Agência Nacional de Segurança dos EUA alerta Microsoft para falha grave no Windows 10

A Agência Nacional de Segurança dos EUA fez “soar várias campainhas” na Microsoft ao alertar a empresa para uma falha grave no Windows 10 que permitia que hackers se apresentassem como empresas legítimas de software.

Entretanto, a empresa já lançou uma actualização para corrigir a falha, como parte integrante do seu calendário normal para o lançamento de patches de software. Em comunicado, a gigante tecnológica afirmou também que fornece versões avançadas das suas actualizações a alguns utilizadores, no âmbito de um programa especial de testes. Sobre esta falha, Jeff Jones, director sénior da Microsoft, recusou discutir detalhes “para evitar riscos desnecessários para os clientes”.

A divulgação (caso raro) da falha pela NSA, em conjunto com a sua decisão de alertar a Microsoft pode ser indicativa da magnitude da ameaça e dos que esta poderia representar para as empresas, utilizadores e entidades governamentais de todo o mundo.

A NSA assumiu que, embora já tenha partilhado informações de vulnerabilidades com o sector privado no passado, esta é a primeira vez que o faz publicamente. A agência garante que tal decisão mostra o esforço feito no sentido de criar uma relação de confiança com os investigadores de cibersegurança.

Concretamente, a falha refere-se a uma função do Windows que verifica a legitimidade de aplicações e programas designada por CryptoAPI. “É o equivalente a um balcão de segurança na entrada de um prédio ou empresa que verifica a identidade das pessoas antes de as deixar subir para instalar novo equipamento”, explica Ashkan Soltani, o responsável tecnológico da Comissão Federal de Comércio dos EUA. Ao comprometerem esta funcionalidade de validação, os hackers podiam facilmente passar por empresas legítimas e instalar software malicioso para invadir PC em todo o mundo.