{"id":20011,"date":"2022-09-16T15:39:22","date_gmt":"2022-09-16T18:39:22","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=20011"},"modified":"2022-09-16T15:39:22","modified_gmt":"2022-09-16T18:39:22","slug":"defcon30-zoom-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/defcon30-zoom-vulnerability\/20011\/","title":{"rendered":"Uma vulnerabilidade do Zoom e a guerra entre os hackers e os desenvolvedores"},"content":{"rendered":"<p>Em mar\u00e7o de 2020, quando o mundo inteiro estava apenas come\u00e7ando a lidar com o trabalho remoto, uma <a href=\"https:\/\/objective-see.org\/blog\/blog_0x56.html\" target=\"_blank\" rel=\"noopener nofollow\">vulnerabilidade<\/a> foi descoberta no pacote de instala\u00e7\u00e3o do Zoom \u2014 uma das principais ferramentas de comunica\u00e7\u00e3o remota do mundo \u2014 permitindo a execu\u00e7\u00e3o arbitr\u00e1ria de c\u00f3digo nos computadores da Apple. O Zoom corrigiu a vulnerabilidade\u2026 mais ou menos.<\/p>\n<p>Ao avan\u00e7armos no tempo, agora em agosto de 2022, uma brecha semelhante foi encontrada (em termos de consequ\u00eancias de localiza\u00e7\u00e3o e explora\u00e7\u00e3o). Este post examina este \u00faltimo problema de seguran\u00e7a, e explica por que vulnerabilidades nos softwares \u00e0s vezes aparecem repetidamente no mesmo lugar. E, claro, encerramos esse texto com umas dicas para manter seus dispositivos protegidos.<\/p>\n<h2>Qual \u00e9 a \u00faltima vulnerabilidade?<\/h2>\n<p>O novo problema no aplicativo de videoconfer\u00eancia Zoom foi <a href=\"https:\/\/speakerdeck.com\/patrickwardle\/youre-muted-rooted\" target=\"_blank\" rel=\"noopener nofollow\">destacado<\/a> pelo renomado pesquisador Patrick Wardle na DEF CON 30 no in\u00edcio de agosto deste ano. Resumindo, alguns bugs foram encontrados no sistema de atualiza\u00e7\u00e3o autom\u00e1tica do Zoom para usu\u00e1rios Apple. Esses bugs, em teoria, possibilitaram a obten\u00e7\u00e3o dos chamados direitos de superusu\u00e1rio, que permitem que um suposto invasor fa\u00e7a o que quiser no computador da v\u00edtima.<\/p>\n<p>Para explorar a vulnerabilidade, no entanto, a pessoa mal-intencionada precisava ter acesso f\u00edsico ao computador, ainda que sem direitos especiais. Mas este n\u00e3o \u00e9 um cen\u00e1rio totalmente irrealista: por exemplo, o usu\u00e1rio pode ir almo\u00e7ar e esquecer de bloquear o computador. Teoricamente, a vulnerabilidade tamb\u00e9m poderia ser explorada por malware, o que de outra forma n\u00e3o causaria danos graves ao usu\u00e1rio.<\/p>\n<h2>Mais detalhes, por favor.<\/h2>\n<p>Entrega oportuna e f\u00e1cil instala\u00e7\u00e3o de atualiza\u00e7\u00f5es s\u00e3o requisitos importantes para qualquer software nos dias de hoje. Idealmente, as corre\u00e7\u00f5es de bugs devem ser instaladas sem que o usu\u00e1rio perceba, mas isso nem sempre \u00e9 poss\u00edvel. Para concluir uma atualiza\u00e7\u00e3o, muitas vezes voc\u00ea tem que reiniciar um programa, fazer login ou at\u00e9 mesmo reiniciar.<\/p>\n<p>Todos n\u00f3s ficamos irritados com mensagens pop-up nos lembrando de atualizar um programa, sistema operacional, smartphone ou firmware de tablet. Mas \u00e9 vital faz\u00ea-lo: atualiza\u00e7\u00f5es corrigem brechas de seguran\u00e7a que poderiam ser usadas contra voc\u00ea. Em alguns casos particularmente graves, voc\u00ea precisa proteger softwares vulner\u00e1veis contra-ataques cibern\u00e9ticos ativos imediatamente: um dia de atraso pode custar dados.<\/p>\n<p>A maneira padr\u00e3o de atualizar um aplicativo macOS n\u00e3o \u00e9 diferente de sua primeira instala\u00e7\u00e3o: baixe a nova vers\u00e3o, execute o arquivo e digite uma senha de usu\u00e1rio. O Zoom tentou simplificar esse procedimento: o cliente acessa o servidor, baixa a nova vers\u00e3o e instala sozinho sem exigir que o usu\u00e1rio digite uma senha. Infelizmente, esse processo de comunica\u00e7\u00e3o com o servidor, ap\u00f3s o download e a instala\u00e7\u00e3o da atualiza\u00e7\u00e3o, nem sempre \u00e9 implementado corretamente.