Atualizado em 15 de setembro com o novo e malicioso ataque “modo quiosque” do Chrome.
Foram algumas semanas movimentadas para o Chrome, com muitas notícias para seus 3 bilhões de usuários digerirem. E então seria muito fácil esquecer que um prazo de atualização que se aproxima rapidamente está agora a apenas 72 horas de distância. O Google confirmou que os invasores exploraram ativamente duas vulnerabilidades perigosas do Chrome, e os usuários não devem permanecer desprotegidos.
A primeira dessas ameaças à memória foi tornada pública em uma atualização do Chrome em 21 de agosto, com o Google alertando que o CVE-2024-7971 estava sob exploração ativa. A surpresa desagradável foi que uma segunda vulnerabilidade de memória corrigida na mesma atualização — CVE-2024-7965 — também estava sob ataque. O Google confirmou isso uma semana depois.
A agência de segurança cibernética do governo dos EUA adicionou ambas as ameaças às suas Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que todos os funcionários federais atualizem o Chrome até 16 de setembro (e 18 de setembro para a segunda correção) ou parem de usar seus navegadores. E embora os prazos da CISA sejam obrigatórios apenas para funcionários do governo, muitas organizações seguem seus mandatos. Para simplificar, há duas vulnerabilidades exploradas ativamente, atualize o Chrome agora se você não o fez desde o início de setembro.
Como explica o CISA, ele “mantém a fonte autoritativa de vulnerabilidades que foram exploradas na natureza. As organizações devem usar o catálogo KEV como uma entrada para sua estrutura de priorização de gerenciamento de vulnerabilidades.”
Houve duas atualizações do Chrome para desktop desde então, em 2 e 10 de setembro, respectivamente, ambas abordando vulnerabilidades de alta gravidade, embora nenhuma tenha sido confirmada como ativamente explorada.
Um tanto irônico, dada a sua própria procissão de zero-days — incluindo o Patch Tuesday desta semana — uma das vulnerabilidades sérias do Chrome foi descoberta e divulgada pela Microsoft, atribuindo o ataque a hackers de criptografia norte-coreanos, encadeando a vulnerabilidade do Chrome a um zero-day do Windows (também corrigido).
A Microsoft sugeriu isso como um motivo para os usuários mudarem do Chrome para o Edge, aconselhando as organizações a “incentivar os usuários a usar o Microsoft Edge e outros navegadores da web que suportam o Microsoft Defender SmartScreen, que identifica e bloqueia sites maliciosos, incluindo sites de phishing, sites de golpes e sites que hospedam malware”.
Embora eu não recomende isso, o aviso da Microsoft de que as iscas de phishing do Chrome precisam ser interrompidas na fonte é crítico. E o Google está fazendo seus próprios movimentos para fazer exatamente isso. O Google garantiu esta semana que seu “recurso de Verificação de Segurança reformulado agora será executado automaticamente em segundo plano no Chrome, tomando medidas mais proativas para mantê-lo seguro. Ele também informará sobre as ações que realiza, incluindo revogar permissões de sites que você não visita mais, sinalizar notificações potencialmente indesejadas e muito mais”.
A Microsoft acaba de lançar seu mais recente podcast Microsoft Threat Intelligence, que investiga a natureza da ameaça norte-coreana que estava por trás da divulgação do CVE-2024-7971, lançando alguma luz sobre a “natureza surpreendente das recentes cadeias de ataque envolvendo vulnerabilidade no mecanismo Chromium”.
O Chrome recebe muitas críticas — o lado negativo da dominação do mercado — mas merece crédito por suas constantes melhorias; embora você tenha que ignorar a publicidade subjacente e a coleta de dados por cookies. Isso está fazendo a diferença, como uma troca desconcertante no X esta semana ilustrou. A repressão do Google aos infostealers que exploram as fraquezas do Chrome está começando a trancar a porta do estábulo. Embora a troca mostre que o outro lado claramente pretende encontrar novas maneiras de passar.
Embora os dados mais recentes sobre participação de mercado de navegadores em todo o mundo mostrem que o Edge continua a aumentar sua base de usuários, é um crescimento excepcionalmente lento; o Statcounter relata um aumento estatisticamente irrelevante de 13,75% em julho para 13,78% em agosto deste ano, embora o crescimento anual seja mais encorajador, com o Edge subindo de 11,15% no ano passado.
Atualizar o Chrome para a versão mais recente resolverá os dois zero-days explorados, bem como tudo corrigido desde então. Como sempre, verifique se a atualização foi baixada e reinicie seu navegador para garantir que ela seja instalada. Se você fez a troca para o Edge, precisa fazer exatamente o mesmo — as ameaças ativamente exploradas impactam ambos os navegadores.
Às vezes, as ameaças mais perigosas se escondem à vista de todos e podem atacar mesmo quando você fez a coisa certa e atualizou. Esse é certamente o caso de um novo aviso para usuários do Chrome, com um novo ataque desonesto direcionado que depende de frustrar você a fazer algo que você sabe que não deveria — o que piora a situação.
Conforme captado por Computador bipandoesse novo ataque — divulgado pela primeira vez pela OALABS Research — é “uma nova técnica usada por ladrões para forçar as vítimas a inserir credenciais em um navegador, permitindo que elas sejam roubadas do armazenamento de credenciais do navegador usando malware de ladrão tradicional”.
Os pesquisadores explicam que isso abre a porta para o malware StealC, com a campanha projetada especificamente para roubar credenciais de conta do Google. O ataque funciona enganando o navegador no que é chamado de “modo quiosque”, antes de “navegar para a página de login do serviço alvo, geralmente o Google”. Este modo quiosque é uma visualização da web em tela cheia, e o ataque impede a saída ou até mesmo a saída da tela cheia.
“Essa tática irrita a vítima para que ela insira suas credenciais em uma tentativa de fechar a janela. Uma vez que as credenciais são inseridas, elas são armazenadas no armazenamento de credenciais do navegador em disco e podem ser roubadas usando malware stealer, que é implantado junto com o credential flusher.”
Como Computador bipando explica, porque as teclas usuais foram desabilitadas, “tente outras combinações de teclas de atalho como 'Alt + F4', 'Ctrl + Shift + Esc', 'Ctrl + Alt + Delete' e 'Alt + Tab.'” Se isso não funcionar retornando o foco para sua área de trabalho, “Pressionar 'Win Key + R' deve abrir o prompt de comando do Windows. Digite 'cmd' e então feche o Chrome com 'taskkill /IM chrome.exe /F.'” Ou, falhando nisso, reinicie seu PC.
Isso só mostra que você pode fazer todas as coisas certas, incluindo atualizar o mais rápido possível, e ainda há uma campanha de engenharia social que está vindo para seus dados. Se você fazer Caso você seja vítima disso ou de algo semelhante, lembre-se de executar uma verificação antivírus atualizada no seu PC antes de continuar a usá-lo normalmente.
Olá! Eu sou Renato Lopes, editor de blog com mais de 20 anos de experiência. Ao longo da minha carreira, tive a oportunidade de explorar diversos nichos, incluindo filmes, tecnologia e moda, sempre com o objetivo de fornecer conteúdo relevante e de qualidade para os leitores.