Microsoft se Mantém em Silêncio Sobre Exploração de Vulnerabilidades Zero-Day

A Microsoft recentemente disponibilizou correções para vulnerabilidades zero-day em duas bibliotecas open source populares que impactam vários de seus produtos, incluindo Skype, Teams e o navegador Edge. No entanto, a gigante da tecnologia ainda não confirmou se essas vulnerabilidades foram exploradas para mirar seus produtos ou se a empresa tem essa informação.

Identificadas como zero-days, pois os desenvolvedores não foram notificados com antecedência para corrigir os bugs, essas vulnerabilidades foram descobertas no mês passado. Segundo pesquisadores do Google e do Citizen Lab, ambas foram ativamente exploradas para direcionar indivíduos com spyware.

Os bugs foram identificados nas bibliotecas open source webp e libvpx. Ambas são amplamente utilizadas em navegadores, aplicativos e telefones para processar imagens e vídeos. Devido à prevalência dessas bibliotecas e ao alerta de que estavam sendo usadas para instalar spyware, diversas empresas de tecnologia, fabricantes de telefones e desenvolvedores de aplicativos se mobilizaram para atualizar as bibliotecas vulneráveis em seus produtos.

O que diz a Microsoft?

Em um comunicado divulgado na segunda-feira, a Microsoft confirmou que implementou correções para as vulnerabilidades nas bibliotecas webp e libvpx integradas em seus produtos e reconheceu que existem explorações para ambas.

Ao ser procurada para comentar o assunto, um representante da Microsoft preferiu não confirmar se seus produtos foram explorados em ataques reais ou se a empresa possui tal informação.

Já no início de setembro, pesquisadores do Citizen Lab revelaram que haviam encontrado indícios de que clientes do Grupo NSO, usando o spyware Pegasus da empresa, exploraram uma vulnerabilidade no software de um iPhone atualizado e corrigido.

Correções

Segundo o Citizen Lab, o bug na biblioteca webp, que a Apple integra em seus produtos, foi explorado sem necessidade de qualquer ação do proprietário do dispositivo. Diante disso, a Apple implementou correções de segurança para iPhones, iPads, Macs e Watches e admitiu que a vulnerabilidade pode ter sido explorada por hackers desconhecidos.

O Google, que usa a biblioteca webp no Chrome e em outros produtos, também começou a corrigir o bug em setembro. A Mozilla, por sua vez, responsável pelo navegador Firefox e pelo cliente de email Thunderbird, também implementou a correção em seus aplicativos.

Posteriormente, pesquisadores de segurança do Google identificaram outra vulnerabilidade na biblioteca libvpx. O Google lançou uma atualização para corrigir essa vulnerabilidade no Chrome logo em seguida. A Apple, não ficando para trás, também disponibilizou uma atualização de segurança para iPhones e iPads.

Concluindo, ficou evidente que a vulnerabilidade zero-day em libvpx também afeta os produtos da Microsoft. Contudo, ainda não se sabe se hackers conseguiram explorá-la contra os usuários desses produtos.