Investigador de 30 anos podia ganhar controlo sobre quase 500 subdomínios da gigante norte-americana. Microsoft classifica o português como um hacker de «alta eficácia»
Quando recebeu um email a dizer que estava na lista dos 75 hackers mais valiosos da Microsoft, ao lado de nomes grandes da indústria de segurança informática que já segue há muito tempo, Fábio Pires ficou para lá de radiante. «Fiquei super contente, até porque acho que não é relativamente fácil entrar [na lista]», confidencia em entrevista à Exame Informática.
Para fazer parte desta elite, é necessário ter submetido ao longo do último ano falhas de segurança em produtos e serviços que pertencem à Microsoft. A lista, revelada durante a Black Hat, um dos mais consagrados eventos ligados à cibersegurança, que decorreu nos EUA, coloca Fábio Pires na 67ª posição e vem com um elemento adicional: junto ao nome está um símbolo que o distingue como sendo um hacker de alta eficácia.
«Isto na prática significa que todas as vulnerabilidades que submeti, todas foram consideradas válidas e de impacto», explica o português de 30 anos, que cresceu na Marinha Grande, mas agora vive em Londres, no Reino Unido. Ao todo comunicou oito vulnerabilidades, mas na prática a falha era apenas uma – uma que lhe dava acesso a quase 500 subdomínios de alguns dos principais produtos da gigante norte-americana.
A vulnerabilidade em questão é conhecida como subdomain takeover e permite a um pirata informático ganhar acesso a um subdomínio e usá-lo, por exemplo, em campanhas de phishing. Neste caso em particular, Fábio Pires descobriu centenas de subdomínios da Microsoft associados a alguns dos principais endereços web da empresa americana, como microsoft.com, windows.com, office.com e xbox.com, entre outros.
«Eles tinham montes de produtos com esta vulnerabilidade. E quando digo produtos, digo sites principais onde os subdomínios estavam mal configurados», conta-nos. «O impacto é que eu como atacante podia controlar mais ou menos 500 subdomínios da Microsoft.»
Na prática, os subdomínios encontrados pelo investigador português foram “esquecidos” pelas equipas da Microsoft, mas continuavam corretamente configurados, com o DNS a apontar para serviços externos de alojamento. Caso um subdomínio estivesse a “apontar” para a Amazon Web Services, por exemplo, bastava a Fábio Pires criar um bucket na plataforma com o nome do subdomínio para ganhar controlo sobre o mesmo.
E como eram subdomínios de marcas com uma grande reputação, este seria o ponto de partida perfeito para efetuar ataques de phishing altamente eficazes. «Posso simplesmente mandar um email a uma empresa a dizer “saiu uma nova atualização para o vosso produto, descarregue o ficheiro em qualquercoisa.microsoft.com», exemplifica.
«Mesmo as firewalls veem esse tráfego como de um site que à partida pertence à Microsoft e não te bloqueiam. A partir daí tens uma vantagem gigantesca.»
Muitas Vulnerabilidades à Solta
A primeira vez que Fábio teve contacto com a técnica de subdomain takeover foi para resolver a falha na empresa para a qual trabalhava em meados de 2018 – chamada WorldRemit. Mas quando decidiu procurar por outras empresas que estivessem expostas à vulnerabilidade, encontrou muitas portas escancaradas.
Nesta fase já contou com a ajuda do colega Francesco Mifsud para avisar todas as empresas vulneráveis: Siemens, Avast, Adidas, Royal Bank of Scotland, GitHub, Dell, Lufthansa e Teamviewer foram algumas das organizações que responderam ao alerta dado pela dupla de investigadores, corrigindo o problema. Outras empresas de renome foram alertadas, mas as correções ainda não foram feitas. Fábio dedicou quase um mês a este processo, período durante o qual recebeu muitas t-shirts como forma de agradecimento, recorda em tom de brincadeira.
Agora a trabalhar como líder de segurança de aplicações móveis na News UK, um dos maiores conglomerados britânicos de meios de comunicação e responsável por publicações como o The Sun e o The Times, o português diz que quer «continuar a crescer» e espera em breve «liderar uma equipa» de investigação em segurança informática.
Fonte: Exame Informática
