Um investigador de segurança cibernética conhecido como "Chaotic Eclipse" divulgou publicamente um código de exploração para uma nova falha zero-day no antivírus da Microsoft. A vulnerabilidade, batizada de "RedSun", permite a elevação local de privilégios e foi lançada como forma de protesto contra as políticas da empresa, segundo a publicação do investigador no seu blogue.
O mecanismo por trás da falha RedSun
Esta vulnerabilidade afeta sistemas com o Windows 10, o Windows 11 e o Windows Server, mesmo com as atualizações de segurança de abril totalmente aplicadas. O problema manifesta-se quando a proteção integrada deteta um ficheiro malicioso com uma etiqueta de nuvem. De forma surpreendente, o sistema de segurança reescreve esse mesmo ficheiro no seu local original em vez de o bloquear ou isolar adequadamente.
O código de prova de conceito abusa deste comportamento, em conjunto com a API de ficheiros na nuvem, para manipular o processo de reescrita. Ao utilizar um ponto de ligação de diretório, o atacante consegue forçar o sistema a reescrever um executável crítico do sistema operativo, garantindo a execução de código com privilégios de nível máximo. Will Dormann, analista da Tharros, confirmou a eficácia do método, notando que algumas ferramentas de segurança detetam o ataque devido a uma assinatura de teste padrão, mas a simples encriptação dessa cadeia de texto torna a exploração virtualmente invisível.
Um protesto contra as práticas da indústria
A divulgação do RedSun surge apenas uma semana após o mesmo investigador ter exposto outra falha semelhante, apelidada de BlueHammer e agora mitigada pela Microsoft. A motivação para expor as debilidades de forma pública reflete um descontentamento profundo com o centro de resposta de segurança da gigante tecnológica.
O especialista relata ter enfrentado um ambiente hostil ao tentar reportar vulnerabilidades através dos canais oficiais, alegando atitudes que prejudicaram severamente a sua vida pessoal e profissional. Em resposta a estas acusações, a empresa tecnológica limitou-se a partilhar uma declaração padrão, onde reforça o compromisso de proteger os clientes através de atualizações rápidas e apelou à manutenção de divulgações coordenadas dentro da comunidade de investigação, evitando comentar diretamente a interação com o criador do código de exploração.
Nenhum comentário
Seja o primeiro!