Na semana passada, a Microsoft lançou um patch de segurança por meio de seu programa Patch Tuesday que aborda 120 vulnerabilidades em 13 dos produtos da empresa, incluindo duas vulnerabilidades de dia zero. A Microsoft tradicionalmente não divulgou detalhes sobre as vulnerabilidades de dia zero, mas na verdade os desenvolvedores descobriram a existência de uma delas em agosto de 2018.
Estamos falando sobre a vulnerabilidade CVE-2020-1464, cuja exploração permite que invasores falsifiquem assinaturas digitais de arquivos para contornar os recursos de segurança usados para autenticar arquivos assinados digitalmente. A fonte diz que esta vulnerabilidade afetou todas as versões com suporte do Windows e tem sido usada por hackers na prática desde pelo menos agosto de 2018.
No último ano e meio, vários pesquisadores de segurança cibernética relataram esse problema à Microsoft. Por exemplo, em janeiro do ano passado, um funcionário do serviço VirusTotal do Google, Bernardo Quintero, publicou alguns detalhes sobre essa vulnerabilidade, observando que houve casos de sua exploração por cibercriminosos. Segundo Quintero, mesmo assim os desenvolvedores da Microsoft confirmaram a existência do problema e concordaram com suas conclusões, mas por algum motivo a empresa adiou a solução do problema.
Quando questionada sobre por que a empresa esperou dois anos antes de consertar um bug, que foi explorado ativamente por cibercriminosos, a Microsoft se recusou a responder, dizendo que os usuários do Windows que instalaram a atualização de segurança mais recente estão protegidos contra esse tipo de ataque.
«Uma atualização de segurança foi lançada em agosto. Os clientes que instalaram a atualização ou ativaram o recurso de atualização automática estarão protegidos. Continuamos a incentivar os clientes a habilitar atualizações automáticas para mantê-los seguros ”, disse a Microsoft em um comunicado.