A NSA (Agência Nacional de Segurança dos EUA) divulgou uma grande vulnerabilidade nas versões mais recentes do Windows 10 e Windows Server 2016 para a Microsoft, que lançou correções para o problema na terça-feira (14), informou o MIT Technology Review.

Se você tem um computador com Windows 10, é melhor atualizá-lo o quanto antes; se você for administrador de rede com servidores Windows Server 2016, o aviso também se aplica a você.

A entidade americana deu um passo incomum (para uma agência de inteligência) de divulgar um comunicado à imprensa sobre o assunto, escrevendo que a vulnerabilidade crítica que afetava a principal funcionalidade de criptografia do Windows permitiria que “invasores invadissem conexões de rede confiáveis e entregassem código executável enquanto aparecessem como entidades legitimamente confiáveis”.

Isso poderia possivelmente comprometer recursos de segurança incluindo conexões HTTPS, arquivos e e-mails assinados e “códigos executáveis assinados iniciados como processos no modo de usuário”, segundo a NSA.

A NSA adicionou em seu comunicado que “avalia a vulnerabilidade como severa e que sofisticados cibercriminosos entenderão como explorar a falha rapidamente, e se ela for explorada, tornaria as plataformas previamente mencionadas como vulneráveis”.

No entanto, a agência afirmou não ter evidência de que alguém realmente tenha usado a falha. A Microsoft também disse que não viu nada que levasse a acreditar que a vulnerabilidade foi explorada com sucesso, escreveu o MIT Technology Review.

O comunicado da NSA também continha um guia para os administradores de rede impedirem e detectarem possíveis usos da vulnerabilidade, além de pedir que eles priorizassem “patches que fornecem serviços essenciais ou amplamente respondidos”. No aviso, a agência acrescentava que os administradores também deveriam priorizar os pontos de extremidade “diretamente expostos à internet” ou que são rotineiramente usados por pessoas com privilégios administrativos.

O blogueiro de segurança Brian Krebs mencionou rumores que a Microsoft estava correndo para corrigir o problema com crypt32.dll, o módulo do Windows que lida com criptografia, na segunda-feira (13).

As fontes de Krebs disseram que a vulnerabilidade poderia ser usada para falsificar assinaturas digitais vinculadas a compilações de software específicas, permitindo que os invasores induzam os usuários a acreditar que programas infectados por malware eram software legítimo. A diretora de segurança cibernética da NSA, Anne Neuberger, disse a repórteres que esta foi a primeira vez que a Microsoft creditou publicamente a agência por detectar uma falha de software, de acordo com Krebs.

É difícil subestimar o impacto potencial desse bug, que pode permitir que os invasores obtenham o controle de centenas de milhões de máquinas executando o Windows 10 ou Windows Server 2016.

O diretor de segurança do Mongo DB e o diretor do Open Crypto Audit Project disseram à Wired que isso poderia ter “consequências catastróficas”, dependendo de “quais cenários e pré-condições são necessárias, ainda estamos analisando”.

Ex-funcionário da NSA e fundador da Rendition Infosec Jake Williams disse ao TechCrunch que a falha é adequada para fins de espionagem e agia essencialmente como uma “chave mestra para contornar vários controles de segurança”.

Tanto NSA quanto a Microsoft mantiveram uma barreira rígida sobre a vulnerabilidade, disseram fontes ao TechCrunch, e lançaram patches para organizações governamentais, militares e da indústria antes que a correção fosse lançada ao público geral nesta terça-feira (14).

O MIT Technology Review relatou que isso parece fazer parte de uma mudança prática anterior da NSA para simplesmente registrar o bug e explorá-lo para fins de inteligência e em direção à defesa cibernética.

A NSA lançou uma Diretoria de Segurança Cibernética no final do ano passado com a intenção declarada de alinhar a segurança cibernética defensiva com suas operações de coleta de inteligência estrangeira, além de proteger as redes industriais e de defesa dos EUA contra invasões.

Provavelmente também não prejudica que a correção do bug possa ajudar a reabilitar a reputação da NSA após o fiasco EternalBlue, no qual uma exploração vazada da NSA foi usada para permitir ondas de ransomware em todo o mundo.

“Queremos uma nova abordagem para compartilhar, construir confiança com a comunidade de segurança cibernética”, disse Neuberger a repórteres, segundo o MIT Technology Review. “Este é um aspecto fundamental disso”.

“Uma parte da construção da confiança está mostrando os dados”, acrescentou Neuberger. “Enviamos vulnerabilidades há muito tempo, mas nunca permitimos a atribuição e, como resultado, é difícil para as entidades confiarem em nós. A segunda parte da decisão é que queremos avançar para aconselhar redes críticas de infraestrutura, para aumentar a conscientização. Para fazer isso, sabíamos que tínhamos que ser muito transparentes quanto a isso”.

“Não se engane, no entanto; a NSA continuará acumulando falhas importantes e usá-las para atingir seus objetivos”, disse Rick Holland, diretor de segurança da informação da Digital Shadows, uma empresa sediada em San Francisco, ao Guardian.