O alto custo da Multitarefa

Hoje estou aqui para falar que até mesmo os profissionais de segurança da informação estão sujeitos a serem infectados por malware caso estejam realizando múltiplas tarefas e não fiquem atento as infames mensagens na tela. Neste caso, não foi ninguém que me disse, ou ouvi falar….infelizmente aconteceu comigo. Tenho um computador que não é o mais potente em termos de configuração (tem apenas 4 GB) dos que eu tenho, na realidade meu mais recente note tem 32GB de RAM, porém não uso ele na produção de documentos, prefiro escrever nesta máquina com 4GB, pelo simples fato de estar acostumado com a cofiguração, teclado, mouse, etc (vícios de escritor). Em fim, estava no telefone, em uma conferência e estava com uma página web aberta, onde fazia o scan (visão rápida) de um artigo sobre os eventos ocorridos da NSA.

Outro artigo ao lado me chamou atenção pelo tema e cliquei no link. Este link me redirecionou para outro site, e foi aí que começou a tormenta. Até este momento eu estava mais em “listening mode” na conferência, quando este evento ocorreu (ser redirecionado) era minha vez de interagir e dar minha opinião sobre o assunto. Neste momento voltei minha atenção à conferência e de repente aparece uma confirmação de elevação de privilégios do Windows dizendo que o Adobe precisava atualizar um update (claramente um drive by download ataque que simulava atualização do Adobe – se eu estivesse mais atento tinha percebido). Eu como não estava focado na tela, disse não (até mesmo por que em elevação de privilégio minha resposa padrão é não). Porém a janela de elevação de privilégio apareceu de novo e por mais que eu clicasse em não ele tornava a aparecer. Eu tinha que acessar um documento neste momento para falar sobre ele na reunião, e tive que dizer sim para a atualização. Foi aí que o FEP (Forefront Endpoint Protection) sinalizou que o computador tinha sido infectado, mas depois disso o ícone dele simplesmente sumiu da barra de tarefas.

Ao terminar a reunião eu sabia que a máquina tinha sido contaminada, porém não conseguia mais executar o Forefront EndPoint Protection, ele dava erro ao ser executado (Code 5 – Access Denied). Fui no Event Viewer e achei este evento:

image

Pelo menos já sabia o que tinha ocorrido e segui os passos deste link, que pode ser acessado via aka.ms/SirefefAB. Os passos para remover este malware estam neste artigo e depois de executar o Safety Scanner recebi a mensagem abaixo:

scan

Reiniciei a máquina e o FEP voltou a funcionar, assim como o sistema estava limpo. Ontem a noite escrevi a seguinte nota no Twitter:

image

Ontem a noite mesmo o Microsoft MMPC me respondeu e disse:

image

Ou seja, foi apenas um puro azar da minha parte Smile….

O ensinamento que fica é: nos dias de hoje somos levados a ser multitarefas e muitas vezes não tem jeito, precisamos de fato fazer isso, porém, no que tange segurança da informação, basta um clique errado para que um malware explore seu sistema. Navegar com segurança é preciso, mesmo que todo seu sistema esteja atualizado.

Abraços e “be safe”!

Anúncios

Sobre Yuri Diogenes

I’m currently working as Senior Program Manager at C+E Security where I work mostly with Azure Security Center, Azure ATP, and ATA. I'm also Professor at EC-Council University for their Master degree in Cybersecurity program. Prior to work on this team at Microsoft, I worked as a Content Developer for Azure Security Center, Windows Security Team and Support Escalation Engineer at CSS Security Forefront Team. I have a Master of Science Degree in Cybersecurity Intelligence & Forensics at UTICA College, MBA at FGV Brazil and Post Graduate at UGF Brazil. Some IT industry certifications that I currently hold are CISSP, CyberSec First Responder, CompTIA CSA+, E|CEH, E|CSA, E|CHFI, E|CND, CyberSec First Responder, CompTIA, Security+, CompTIA Cloud Essentials Certified, CompTIA Network+, CompTIA Mobility+, CASP, CSA+, MCSE, MCTS and Microsoft Specialist - Azure. I'm a senior member of ISSA Fort Worth Chapter and a writer for ISSA Journal.
Esse post foi publicado em malware, segurança. Bookmark o link permanente.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s