Falha no Windows Server - Microsoft alerta.

Microsoft emitiu nesta terça-feira (14) um alerta relacionado a uma falha de segurança no Windows Server que existe há mais de 17 anos. A abertura, de acordo com a empresa, nunca foi utilizada de forma maliciosa, mas poderia levar a uma tomada completa da estrutura de TI de uma empresa, com um invasor assumindo caráter de administrador e tendo acesso a todos os recursos do servidor.

A descoberta foi feita pela Check Point Research, que detalhou a exploração para a Microsoft em maio, com uma atualização sendo liberada pela companhia algumas semanas depois. Segundo a empresa, ela é essencial para todos os usuários da plataforma, pois o sistema de DNS é parte central da estrutura de servidores conectados, sendo utilizado em todos os processos que envolvam consulta ou utilização dos dados armazenados neles.

É esse sistema que faz a “tradução” dos endereços acessados pelo usuário em números de IP. A brecha, de acordo com o relatório, está na forma como o Windows Server analisa tais pedidos, com uma solicitação mal intencionada podendo sobrecarregar o sistema e levar um criminoso a obter controle do servidor. “Uma falha de DNS é algo muito sério que, na maioria das vezes, coloca o atacante a uma distância mínima de controlar toda a organização”, explica Omri Herscovici, diretor de pesquisa em vulnerabilidades da Check Point.

Os especialistas e a própria Microsoft também chamam a atenção para o caráter desta praga, que é do tipo “wormable”, sendo capaz de passar de um equipamento para o outro a partir de uma infecção inicial. Esse movimento não exige interação adicional dos usuários e, uma vez que o ambiente ideal para exploração seja encontrado, ela pode ser iniciada a qualquer momento a partir de comandos remotos enviados pelos criminosos.

 

De acordo com os especialistas, uma brecha em um sistema desse tipo não é simples de ser explorada, mas os ganhos decorrentes podem a tornar interessante, principalmente se envolverem uma invasão completa de um sistema com direito a dados confidenciais e outros tipos de manipulação. A complexidade pode ser um motivo para explicar porque uma abertura disponível há quase duas décadas não tem registros de utilização, mas os responsáveis pelo estudo apontam que essa não deve ser encarada como uma verdade absoluta já que, se eles localizaram a abertura, outros igualmente capazes também poderiam ter feito isso, mas com resultados maliciosos.

A constatação de que a falha deve ser levada a sério é confirmada pela graduação máxima dada pela Microsoft, com base em um sistema oficial de padrões firmado pelo governo americano. Apenas para se ter uma ideia, de acordo com o índice, qualquer vulnerabilidade com total acima de 7 é considerada muito crítica; esta recebeu 10, enquanto a responsável pela onda de ransomware e travamentos de sistemas por conta de infecções com o WannaCry tem uma nota 7,8.

Uma atualização para todas as versões do Windows Server já está disponível e o pedido é para que os administradores de TI ajam rapidamente na correção. Isso se deve, principalmente, ao fato de que, uma vez que os detalhes sobre ela foram liberados, as portas acabam abertas para que ela seja explorada também por aqueles que não faziam ideia de sua existência.

Segundo a Microsoft, os responsáveis por tecnologias que tiverem as atualizações automáticas ativadas não precisam se preocupar com essa atualização. Para estruturas que não permitirem uma reinicialização dos servidores, a Microsoft liberou também uma mitigação baseada em alterações no registro, que não é citada como a maneira ideal de se proteger, mas pode servir como um paliativo até que uma aplicação correta do patch possa ser realizada.

Fonte: Check Point ResearchMicrosoft