O impacto dos Bug Bounties e pesquisa de vulnerabilidade no mundo real

Administrar o programa de bug bounty agnóstico do maior fornecedor do mundo vem nos proporcionando a oportunidade única de adquirir bugs de todos os tipos. As inscrições no programa Iniciativa Dia Zero (ZDI) variam em gravidade desde levemente irritante até altamente impactante. Não conseguiríamos isso de nenhuma outra maneira. Em geral, o objetivo do programa de bug bounty é adquirir o máximo de bugs possível. O que acontece com os bugs depois de adquiridos muda dependendo do programa de bounty. No ZDI, trabalhamos não só para eliminar esses bugs, o que é algo que fazemos em proporção maior do que as outras organizações, mas também temos o objetivo de interromper o uso de exploradores utilizados em ataques avançados.

É claro, a detecção e a defesa contra ameaças avançadas persistentes têm seus próprios desafios. É raro que cenários do mundo real sejam revelados sem um momento de resposta à crise; recentemente, as ferramentas do WikiLeaks declaradamente usadas pelas agências do governo dos Estados Unidos ofereceram um exemplo primordial dos métodos de ataque de alteração do programa ZDI. Na verdade, se os dados providos pelo WikiLeaks são verdadeiros, o Serviço de Inteligência foi forçado a mudar seu conjunto de ferramentas operacionais para explorara alvos com base em ações tomadas pelo ZDI.

Em 2010, o mundo conheceu o vírus Stuxnet após ter causado um dano substancial às centrífugas do programa nuclear iraniano. No seu núcleo, o Stuxnet tinha três partes: um rootkit para se esconder, um verme para executar a carga útil do seu ataque, e um link em arquivo que é executado automaticamente para espalhar cópias do verme. A Microsoft lançou vários patches de segurança diferentes em resposta, incluindo o MS10-046, para solucionar a vulnerabilidade dos arquivos de link. Esse patch permitiu uma verificação em whitelist para garantir que somente os arquivos aprovados poderiam ser usados, e muitos acreditaram que a implementação havia sido bem-sucedida. No entanto, segundo os documentos publicados no WikiLeaks, uma ferramenta chamada “EZCheese” explorava um bug similar em arquivos de link até 2015. Essa mudança é resultado de um conjunto de bugs vindos através do programa ZDI que demonstrou que o patch MS10-046 havia falhado. Isso forçou uma mudança nas táticas operacionais para o que era então uma “uma vulnerabilidade de arquivo de link desconhecido (Lachesis/RiverJack) relacionado à funcionalidade library-ms do sistema operacional. Apesar de não declarado explicitamente pela Microsoft, este outro bug de arquivo de link provavelmente foi corrigido com o lançamento do CVE-2017-8464.

Segundo os documentos publicados, ambos o EZCheese e seu sucessor Brutal Kangaroo foram projetados para atacar redes com air gap similar ao Stuxnet. O que alguns podem não perceber é que o arquivo de link também poderia estar hospedado em um drive remoto visualizável pelo alvo.

Quando o ZDI adquire um bug, não é apenas reportado para o fornecedor para solucionamento. As informações sobre o bug são fornecidas para o Digital Vaccine® Labs (DVLabs) na Trend Micro. O laboratório então produz um filtro DV para a vulnerabilidade que permite que os clientes do TippingPoint se protejam enquanto o fornecedor desenvolve um patch para lançamento mais abrangente. E si, após a implantação deste filtro (Digital Vaccine Filter® 9340), ataques foram vistos na Europa, América do Sul e Singapura. Ao mesmo tempo em que é impossível saber a intenção ou as circunstâncias envolvendo esses filtros sendo acionados, a baixa qualidade indica que estes eram prováveis alvos de ataques.

Arquivos anteriores do ShadowBrokers demostram que esta não é a primeira que isso acontece. A vulnerabilidade usada pelo explorador referida como “Ewok Frenzy” foi submetida ao programa ZDI em 2007. Apesar de um patch ter sido disponibilizado para o explorador, este patch foi declaradamente usado por quase uma década após nossa revelação inicial. Os bug bounties (caçadores de bugs) mostram seu valor quando eliminam vulnerabilidades com sucesso. Sem dúvidas, o programa ZDI elimina os bugs. De fato, já lançamos 452 relatórios consultivos este ano (até 5 de julho) com mais 413 em fila aguardando publicação. Cada um deles representa um bug descoberto. Em alguns casos, as técnicas de exploração necessárias para explorar um bug também podem ser filtradas. Por exemplo, outra vulnerabilidade listada nos documentos, EasyBee, funcionava da mesma maneira que o Ewok Frenzy, assim, o DV Filter implementado cobria os dois ataques.

Você pode questionar a veracidade destes dumps ou se estes exploradores realmente um dia estiveram à solta, mas a pressa dos fornecedores em produzir patches é inegável. Os dumps mostram que os adversários têm uma complexidade e sofisticação que demandam vigilância constante dos defensores da rede. Também mostra como a pesquisa dedicada de vulnerabilidade combinada com um programa de bug bounty reconhecido mundialmente aumenta a segurança para todos mudando a superfície de ataque. É verdade que há uma diferença entre as vulnerabilidades do dia zero e os ataques do dia zero, o valor de ter uma proteção contra bugs antes de serem revelados é impagável. O número de bugs de software revelados em todo o mundo continua aumentando ano a ano. A Iniciativa Dia Zero continuará adquirindo e pesquisando as vulnerabilidades do dia zero e trabalhando junto aos fornecedores para aumentar a postura de segurança geral de seus produtos. Talvez nunca conseguiremos eliminar totalmente os exploradores marsupiais patrocinados pelo governo, mas temos certeza de que podemos dificultar isso para eles.