0.0.0.0 Zero-Day: Um Browser exploit de 18 anos permite que hackers ataquem sistemas Mac e Linux

A empresa israelense de segurança cibernética Oligo descobriu uma vulnerabilidade crítica que permaneceu sem ser detectada por 18 anos, batizada de "0.0.0.0 Day". Essa falha permite que sites mal-intencionados contornem as medidas de segurança dos navegadores Google Chrome, Mozilla Firefox e Apple Safari, permitindo a interação com serviços em redes locais e possibilitando o acesso não autorizado e a execução remota de códigos por invasores externos.

Essa vulnerabilidade afeta exclusivamente dispositivos que operam em sistemas Linux e macOS, deixando os usuários de Windows imunes a esse problema. A falha é resultado de uma implementação inconsistente dos mecanismos de segurança entre os navegadores, agravada pela falta de padronização no setor. Assim, o endereço IP 0.0.0.0, geralmente considerado inofensivo, pode ser explorado para atingir serviços locais críticos, como os usados em desenvolvimento, sistemas operacionais e redes internas.

O impacto do "0.0.0.0 Day" é extenso, afetando tanto indivíduos quanto organizações. A urgência de resolver essa vulnerabilidade é ressaltada pela descoberta de campanhas de exploração ativa, como a ShadowRay.

A equipe de pesquisa da Oligo identificou uma falha crítica que afeta os principais navegadores, potencialmente permitindo que invasores externos comprometam redes locais. Denominada "0.0.0.0 Day", essa vulnerabilidade revela uma falha significativa na forma como os navegadores lidam com solicitações de rede, possibilitando o acesso a serviços confidenciais em dispositivos locais.

Os pesquisadores da Oligo Security divulgaram que essa vulnerabilidade afeta navegadores como Chromium, Firefox e Safari, permitindo que sites externos interajam com softwares em execução local no macOS e Linux. Curiosamente, dispositivos com Windows não são afetados por essa falha.

A pesquisa revelou que sites públicos (por exemplo, domínios .com) podem interagir com serviços na rede local (localhost) e, potencialmente, executar código arbitrário na máquina do visitante, utilizando o endereço 0.0.0.0 em vez de localhost/127.0.0.1.

Após a divulgação responsável, medidas estão sendo adotadas para incorporar essa vulnerabilidade nos novos padrões de segurança por meio de uma RFC (Request for Comment). A maioria dos navegadores em breve bloqueará totalmente o acesso ao endereço 0.0.0.0. A especificação Fetch, que regula o comportamento de solicitações HTTP, será revisada para impedir o uso do 0.0.0.0 como endereço de destino.

Correções Específicas dos Navegadores:

• Google Chrome e Navegadores Baseados em Chromium: A iniciativa Private Network Access (PNA) do Google, que visa melhorar a segurança, foi comprometida pela vulnerabilidade. Atualmente, o Chrome está implementando uma correção, que começará com o Chromium 128, para bloquear totalmente o acesso ao 0.0.0.0, com a conclusão prevista para a versão 133 do Chrome.

• Apple Safari: O Safari, baseado na plataforma WebKit, já implementou mudanças para bloquear solicitações ao 0.0.0.0, verificando o endereço IP de destino e bloqueando as solicitações que contêm todos os zeros.

• Mozilla Firefox: Embora ainda não tenha uma correção completa, o Firefox já modificou a especificação Fetch para bloquear o 0.0.0.0 e planeja priorizar a implementação do Private Network Access em breve.

Entendendo a Vulnerabilidade "0.0.0.0 Day":

Um Endereço IP Exclusivo:

O endereço IP 0.0.0.0 é único e tem diversos usos, geralmente relacionado a "todos os IPs neste host" ou "todas as interfaces de rede neste host". Segundo a RFC 1122, o uso de 0.0.0.0 como endereço de destino no IPv4 é proibido e deve ser restrito a circunstâncias específicas como endereço de origem.

Rastreamento de Portas:

Rastreamento de portas é uma técnica conhecida usada por sites para coletar informações sobre visitantes, frequentemente sem o conhecimento deles. Essa técnica pode ser explorada para identificar vulnerabilidades em serviços locais.

Um Problema de Longa Data:

A questão subjacente às solicitações para serviços locais é conhecida há anos. Um relatório de bug registrado na Mozilla em 2006 destacou preocupações semelhantes, em que sites públicos poderiam atacar dispositivos de rede interna, como roteadores. Esse bug ainda não foi resolvido, demonstrando a persistência dessa falha de segurança.

Exploração no Mundo Real: ShadowRay

A campanha ShadowRay é um exemplo de como a vulnerabilidade "0.0.0.0 Day" pode ser explorada para executar código remoto em navegadores. Isso reforça a gravidade da ameaça e a necessidade de ações imediatas para proteger sistemas vulneráveis.

Embora a iniciativa PNA represente um avanço significativo, uma abordagem padronizada entre todos os navegadores é crucial para mitigar completamente os riscos associados ao "0.0.0.0 Day". Desenvolvedores devem adotar medidas de segurança adicionais, como cabeçalhos PNA, tokens CSRF e o uso de HTTPS, para proteger aplicativos locais.

Medidas de Proteção Recomendadas:

• Implemente Cabeçalhos PNA.

• Verifique o Cabeçalho HOST para evitar ataques de religação de DNS.

• Adicione uma Camada de Autorização, mesmo para o host local.

• Utilize HTTPS sempre que possível.

• Implemente Tokens CSRF em Aplicativos Locais.

Com a correção da falha em andamento, é essencial que desenvolvedores e usuários tomem medidas proativas para proteger seus sistemas contra as ameaças associadas ao "0.0.0.0 Day".

Via - TCSH