O grupo de pesquisadores Zero Day Initiative (ZDI) da Trend Micro identificou a exploração de uma vulnerabilidade no Windows que permite aos atacantes executar comandos ocultos por meio de arquivos LNK. Esse ataque foi identificado em aproximadamente 1000 amostras de arquivos desse tipo espalhadas pela internet e há indícios de que, pelo menos, 11 grupos de espionagem da Coreia do Norte, Irã, Rússia e China vêm abusando do problema desde 2017.

Por mais que você talvez nunca tenha ouvido falar de arquivos LNK, se for usuário do sistema operacional Windows, saiba esta é uma coisa com a qual você interage todo santo dia. LNKs são os arquivos de ícone, usados para fazer o “link” – de onde vem o nome da extensão LNK – entre um ícone que vai aparecer no computador e um arquivo qualquer: pode ser uma planilha, um desenho, ou um software instalado no computador local ou em um servidor do outro lado do mundo.

Quando você instala um software, os ícones já vêm todos configurados, mas tudo isso pode ser parametrizado, clicando com o botão direito do mouse no ícone, depois em propriedades, em shortcut e digitando o caminho na linha target, conforme o exemplo abaixo

Acontece que os LNKs permitem usos muito mais expertos do que isso, abrindo espaço para que o campo target seja preenchido não somente com o caminho onde ele vai encontrar o Microsoft Word, mas também com comandos complexos, pequenos programinhas mesmo, que são muito usados por criminosos (ou grupos mantidos por governos) para cumprir com atividades importantes no processo de infecção por um malware. O adversário espera que, ao clicar duas vezes no ícone, a vítima desencadeie o ataque.

O que essa descoberta da Trend assinala é que aquilo que já é ruim ainda pode ser pior. Pois o campo target dos LNKs também pode ser usado para esconder comandos, os quais só podem ser encontrados com ferramentas que inspecionam o interior do LNK, algo que não faz parte da rotina das pessoas que não são de TI. Assim, para quem olha só o campo target, o ícone pode parecer inofensivo.

Notificada pela Trend, a Microsoft classificou o problema como de baixo risco e ainda não sabemos se (ou quando) veremos alguma atualização que o corrija.

Empresas que possuem produtos de proteção um pouco mais avançados, como os XDRs (Extended Detection and Response) têm à sua disposição configurações que bloqueiam o “abuso de LNK”, feitas para interromper esse tipo de comportamento malicioso. No entanto, para usuários domésticos, a chave para se protegerem desse tipo de ataque é estar atento e não reagir. Explico.

Reagir sem pensar é tudo o que o atacante quer de você: que fique curioso e reaja clicando no link de um aplicativo de mensagens; que fique irritada e engaje com uma postagem, baixando e abrindo um anexo suspeito; que fique excitado e estabeleça contato com um perfil de aparência duvidosa em uma rede social, ou que se sinta importante por ter recebido um pacote de documentos de um suposto embaixador, no qual há um LNK malicioso.

Onde houver reflexão, não há espaço para a pura reação. Reflita, não reaja.

No Horizonte

1. Quer ter uma idéia do desespero que é ser “o paciente zero” de um ataque cibernético que nasceu de um erro no contexto doméstico e chegou um ambiente corporativo? Ouça a entrevista de Matthew Van Andel, ex-funcionário da Disney, que só queria baixar uma ferramenta da IA para brincar com umas fotos e acabou sendo o pivô do maior vazamento de dados da empresa.

2. Adversários estão explorando duas vulnerabilidades críticas em um produto da Cisco, chamado Smart Licensing Utility. As falhas foram catalogadas como CVE-2024-2439 e CVE-2024-2440 e tornam possível a um atacante remoto se logar por meio de uma credencial estática com privilégios administrativos no produto e obter acesso à informação sensível do sistema.

   Manter credenciais de acesso estáticas em software é o tipo de gambiarra que, há muito tempo, é desestimulado profissionais de segurança, frameworks, normas, padrões, médiuns, sacerdotes, escritos em pedra deixados por extraterrestres, entidades galáticas e outros… Isso porque, basta o adversário obter essa senha chumbada no software, para que ele possa atacar todas as instalações do produto no mundo todo. Desejar o mal para as pessoas é pouco estóico e envenena a alma, mas minha imaginação vaga quando vejo casos como esse.

Link aleatório

“Tenho que pegar, tenho que pegar, essa criatura”. O modelo de inteligência artificial Claude 3.7 Sonnet tem sofrido em um experimento no qual o botaram para jogar uma versão clássica de Pokémon.

Você pode assistir essa batalha ao vivo no Twitch, mas segundo o pessoal do Futurism, que está acompanhando isso há mais tempo, parece que a coisa tá um tanto monótona. O Claude "conseguiu chegar surpreendentemente longe no jogo, conquistando três emblemas de Gym e alcançando, a partir desta semana, Cerulean City. Mas ele avança em um ritmo meticulosamente lento, parando para "pensar" após cada movimento, às vezes por intervalos mais longos do que outros. Por quase 80 horas agonizantes, por exemplo, Claude andou sem noção pelo Mt. Moon, antes de finalmente encontrar a escada que precisava para escapar. Os espectadores do Twitch deram um suspiro de alívio.”

É tudo nosso!!!!… E do Paraguai. O IEEE, reconheceu Itaipú como uma espécie de maravilha da engenharia. É pra se orgulhar, pois aquilo é um gigante da capacidade de invenção, planejamento e cooperação humana. Deixo vocês com um trecho do texto da IEEE:

“A construção da usina de Itaipu começou em 1975 como um empreendimento conjunto Brasil-Paraguai. Quando a geração de energia começou em 1984, a Itaipu estabeleceu um recorde mundial para a maior capacidade hidrelétrica instalada (14 GW). Por pelo menos três décadas, a Itaipu produziu mais eletricidade anualmente do que qualquer outro projeto hidrelétrico. Ligando usinas de energia, subestações e linhas de transmissão no Brasil e no Paraguai, o sistema da Itaipu forneceu energia confiável e acessível aos consumidores e à indústria.

“The Sun is the same, in a relative way, But you're older”. Símbolos vem, símbolos vão e alguns deles se tornam relíquias. Foi o que aconteceu com a segunda e última marca do antigo Twitter que estava instalada na fachada da sede da empresa até o takeover de Elon Musk. O pássaro (um trambolho de quase 4 metros) foi arrematado em um leilão por US$ 34 mil.

O símbolo, que irá decorar a casa de um comprador anônimo, marca ao fim da era de ingenuidade das redes sociais, em que era verossímil pensar que elas conectavam pessoas e só se beneficiavam com publicidade.

Nota: Semana que vem não vai ter TLP Black. Estarei dedicado a outras coisas. Volto em abril.