Imagine uma falha do Windows que afeta todas as suas versões e que o usuário não precisa fazer nada para estar exposto… na opinião de Dan Tentler, fundador e CEO do Phobos Group, essa falha é um “banho de sangue”.
Exceto que a Microsoft já publicou uma correção para a vulnerabilidade, distribuída desde a Patch Tuesday de Março, antes mesmo do problema ser divulgado pelo coletivo hacker Shadow Brokers.
Ainda assim, a inércia de administradores e usuários em implementar a correção tem transformado a falha de segurança em uma das piores pragas desde a epidemia do Conficker em 2008. Batizado de DoublePulsar, o malware que ataca a vulnerabilidade era utilizada pela NSA para penetrar em sistemas Windows através da Porta 445. Após ser divulgada pelo Shadow Brokers, a ferramenta caiu na mão de cibercriminosos e estima-se que cerca de 5 milhões de máquinas estão correndo risco de invasão em todo o mundo.
Para Sean Dillon, analista de segurança senior da RiskSense, o malware “entrega a você controle total do sistema e você pode fazer o que quiser com ele”. Apesar da correção já existir e já ter sido amplamente distribuída, ele acredita que “isso irá aparecer nas redes por anos e anos. A última grande vulnerabilidade desse nível foi a MS08-067 (relacionada ao Conficker), e ainda é encontrada em um bocado de lugares. Eu encontro ela por toda parte”. E alerta: “esta é a mais crítica correção do Windows desde aquela vulnerabilidade”.
Tentler, da empresa de segurança Phobos Group, vai além e classifica o DoublePulsar como um “banho de sangue”. Em um escaneamento rápido na web, ele conseguiu encontrar mais de 60 mil sistemas expostos, apenas aguardando um ataque. Há informes de tutoriais e até vídeos no YouTube sendo publicados pelas comunidades hackers ensinando de forma bem simples como explorar o problema.
A recomendação dos especialistas é que todos implementem a correção imediatamente. Mesmo que o usuário esteja utilizando a versão mais atualizada do Windows e a Porta 445 esteja fechada ou camuflada em seu sistema, um invasor ainda pode explorar uma outra máquina na rede e realizar o mesmo tipo de infiltração em larga escala.