<\/p>\n<p>Dez anos atr\u00e1s, acessar servidores sem criptografia de dados era uma pr\u00e1tica comum, permitindo que um invasor em potencial simplesmente substitu\u00edsse o arquivo de atualiza\u00e7\u00e3o por malware. A criptografia foi implementada, tornando isso mais complicado, mas ainda \u00e9 poss\u00edvel substituir o arquivo ap\u00f3s o download quando ele j\u00e1 est\u00e1 salvo, mas ainda n\u00e3o est\u00e1 instalado.<\/p>\n<p>Na vers\u00e3o mais recente (no final do ano passado, quando Patrick come\u00e7ou sua pesquisa) vers\u00e3o do Zoom, tudo parecia estar bem. O cliente acessava um servidor de atualiza\u00e7\u00e3o especial por meio de um canal seguro, baixava o arquivo, validava sua autenticidade (verificando se est\u00e1 assinado pelo certificado do fornecedor) e o instalava. Para instala\u00e7\u00e3o, o SW solicita direitos tempor\u00e1rios de superusu\u00e1rios do sistema, mas de tal forma que o usu\u00e1rio n\u00e3o precise digitar uma senha.<\/p>\n<div id=\"attachment_25261\" style=\"width: 1893px\" class=\"wp-caption aligncenter\"><img decoding=\"async\" aria-describedby=\"caption-attachment-25261\" class=\"wp-image-25261 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2022\/09\/16122348\/defcon30-zoom-vulnerability-sign.jpg\" alt=\"Cita\u00e7\u00e3o da apresenta\u00e7\u00e3o de Patrick Wardle mostrando o benef\u00edcio de aderir as atualiza\u00e7\u00f5es\" width=\"1883\" height=\"472\"><p id=\"caption-attachment-25261\" class=\"wp-caption-text\">Cita\u00e7\u00e3o da apresenta\u00e7\u00e3o de Patrick Wardle mostrando o benef\u00edcio de aderir as atualiza\u00e7\u00f5es. <a href=\"https:\/\/speakerdeck.com\/patrickwardle\/youre-muted-rooted\" target=\"_blank\" rel=\"noopener nofollow\">Fonte<\/a>.<\/p><\/div>\n<p>A assinatura digital \u00e9 importante. Afinal, o programa \u00e9 baixado para o computador do usu\u00e1rio de algum canto da internet e executado com privil\u00e9gios m\u00e1ximos. Ent\u00e3o voc\u00ea precisa ter certeza que \u00e9 o programa certo. E a simples falsifica\u00e7\u00e3o do arquivo baixado n\u00e3o funcionar\u00e1: como mostrado acima no slide da apresenta\u00e7\u00e3o de Patrick, substituir o arquivo resulta em uma mensagem de erro \u2014 a atualiza\u00e7\u00e3o falsa n\u00e3o tem assinatura digital e \u00e9 extremamente dif\u00edcil falsificar um.<\/p>\n<p>Infelizmente, o processo de valida\u00e7\u00e3o de assinaturas digitais em si foi falho. Funcionou executando um utilit\u00e1rio do sistema. Isso exibiu os par\u00e2metros de assinatura digital da atualiza\u00e7\u00e3o baixada, incluindo uma linha indicando qual empresa recebeu o certificado:<\/p>\n<p><em>Zoom Video Communications, Inc. Autoridade de Certifica\u00e7\u00e3o de ID do desenvolvedor Apple Root CA<\/em><\/p>\n<p>A sa\u00edda do utilit\u00e1rio foi processada, e se esta linha estava presente, a instala\u00e7\u00e3o come\u00e7ou. O problema era que o nome do arquivo tamb\u00e9m apareceu na sa\u00edda. Assim, teoricamente, um invasor poderia criar uma atualiza\u00e7\u00e3o maliciosa chamada \u201c<em>Zoom Video Communications, Inc. <\/em><em>Developer ID Certification Authority Apple Root CA.pkg\u201d<\/em> em vez do padr\u00e3o \u201c<em>ZoomUpdate.pkg\u201d<\/em>.<\/p>\n<p>E isso seria suficiente para enganar o procedimento de valida\u00e7\u00e3o: a linha necess\u00e1ria est\u00e1 l\u00e1, ent\u00e3o o arquivo deve ser leg\u00edtimo \u2013 mesmo que seja o arquivo errado e as palavras m\u00e1gicas estejam no lugar errado!<\/p>\n<p>Ou seja, um ataque poderia ser assim: o procedimento de valida\u00e7\u00e3o da atualiza\u00e7\u00e3o \u00e9 iniciado (n\u00e3o dif\u00edcil de fazer), ent\u00e3o a atualiza\u00e7\u00e3o leg\u00edtima \u00e9 baixada, substitu\u00edda por malware e renomeada de modo a enganar o processo de valida\u00e7\u00e3o de certificados. O arquivo malicioso \u00e9 executado com privil\u00e9gios do sistema e o computador \u00e9 hackeado!<\/p>\n<p>Mas em 20 de dezembro de 2021, uma atualiza\u00e7\u00e3o do Zoom foi lan\u00e7ada, o que p\u00f4s fim a este vetor de ataque. A mudan\u00e7a foi simples: um renome de arquivo foi for\u00e7ado ap\u00f3s o download. Mas Patrick Wardle foi capaz de modificar o ataque: se o Zoom est\u00e1 seguro desde 5.9.0, e se \u201catualizarmos\u201d o cliente para uma vers\u00e3o mais antiga? E funcionou: a atualiza\u00e7\u00e3o antiga tinha um certificado digital leg\u00edtimo, e a vers\u00e3o n\u00e3o foi verificada durante a instala\u00e7\u00e3o.