Recursos de segurança aprimorados estão atrasando hackers de atacar usuários do Windows

Os constantes aprimoramentos de segurança dos produtos da Microsoft estão finalmente começando a render, revelou um engenheiro de segurança da Microsoft na semana passada.

Falando na conferência de segurança BlueHat em Israel, o engenheiro de segurança da Microsoft, Matt Miller, disse que a disseminação massiva de falhas de segurança contra usuários da Microsoft é agora incomum – a exceção à regra, e não à norma.

Miller creditou os esforços da empresa em melhorar seus produtos com a adição de recursos centrados em segurança, como firewall protegido por padrão, produtos Protected View em Office, DEP (Prevenção de Execução de Dados), ASLR (Address Space Layout Randomization), CFG ( Control Flow Guard), sandbox de aplicativos e muito mais.

Esses novos recursos tornaram muito mais difícil para as operações rotineiras de cibercrime criarem dias zero ou explorações confiáveis ​​para bugs da Microsoft recém-corrigidos, reduzindo o número de vulnerabilidades exploradas em grande escala.

Uma exploração massiva e não-discriminatória acaba por ocorrer, mas geralmente muito tempo depois que a Microsoft forneceu uma correção, e depois que as empresas tiveram tempo suficiente para testar e implantar os patches.

Miller disse que quando as vulnerabilidades são exploradas, elas geralmente fazem parte de ataques direcionados, em vez de ataques de exploração em massa relacionados ao cibercrime.

Por exemplo, em 2018, 90% de todos os dias zero que afetavam os produtos da Microsoft foram explorados como parte de ataques direcionados. Estes são dia zero encontrados e usados ​​por grupos de espionagem cibernética de estado-nação contra alvos estratégicos, em vez de vulnerabilidades descobertas por grupos de spam ou operadores de kits de exploração.

Os outros 10 por cento das tentativas de exploração de dia zero não eram criminosos cibernéticos tentando ganhar dinheiro, mas pessoas que jogam com código de prova de conceito não armado tentando entender o que uma vulnerabilidade ainda não corrigida faz.

Exploração de dia zero da Microsoft
Imagem: Matt Miller

“Agora é incomum ver um exploit de não-dia-zero lançado dentro de 30 dias de um patch disponível”, acrescentou Miller.

As explorações de vulnerabilidades de dia zero geralmente surgem muito mais tarde porque está ficando complicado desenvolver vulnerabilidades com armas por causa de todos os recursos de segurança adicionais que a Microsoft adicionou ao Windows e a outros produtos.

Dois gráficos na apresentação de Miller ilustram perfeitamente esse novo estado de coisas. O gráfico à esquerda mostra como os esforços da Microsoft para remediar falhas de segurança se intensificaram nos últimos anos, com cada vez mais bugs de segurança recebendo correções (e um identificador CVE).

Por outro lado, o gráfico à direita mostra que, apesar do crescente número de falhas conhecidas nos produtos da Microsoft, cada vez menos dessas vulnerabilidades estão entrando no arsenal de grupos de hackers e na exploração do mundo real dentro de 30 dias após um patch.

Tendências de exploração da Microsoft
Imagem: Matt Miller

Isso mostra que as defesas de segurança da Microsoft estão fazendo seu trabalho colocando obstáculos adicionais no caminho dos grupos de cibercrime.

Se uma vulnerabilidade for explorada, ela provavelmente será explorada como dia zero por algum agente de ameaça do estado-nação, ou como um bug de segurança antigo para o qual usuários e empresas tiveram tempo suficiente para corrigir.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.