Microsoft Lança Patches que Reparam Vulnerabilidades Históricas

17 maio 2013

Microsoft (e portanto Adobe) lançaram atualizações de segurança na edição de maio de 2013  de suas correções mensais. Se sua máquina não está configurada para  instalá-las  automaticamente, certifique-se de autorizar a instalação das mesmas quando forem apresentadas.

updates_title (1)

Batendo na mesma tecla, não existe uma boa razão para não instalar as atualizações de segurança disponíveis. Você não precisa fazer nada além de clicar em “aceitar”, ou na  maioria dos casos, esperar enquanto sua máquina reinicia e as instala automaticamente. Na verdade neste exato momento, enquanto você lê esta nota pode atualizar Adobe , assim de fácil.

Praticidade a parte, deixar de instalar as atualizações é como não tomar uma vacina contra a gripe: coloca todo mundo ao redor em risco de infecção, porque quando você ignora suas atualizações está aumentando o número de máquina vulneráveis.  Quanto mais máquinas infectadas, maior é o poder de ação dos cibercirminosos, desta forma eles terão mais contas  para usar em ataques de pishing e outros benefícios que poderão usar para invadir cada vez mais computadores.

Recentemente criminosos usaram uma vulnerabilidade (já reparada) de Internet Explorer em ataques watering hole dirigidos ao departamento trabalhista dos EUA.

 

Estas atualizações não são caprichos ou coisas intangíveis que ninguém entende. Criminosos se aproveitaram de uma vulnerabilidade (atualmente reparada)  em ataques de watering hole direcionados ao Departamento Trabalhista dos EUA. Ataque famoso por haver sido a primeira parte de uma campanha maior que pretendia invadir o setor de armas nucleares no Departamento de Energia. Nos dias seguintes, a mesma vulnerabilidade foi usada em ataques de watering hole direcionados à Agência Internacional de desenvolvimento (USAID).

Ataques water holing ou watering hole consistem em que  agressor comprometa websites que serão potencialmente visitados por seu alvo real. Neste  caso, os hackers atacaram o website do sistema trabalhista (DoL) para atingir o departamento de energia (DoE) e outros funcionários importantes.

Talvez seja ainda  mais alarmante o fato de que Adobe tenha feito patches em vulnerabilidades na plataforma de desenvolvimento do aplicativo ColdFusion que agressores já usaram para comprometer servidores do sistema da corte de Washington, expondo a quantidade impressionante de 160,000 números de previdência social, assim como carteiras de motorista e nomes de mais de um milhão de pessoas.

Como apontado pelo especialista da Kaspersky Lab e amigo do blog,  Kurt Baumgartner, Microsoft  reparou outras vulnerabilidades. EoPs, como são popularmente chamadas eram frequentemente usadas depois de um ataque para que os hackers obtivessem poder total sob as máquinas infectadas.