Google: usuários do Windows 7 e 8.1 estão sendo colocados em risco pela Microsoft

A Microsoft está colocando os usuários do Windows 7 e 8.1 em perigo ao corrigir apenas o Windows 10, afirma o Google

De acordo com o pesquisador do Project Zero do Google, Mateusz Jurczyk, a Microsoft está se concentrando apenas em corrigir vulnerabilidades em seu sistema operacional atual, Windows 10, e deixou o Windows 7 e 8 de lado ao não aplicar as mesmas atualizações e correções de segurança críticas. Como resultado, centenas de milhões de computadores que utilizam as versões mais antigas estão em risco de serem comprometidos por hackers.

Jurczyk, ao realizar algumas análises, encontrou três vulnerabilidades diferentes: CVE-2017-8680, CVE-2017-8684 e CVE-2017-8685, que afetaram apenas o Windows 7 e 8.1 e não o Windows 10. Ele conseguiu encontrá-las porque a Microsoft as corrigiu no sistema operacional mais recente, mas não nas versões mais antigas.

Jurczyk usou uma técnica chamada ‘binary diffing’, onde encontrou exemplos de correções que foram aplicadas ao Windows 10, mas não ao Windows 7 ou 8.1.

Para quem não sabe, binary diffing é uma técnica poderosa para reverter correções lançadas por fornecedores de software como a Microsoft. Especialmente ao analisar correções de segurança, você pode se aprofundar nos detalhes das vulnerabilidades que está corrigindo. Essa técnica de binary diffing é especialmente útil para binários da Microsoft.

Usando binary diffing, hackers podem analisar vulnerabilidades corrigidas no Windows 10 e explorar os mesmos bugs de segurança presentes em versões anteriores do Windows, colocando seus usuários em risco.

“A Microsoft é conhecida por introduzir uma série de melhorias estruturais de segurança e, às vezes, até mesmo correções de bugs comuns apenas para a plataforma Windows mais recente. Isso cria uma falsa sensação de segurança para os usuários dos sistemas mais antigos e os deixa vulneráveis a falhas de software que podem ser detectadas apenas ao notar mudanças sutis no código correspondente em diferentes versões do Windows”, explica Jurczyk.

“Isso não apenas expõe alguns clientes a ataques, mas também revela visivelmente quais são os vetores de ataque, o que vai diretamente contra a segurança do usuário. Isso é especialmente verdadeiro para classes de bugs com correções óbvias, como divulgação de memória do kernel e as chamadas memset adicionadas.”

Felizmente, todas as três vulnerabilidades diferentes mencionadas acima foram corrigidas pela Microsoft no mês passado, após serem notificadas pelo Project Zero no final de maio deste ano.

A Microsoft também deixou claro em um comunicado ao The Register que prefere que todos os usuários do Windows utilizem a mesma versão do sistema operacional. A empresa disse:

“Windows tem um compromisso com os clientes de investigar problemas de segurança relatados e atualizar proativamente os dispositivos impactados o mais rápido possível. Além disso, continuamos a investir em segurança em profundidade e recomendamos que os clientes usem o Windows 10 e o navegador Microsoft Edge para a melhor proteção.”

Atualmente, a Microsoft está apoiando as versões anteriores do sistema operacional, Windows 7, 8.1 junto com o Windows 10. Enquanto o Windows 7 deve receber correções de segurança mensais da Microsoft até 14 de janeiro de 2020, o Windows 8.1 deve recebê-las até 10 de janeiro de 2023.

Você pode verificar a análise detalhada de Juryzyk clicando aqui.