Um código utilizado por invasores para quebrar completamente quaisquer versões do pcAnywhere, da Symantec, e do Windows, sem ter que autenticar a máquina antes, foi publicado na última semana, no Pastebin. O algoritmo foi revelado pelo diretor de pesquisa de segurança da Alert Logic, Johnathan Norman.
Anunciado como um “PCAnywhere Nuke”, o código Python pode ser usado para criar um denial of service (DoS) ao desbloquear o “serviço ashotst32”. Norman afirmou que a exploração funciona até mesmo contra a versão completamente corrigida do pcAnywhere (versão 12.5.0 incorporada no 463 e versões anteriores).
A Symantec afirmou – por meio de Katherine James, porta-voz da empresa – que “está ciente e investiga as alegações, mas no momento não temos informações adicionais”.
No mês passado, a companhia recomendou que os usuários desabilitassem o pcAnywhere, a não ser que ele fosse absolutamente indispensável, até que a empresa lançasse uma correção (o que ocorreu no mês passado), para avaliar a vulnerabilidade crítica que permitia aos invasores executarem código arbitrário remoto em PCs de clientes.
Mas parece que essa não foi a única falha que os pesquisadores recentemente revelaram. “Trabalhando na vulnerabilidade do PCAnywhere publicada há algumas semanas, me deparei com outras falhas. Não tenho certeza do que fazer com todas elas”. Afirmou Norman em seu blog.
Há também preocupações sobre a segurança da ferramenta de acesso remoto desde que a empresa confirmou que seu código fonte para o aplicativo foi roubado em 2006. O roubo só foi descoberto depois que um grupo de invasores – Lords of Dharmaraja – lançou no mês passado o que diziam ser um retalho do código fonte do Norton Utilities no Pastebin.
Desde então, funcionários da empresa disseram que invasores tentaram chantageá-los, oferecendo não lançar o código fonte em troca de US$ 50 mil. Após a recusa do pagamento, o código foi compartilhado com o grupo Anonymous, que prontamente o lançaram por meio do BitTorrent.
A preocupação agora gira em torno do código fonte amplamente disponível. Com isso, os invasores podem identificar ataques zero-day que permitam o controle do pcAnywhere.
Surpreendentemente, a pesquisa de Norman foi realizada sem o uso do código fonte. “Se o tivesse, poderia ter problemas legais com a Symantec”, mas graças ao vazamento, “ele agora é open source, o que resultará em muitas outras vulnerabilidades sendo lançadas…”.
Essa preocupação aumentou na sexta-feira (17/02), depois que uma análise anônima do pcAnywhere apareceu no site da Infosec Institute. Além disso, o código inclui o código fonte completo do LiveUpdate no Windows, Macintosh e Linux.
Segundo a análise, o código fonte que vazou em 2006 também inclui a documentação do pcAnywhere versões 9.2 até 12.0.2. Segundo essas datas, “uma quantidade surpreendente do dele se origina de uma versão de dez anos atrás com somente algumas mudanças para acomodar as novas versões Windows”.
Tradução: Alba Milena, especial para o IT Web | Revisão: Thaís Sabatini
Saiba mais:
Roubo do código-fonte da Symantec: quais os riscos envolvidos?
Symantec: usuários devem desabilitar PCanywhere agora
Hacker posta código-fonte do pcAnywhere, da Symantec, no Pirate Bay
O Sberbank, maior banco da Rússia, está oferecendo modelos de inteligência artificial (IA) a países…
A Palo Alto Networks registrou forte aumento na procura de clientes por orientações sobre segurança…
O iFood confirmou nesta terça-feira (03) o vazamento de dados cadastrais de aproximadamente 1,2 milhão…
O CEO da OpenAI, Sam Altman, participará da cúpula do G7 na França em junho,…
A segurança digital passou a ocupar posição central na decisão dos brasileiros ao escolher uma…
A terceirização das operações de segurança cibernética vem se consolidando como estratégia predominante entre as…