A McAfee, empresa integrante da divisão Intel Security, alerta para uma nova e perigosa vulnerabilidade descoberta pelo pesquisador europeu Stéphane Chazelashas. Ele encontrou uma vulnerabilidade crítica no shell (uma interface) de linha de comando conhecido como Bash (ou GNU Bourne-Again Shell). O Bash é um intérprete de linha de comando para os sistemas Linux e Unix (sistemas operacionais populares usados por programadores; Unix é a base para as máquinas Apple).
O Bash, lançado em 1989, é implantado em diversos sistemas incluindo Debian, Ubuntu, MAC OS X, Android e até mesmo o Windows. A ferramenta oferece aos usuários meios para interagirem diretamente com suas máquinas. Em termos mais simples: um usuário coloca um código no Bash, que informa à máquina o que fazer com o código e, então, a máquina executa.
A vulnerabilidade chamada Shellshock explora um bug programado no Bash que permite que código injetado arbitrário seja executado como parte da atribuição de variáveis de ambiente. Segundo Gary Davis, vice-presidente de negócios de Consumer da McAfee, a vulnerabilidade permite que hackers ou qualquer pessoa que saiba programar um código rudimentar carregue, exclua e essencialmente tome posse de um dispositivo remotamente. “Os hackers podem roubar dados, programar malwares que se autorreproduzem e praticamente fazer o que quiserem em um ambiente vulnerável”, comenta Davis.
O Shellshock permite ainda que os hackers ataquem diretamente servidores, roteadores e computadores que compartilham atributos comuns. “Um dispositivo pode não estar em risco, mas os servidores sim, onde todas as informações estão armazenadas e também os sites se usarem servidores Linux ou Unix”, explica Davis.
A distinção entre hosts vulneráveis e realmente expostos se torna fundamental neste caso. Existem inúmeras variáveis necessárias para que a exploração seja bem-sucedida e nem todas as variações do Bash são vulneráveis a essa exploração.
“Os usuários da Apple podem estar vulneráveis, mas somente em circunstâncias que exigem uma manipulação ativa do Unix. O Windows também usa uma versão importada do Bash, mas, em grande parte, esse sistema operacional não é vulnerável à exploração. De qualquer forma, é improvável que computadores individuais sejam os alvos dos hackers que exploram essa vulnerabilidade – seu alvo provavelmente serão servidores de empresas”, explica Davis.
No momento é necessário esperar até que os fabricantes de dispositivos liberem patches criados para corrigir o problema. Muitas distribuições do Unix já têm patches disponíveis e outros estarão disponíveis em breve. Os sistemas vulneráveis devem ser corrigidos o quanto antes de acordo com as orientações dos fornecedores/produtos afetados.
Mike Fey, CTO da McAfee, afirma que vários produtos corporativos da McAfee já foram atualizados para tratar esse problema. “As equipes de pesquisa da McAfee estão empenhadas em analisar os pontos mais específicos dessa ameaça e, à medida que mais detalhes forem disponibilizados (e confirmados), eles serão comunicadas de forma rápida e clara”. No momento, a recomendação é seguir as orientações dos fornecedores em relação à aplicação de patches e atualizações disponíveis.
Aos consumidores, estas são algumas práticas importantes para a segurança online:
Proteger-se contra malwares. Os malwares são uma ameaça constante que sempre existe em todos os dispositivos. Para não perder o controle do seu computador, os consumidores podem usar uma solução de segurança abrangente como McAfee LiveSafe™ para proteger os dispositivos móveis, o computador pessoal e laptops contra ameaças desconhecidas.
Atualizar os dispositivos. As atualizações de dispositivos são uma forma essencial de corrigir bugs conhecidos – tanto inofensivos como perigosos. Cada vez que o consumidor receber uma notificação sobre atualizações e patches projetadas para corrigir o Shellshock, recomenda-se aplicar as mesmas o quanto antes.
Tomar cuidado com ataques de phishing. Os hackers geralmente usam ataques de phishing – que tentam convencer a vítima a clicar em um link malicioso ou a fazer download de um programa malicioso – para comprometer um sistema. Geralmente esses ataques assumem a forma de um e-mail falso que parece ser proveniente de uma fonte oficial. Normalmente, é possível detectar esses e-mails observando erros ortográficos e de gramática, bem como aparência de baixa qualidade. Deve-se ter atenção e se houver suspeita de algo, não clicar.