<\/p>\n<h2>Qual \u00e9 o problema?<\/h2>\n<p>A pesquisa de Patrick Wardle mostra como \u00e9 importante garantir a entrega e instala\u00e7\u00e3o de atualiza\u00e7\u00f5es. Al\u00e9m disso, a hist\u00f3ria deste bug demonstra claramente como os desenvolvedores de software muitas vezes tentam resolver um problema por meio de alguma simples mudan\u00e7a sem entend\u00ea-lo em detalhes. No in\u00edcio (mesmo antes de Wardle relatar o problema ao Zoom), em dezembro de 2021, eles venceram uma vers\u00e3o mais simples de um ataque usando substitui\u00e7\u00e3o trivial de arquivos e ignorando a valida\u00e7\u00e3o do certificado.<\/p>\n<p>Depois que a vulnerabilidade foi relatada, em abril de 2022, eles impossibilitaram a op\u00e7\u00e3o \u201cdowngrade\u201d \u2014 a instala\u00e7\u00e3o de uma vers\u00e3o mais antiga e vulner\u00e1vel do Zoom por meio do mecanismo de entrega de atualiza\u00e7\u00e3o padr\u00e3o. Mas foi s\u00f3 em julho de 2022, seis meses ap\u00f3s o relat\u00f3rio de Wardle, que o mecanismo de valida\u00e7\u00e3o do certificado digital foi reparado.<\/p>\n<p>Isso, no entanto, n\u00e3o resolveu completamente o problema. Claro, os dois m\u00e9todos de ataque mais simples foram removidos do arsenal dispon\u00edvel para invas\u00e3o: substituir o arquivo de atualiza\u00e7\u00e3o por malware e fazer downgrade para uma vers\u00e3o vulner\u00e1vel.<\/p>\n<p>Mas havia outro problema: um arquivo de atualiza\u00e7\u00e3o executado com privil\u00e9gios de superusu\u00e1rio poderia ser modificado por qualquer pessoa com acesso ao computador! Um invasor s\u00f3 precisava encontrar uma maneira de colocar um arquivo malicioso no instalador zoom no momento certo: depois que a assinatura digital foi validada, mas antes da instala\u00e7\u00e3o come\u00e7ar. E funcionou.<\/p>\n<p>Consequentemente, quando Patrick Wardle entregou suas descobertas no DEF CON 30 em agosto de 2022 \u2014 oito meses depois de relatar o problema ao Zoom \u2014 a vulnerabilidade ainda n\u00e3o estava completamente corrigida! Apenas em 17 de agosto, cinco dias ap\u00f3s o relat\u00f3rio de Patrick, os desenvolvedores finalmente resolveram o problema. No entanto, esta declara\u00e7\u00e3o precisa ser verificada.<\/p>\n<h2>Hackers e desenvolvedores lutam de lados opostos<\/h2>\n<p>Ao ler o relat\u00f3rio de Patrick Wardle n\u00e3o podemos deixar de nos perguntar por que tem que ser assim. Como essas vulnerabilidades muitas vezes simples surgem em partes cr\u00edticas do software, e por que, mesmo ap\u00f3s um problema ser relatado, elas s\u00e3o fechadas apenas oito meses depois e na terceira tentativa? N\u00e3o queremos acusar injustamente os desenvolvedores de incompet\u00eancia.<\/p>\n<p>Em todos os programas, bugs e erros aparecem de tempos em tempos. E se todos os programadores que cometerem erros forem alvos de julgamento, certamente o problema n\u00e3o resolver\u00e1 o: eles s\u00e3o os \u00fanicos desenvolvedores que o mundo tem.<\/p>\n<p>Talvez a raz\u00e3o seja que hackers de <em>white-hat<\/em> (que relatam suas descobertas para fornecedores) e cibercriminosos (que exploram bugs para atacar usu\u00e1rios e lucrar) t\u00eam prioridades diferentes em compara\u00e7\u00e3o com desenvolvedores de software. Quando voc\u00ea desenvolve um programa, \u00e9 vital que ele realize centenas de tarefas diferentes corretamente.<\/p>\n<p>Sua prioridade \u00e9 colocar os usu\u00e1rios em sua zona de conforto, o que significa, no caso do Zoom, boa qualidade de comunica\u00e7\u00e3o e compatibilidade com diferentes sistemas operacionais e milhares de dispositivos, antigos e novos.\u00a0Enquanto o hacker precisa \u00e9 encontrar um bug que pode ser usado para truques malicioso. Agora imagine que algu\u00e9m te informa de uma vulnerabilidade.<\/p>\n<p>Sim, voc\u00ea precisa corrigi-la, mas sem destruir o delicado sistema de software que est\u00e1 em funcionamento. Voc\u00ea tem que test\u00e1-lo em centenas de configura\u00e7\u00f5es diferentes. Naturalmente, o desenvolvedor quer resolver o problema com modifica\u00e7\u00f5es m\u00ednimas. E isso muitas vezes n\u00e3o \u00e9 suficiente.