Microsoft corrige falha no Windows descoberta pelo governo dos Estados Unidos

Agência Nacional de Segurança publicou alerta sobre falha na criptografia do Windows. Brecha compromete funções criptográficas do Windows e pode permitir que sites e arquivos falsos sejam indistinguíveis de conteúdo legítimo.

linusb4/Freeimages.com

A Microsoft corrigiu uma falha na programação do Windows referente a cálculos de criptografia após ser comunicada do problema pela Agência Nacional de Segurança dos Estados Unidos (NSA).

A vulnerabilidade permitia que sites clonados assumissem a identidade de páginas verdadeiras e prejudicava a verificação da origem de aplicativos e arquivos.

A atualização que corrige a brecha foi lançada nesta terça-feira (14) e classificada como "importante" pela Microsoft — abaixo da classificação mais alta, que seria "crítica". A empresa justificou a escolha afirmando que ainda não há qualquer registro de ataques que explorem esta vulnerabilidade no mundo real.

A NSA, no entanto, disse que avalia o problema como "severo", explicando que atacantes sofisticados logo entenderão o funcionamento da falha. Se o problema for explorado, diz a agência, a plataforma da Microsoft fica "fundamentalmente vulnerável".

O problema reside na programação do Windows que é responsável por verificar a autenticidade de certificados digitais. Esses certificados possuem uma assinatura digital, concedida por empresas credenciadas para essa tarefa, para garantir origem de um arquivo ou de uma comunicação. A verificação da assinatura é realizada por meio de um cálculo baseado em criptografia.

Afinal, o que é criptografia e para que ela serve?

Quando você visita um site ou instala a atualização de um software, é a verificação do certificado que garante a veracidade do download ou da página visitada.

Um hacker poderia explorar essa vulnerabilidade do Windows para enviar um arquivo falso que ainda seria reconhecido como autêntico.

Se o hacker tivesse algum controle sobre a rede da vítima (atacando o roteador de internet, por exemplo), ele também poderia levar a vítima para um site clonado que seria indistinguível do verdadeiro.

Atualizações da Microsoft são identificadas pelo número do 'KB'. Instalação pode ser conferida no painel de configurações.

Reprodução

Como saber se a atualização foi instalada

A atualização deve ser instalada automaticamente. Basta reiniciar o computador para finalizar o procedimento de instalação.

Também é possível verificar manualmente se a atualização foi instalada. No Windows 10, no painel "Configurações" (que pode ser aberto a partir do menu "Iniciar"), clique em "Atualização e Segurança" e depois em "Exibir histórico de atualização" no menu "Windows Update'. Verifique se a atualização cumulativa de 2020-01 (KB4528760) consta na lista.

Caso ela não esteja instalada, clique em "Voltar" na seta no campo superior esquerdo e depois clique no botão "Verificar se há atualizações para que o Windows localize e instale as atualizações ausentes.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]