O escaneamento do Verificador de Wi-Fi do Avast alerta se o próprio computador do usuário (ou algum da sua rede) está vulnerável ao WannaCry ou ao Adylkuzz.
Escanear um computador utilizando o Verificador de Wi-Fi do Avast pode revelar se o computador pode ser alvo de ataques, se já está infectado por um exploit (implante ou sequência de comandos), ou se algum computador da rede está infectado, independente se esse computador tem ou não o Avast instalado.
As recentes crises do WannaCry e do Adylkuzz foram possíveis devido a um exploit conhecido como EternalBlue. Ele abusa da falha MS17-010 da função de compartilhamento de arquivos e impressoras do Windows (tecnicamente, do protocol SMS). O WannaCry e o Adylkuzz atacam qualquer pessoa que não atualizou o Windows para corrigir essa falha. A Microsoft lançou essa atualização em março.
Os usuários do Windows XP estão especialmente vulneráveis a esses ataques, porque o sistema operacional não recebe atualizações de segurança desde 2014. Devido a esses ataques, a Microsoft lançou uma atualização extra para os Windows mais antigos.
Muitos dos computadores ainda podem ser atacados
Os dados dos escaneamentos do Verificador de Wi-Fi do Avast (entre 8 e 18 de maio) mostram que computadores em todo o mundo ainda estão vulneráveis ao EternalBlue (o Brasil não é uma exceção, veja no mapa acima). Desde o dia 12 de maio, o número de computadores que não corrigiram a falha diminuiu, mais ainda assim há muitos que continuam potenciais alvo de ataque de malwares, como o ransomware WannaCry e o Adylkuzz.
A média mundial dos computadores que ainda contêm a falha segundo o sistema operacional Windows que utilizam é:
- Windows XP: 74,23%
- Windows Vista: 68,11 %
- Windows 7: 54,84%
- Windows 8: 21,89%
- Windows 10: 4,22%
O que são o EternalBlue e o DoublePulsar?
O EternalBlue se refere a um antigo bug (erro ou problema) no código do Windows que vem se arrastando desde o Windows XP. O bug permite que os atacantes executem remotamente seus códigos através do compartilhamento de arquivos e impressoras do Windows. O bug (ou exploit) provavelmente foi descoberto pela agência de espionagem americana NSA, que lhe batizou de EternalBlue e o manteve em segredo. Desde que foi revelado à Microsoft, a falha também passou a ser chamada tecnicamente de CVE-2017-0143.
A NSA criou uma ferramenta de penetração através do EternalBlue com o objetivo de manter os computadores “monitorados” e, de fato, verifica-los de tempos em tempos, sem deixar rastro de estar fazendo isso. Com o DoublePulsar, que a partir dos nossos dados de escaneamento do Verificador de Wi-Fi está presente em 22.814 computadores dos nossos usuários, os criminosos podem infectar um computador através da internet. Nenhuma ação do usuário é necessária: o aparelho só precisa ter a função de compartilhamento de arquivos e impressoras habilitada e estar conectado a uma rede. O DoublePulsar permanece no computador infectado e segue os comandos que receber dos criminosos: ele pode baixar e executar qualquer ferramenta de espionage ou malware que for mandado.
Você pode pensar nesse bug no protocolo de compartilhamento de arquivos e impressoras como uma falha de projeto em uma porta da sua casa, que cria um vão entre a porta e o batente. Essa porta está instalada em milhões de residências em todo o mundo. O erro de projeto deixa vulneráveis as casas. O exploit EternalBlue é a cunha que entra no vão e consegue abrir a porta. O DoublePulsar impede que a porta se feche e a mantém aberta indefinidamente, o que permite que qualquer pessoa possa abrir a porta e entrar na sua casa.
O DoublePulsar e o EternalBlue foram vazados da NSA no dia 17 de abril de 2017. Antes disso, em Março, a Microsoft havia lançado uma atualização para corrigir e fechar a falha EternalBlue (a MS17-010).
No dia 12 de maio de 2017, o ransomware WannaCry, espalhando-se através de um worm (malware autoreplicante), se aproveitou do EternalBlue e do DoublePulsar para aterrorizar o mundo.
O que podemos fazer?
Para descobrir se o seu computador está vulnerável, baixe o Avast (se você ainda não o utiliza) e execute o escaneamento do Verificador de Wi-Fi assim: abra o antivírus Avast, clique na aba “Proteção”, depois em “Verificador de Wi-Fi” e clique em “Escaneamento de rede”.
Se o escaneamento mostrar o seu computador ou qualquer outro da sua rede (mesmo os computadores que não tenham o Avast instalado) como “Vulnerável ao WannaCry/DoublePulsar”, clique no botão “Siga o guia” ou visite o centro de ajuda do Avast para ver um guia passo a passo de como atualizar o Windows e corrigir a falha.
Postagem e pesquisa de Pavel Sramek, David Jursa e Lukas Rypacek