O buraco de segurança da Microsoft no coração do hacking às eleições americanas

 

O hacking russo das eleições norte-americanas de 2016 foi mais fundo do que invadir o Comitê Nacional Democrata e a campanha de Clinton. Os russos também entraram no caminho para obter informações sobre hardware e software relacionados às eleições pouco antes do início das votações.

O The Intercept publicou um documento secreto da Agência de Segurança Nacional (NSA) que mostra exatamente como os russos fizeram o trabalho sujo ao ter como alvo tanto hardware quanto software eleitoral. E, no coração do hack, está um gigantesco buraco de segurança da Microsoft que existe desde antes do ano 2000 e ainda não foi fechado. E provavelmente nunca fechará.

Antes de chegarmos ao buraco de segurança, aqui está um pouco sobre o funcionamento do esquema russo, detalhado pelo documento secreto da NSA secreto. Alegadamente, a agência de inteligência militar russa, a GRU, lançou uma campanha de spearphishing contra uma empresa dos EUA que desenvolve sistemas eleitorais dos EUA. (A Intercept nota que a empresa provável era a “VR Systems, um fornecedor baseado na Flórida de serviços de votação eletrônica e equipamentos cujos produtos são usados ​​em oito estados”).

Falsos e-mails de alerta do Google foram enviados pelo ‘noreplyautomaticservice@gmail.com‘ para sete dos funcionários da empresa. Aos funcionários foi dito que eles precisavam entrar imediatamente em um site do Google. O site era falso. Quando pelo menos um funcionário iniciou a sessão, suas credenciais foram roubadas.

Usando essas credenciais, a GRU invadiu a empresa eleitoral, relata o documento da NSA, e roubou documentos por um segundo, um ataque muito perigoso. Neste segundo ataque, lançado em 31 de outubro ou 1 de novembro de 2016, os e-mails foram enviados para 122 endereços “associados a organizações locais do governo”, que provavelmente pertenciam a funcionários envolvidos na administração de sistemas de registro de eleitores.” Em outras palavras, os russos visavam pessoas que mantêm os rolos de registro de eleitores.

Aqui é onde o furo de segurança da Microsoft entra. Anexos estavam documentos do Microsoft Word que os e-mails reivindicavam ser documentação para a linha de produtos do banco de eleitores EViD da VR Systems.

Na verdade, eles eram “documentos contendo trojan, um script Visual Basic malicioso que engloba o PowerShell e o usa para executar uma série de comandos para recuperar e executar uma carga útil desconhecida de infraestrutura mal intencionada. A carga desconhecida provavelmente instala uma segunda carga que pode ser usada para estabelecer acesso persistente para pesquisar a vítima por itens de interesse para os atores da ameaça.”

Em inglês simples, o documento do Word abriu uma back door para os computadores das vítimas, permitindo que os russos instalassem qualquer malware que eles quisessem e obtivessem praticamente qualquer informação a que as vítimas tivessem acesso.

Não está claro qual a informação eleitoral que os russos conseguiram reunir ou como eles poderiam tê-las usado. Mas usando o furo de segurança da Microsoft, eles foram potencialmente capazes de se aproximar muito do hardware e software eleitoral dos estados e, possivelmente, dos registros de eleitores.

Aqueles com uma boa memória podem lembrar que o Visual Basic desempenhou um papel fundamental em dois dos primeiros ataques de vírus do mundo, o Melissa em 1999 e o ILoveYou em 2000.

Em 2002, Michael Zboray, então diretor de tecnologia do Gartner Group e agora CISO da Gartner, disse que o Visual Basic tem a “postura de segurança errada” e acrescentou: “O script do Visual Basic e as macros estão provando ser um desastre. Isso está acontecendo uma e outra vez. Temos de nos afastar deste conteúdo ativo hostil que está chegando através de documentos do Word, planilhas do Excel e do navegador.”

E agora, 15 anos depois, eles ainda provam ser um desastre. O Visual Basic deu lugar ao Visual Basic for Applications, mas os buracos permanecem. A empresa de segurança Sophos alertou, em um blog em 2015, que esses tipos de ataques estavam fazendo um retorno. Este russo mostra que eles estão de volta com uma vingança.

É improvável que a Microsoft abandone o Visual Basic for Applications, porque muitas empresas dependem disso. Portanto, as empresas precisam ficar mais inteligentes quanto ao seu uso. A Sophos recomenda que eles considerem bloquear todos os arquivos do Office que são enviados por email de fora de uma empresa, se esses arquivos possuirem macros criados com o Visual Basic for Applications. A Microsoft oferece um conselho próprio em sua publicação de segurança: “O novo recurso no Office 2016 pode bloquear macros e ajudar a prevenir a infecção”, incluindo instruções sobre como as empresas podem usar a Política de Grupo para bloquear macros de execução em documentos do Word, Excel e PowerPoint enviados por email ou baixado da internet.

As empresas precisam perceber que o Visual Basic for Applications e suas macros são uma arma potente para hackers e autores de malwares. Se pode ameaçar as eleições dos EUA, certamente pode ameaçar os documentos e segredos mais importantes das empresas. Dado que a Microsoft não encerrará o Visual Basic for Applications, as empresas precisam assumir o controle, bloqueando macros e scripts em documentos recebidos.

IDG