Windows: NSA deteta falha crítica de segurança e Microsoft corrige

A Agência Nacional de Segurança dos Estados Unidos (NSA) descobriu uma falha crítica de segurança no Windows 10 que podia ser explorada por piratas informáticos para criar software malicioso com aparência de ser legítimo. Ato contínuo, a Microsoft liberta atualização.

A vulnerabilidade foi detetada num componente central do software de encriptação do Windows conhecido como crypt32.dll, um ficheiro de execução que permite aos desenvolvedores de software acederem a diversas funções, tais como certificados digitais para assinar software.

O assunto foi tornado público numa conferência de imprensa da NSA. Alertada pela agência governamental sobre o erro (bug), a fabricante de software disponibilizou a atualização de segurança (patch) para corrigir o problema, recomendando aos utilizadores para serem expeditos na implementação da atualização de segurança.

Anne Neuberger, diretora de Cibersegurança da NSA, disse à imprensa que a falha evidenciada “transforma a confiança em vulnerabilidade”.

Segundo a cadeia BBC, Brian Krebs, o perito em segurança que primeiro reportou internamente o erro, terá relatado que a fabricante distribuiu previamente a atualização de segurança por várias unidades militares e altas patentes de organismos de segurança dos EUA antes de a libertar para os consumidores em geral, no mesmo dia em que a agência governamental fez o anúncio da deteção do erro. Esta falha é “extraordinariamente assustadora”, relatou Krebs.

A NSA terá feito o anúncio público da vulnerabilidade alegadamente a pedido da própria Microsoft. Por seu lado, através de um comunicado, a fabricante do Windows reconheceu a gravidade do erro de segurança e adiantou não existirem registos de que a vulnerabilidade tenha sido explorada por hackers, o que também foi corroborado pela NSA.

Os utilizadores que fizeram a atualização ou utilizem versões do Windows 10 com atualizações automáticas ativadas estarão protegidos. Quem tiver de as instalar manualmente, deve aceder à página da companhia [https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601], procurar o separador “Security Updates” e escolher a versão correspondente ao seu sistema operacional e descarregar.

Um dos casos mais dramáticos ligados a este tipo de ferramentas do cibercrime para passar malware ficou conhecido por WannaCry em 2017, ao qual seguiram notícias de algum mal-estar institucional entre a Microsoft e a NSA.

Este ciberataque – caracterizado pela utilização de um programa malicioso (‘worm’) com maior capacidade de disseminação do que um vírus – limpou e destruiu dados e ficheiros de milhares de máquinas que funcionavam com o sistema Windows, causando estragos globais em cerca de 200.000 computadores em mais de 150 países, segundo números divulgados na altura pela Europol.