<\/p>\n<p>Os programas se mais seguros incrementalmente, a cada pequena <em>patch<\/em>. Voc\u00ea n\u00e3o pode resolver absolutamente todos os problemas e criar um aplicativo ideal de forma simples. Ou melhor, voc\u00ea pode, mas s\u00f3 come\u00e7ando do zero. Mas alguns elementos cr\u00edticos devem ser mantidos da melhor maneira poss\u00edvel, e o sistema de entrega de atualiza\u00e7\u00f5es \u00e9 definitivamente um deles.<\/p>\n<p>N\u00f3s, usu\u00e1rios, precisamos confiar nos programas que instalamos em nossos computadores. E nesse sentido, a hist\u00f3ria das vulnerabilidades do Zoom \u00e9 um exemplo positivo de um pesquisador independente e desenvolvedores trabalhando juntos para resolver um problema. Isso demonstra claramente a atitude respons\u00e1vel dos especialistas em tecnologia.<\/p>\n<p>Encerramos essa hist\u00f3ria com um lembrete importante: o malware geralmente entra em um computador durante a primeira instala\u00e7\u00e3o de software. Portanto, \u00e9 importante verificar se as aplica\u00e7\u00f5es foram baixadas de fontes oficiais, como pelas lojas de aplicativos, e em nenhuma circunst\u00e2ncia os downloads de programas tenham sido feitos de sites suspeitos. Caso contr\u00e1rio, h\u00e1 uma chance de seus dados serem roubados por meio de m\u00e9todos muito simples \u2013 sem a necessidade de explorar vulnerabilidades sofisticadas no software oficial.<\/p>\n<p><a href=\"https:\/\/www.kaspersky.com.br\/small-to-medium-business-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" class=\"aligncenter wp-image-15249 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2017\/10\/20132805\/most-tested-most-awarded-desktop-br.png\" alt=\"Mais testado Mais premiado\" width=\"1340\" height=\"400\"><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Aprendizados para n\u00e3o esquecer da DEF CON 30: vulnerabilidade no Zoom para macOS.<\/p>\n","protected":false},"author":665,"featured_media":20012,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[20,1643,160,2187,267],"class_list":{"0":"post-20011","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-apple","11":"tag-def-con","12":"tag-macos","13":"tag-videoconferencia","14":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/defcon30-zoom-vulnerability\/20011\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/defcon30-zoom-vulnerability\/24561\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/defcon30-zoom-vulnerability\/20027\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/defcon30-zoom-vulnerability\/27010\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/defcon30-zoom-vulnerability\/24918\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/defcon30-zoom-vulnerability\/25259\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/defcon30-zoom-vulnerability\/27616\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/defcon30-zoom-vulnerability\/33925\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/defcon30-zoom-vulnerability\/11012\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/defcon30-zoom-vulnerability\/45420\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/defcon30-zoom-vulnerability\/19410\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/defcon30-zoom-vulnerability\/29272\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/defcon30-zoom-vulnerability\/25412\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/defcon30-zoom-vulnerability\/30967\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/defcon30-zoom-vulnerability\/30663\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20011","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=20011"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20011\/revisions"}],"predecessor-version":[{"id":20014,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20011\/revisions\/20014"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/20012"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=20011"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=20011"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=20011"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}