Point alertam para uma vulnerabilidade em uma função do Windows que protege contra um tipo de ataque conhecido como Path-Traversal. O nome técnico desse recurso principal é \"PathCchCanonicalize\" e representa a API oficial que o Windows recomenda aos desenvolvedores para aumentar os níveis de defesa contra ataques Path-Traversal.

O que é um ataque “Path-Traversal”?
O Path-Traversal refere-se a um ataque por meio do qual um atacante engana um aplicativo para ler e, em seguida, divulgar o conteúdo de arquivos fora do diretório raiz do documento do aplicativo ou do servidor da Web. Em outras palavras, um ataque “Path-Traversal” ocorre quando um programa recebe um nome de arquivo como entrada e não o verifica, permitindo que o atacante salve este documento em quantos diretórios quiser no mesmo computador infectado, ou leia arquivos nos quais ele não deveria ter acesso. Portanto, esse tipo de ameaça oferece ao cibercriminoso a capacidade de se mover livremente entre os diretórios de um computador.

Geralmente, os ataques de “Path-Traversal” são usados para obter acesso a informações confidenciais armazenadas em arquivos arbitrários em outras áreas de um aplicativo ou pasta do sistema de arquivos que o servidor da Web pode ler. Com esse ciberataque, um atacante pode modificar arquivos críticos, como programas, baixar arquivos de senhas, expor o código fonte do aplicativo da Web ou executar comandos fortes no servidor da Web, deixando-o completamente exposto.

Como essa vulnerabilidade foi descoberta?
Em 2019, os pesquisadores da Check Point revelaram vulnerabilidades no \"Remote Desktop Protocol (RDP)\" da Microsoft, um sistema que permite que outros computadores sejam acessados remotamente por meio de conexões de rede para aplicativos baseados no Windows em execução em um servidor. Essa tecnologia permite que alguém se conecte a um computador remotamente e trabalhe nele como se fosse seu próprio equipamento.

Os pesquisadores demonstraram ainda que, uma vez infectado com malware, esse computador poderia assumir o controle das atividades de qualquer outro usuário que tentasse acessá-lo. Por exemplo, se um membro da equipe de TI tentasse se conectar a um computador corporativo remoto infectado por malware, essa ameaça também poderia infectar o computador do membro da equipe. Os pesquisadores da Check Point chamaram esse vetor de ataque de \"RDP reverso\" porque um usuário do RDP pensa que está controlando remotamente um computador, mas a falha mostra que o inverso é o contrário.

A Microsoft lançou rapidamente um patch de segurança para solucionar esse vetor de ataque RDP reverso, mas, em outubro de 2019, os pesquisadores da Check Point descobriram que o patch da Microsoft (CVE-2019-0887) tinha falhas de segurança, permitindo que os pesquisadores recriassem a exploração original. Durante o processo, os especialistas da empresa observaram que a Microsoft havia usado o \"PathCchCanonicalize\" como uma solução, permitindo concluir que algo estava errado com a API. A Check Point revelou essas descobertas à Microsoft que lançou um novo patch de segurança em fevereiro de 2020. No entanto, todos os programas que usam essa funcionalidade são vulneráveis ao mesmo tipo de ciberataque.

\"Esta pesquisa levou a duas conclusões: a primeira é que a equipe de TI de grandes empresas que usam o Windows deve instalar o patch de fevereiro de 2020 da Microsoft para garantir que os clientes, com os quais eles usam RDP, estejam protegidos contra a vulnerabilidade que descobrimos em 2019. A segunda é que os desenvolvedores devem estar cientes de que a Microsoft esqueceu de corrigir a vulnerabilidade em sua API oficial; portanto, todos os programas usados de acordo com o guia de melhores práticas da Microsoft permanecerão vulneráveis a um ataque ‘Path-Traversal’. Portanto, é essencial que apliquem um patch de segurança manualmente para garantir a proteção ”, diz Omri Herscovici, chefe da equipe de pesquisa de vulnerabilidades da Check Point.