Página Inicial



twitter

Facebook

  Notícia
|

 

FERRAMENTA DA MICROSOFT BLOQUEIA ATAQUE AO WINDOWS POR SEQUESTRO DE DLL

25/08/2010

A Microsoft respondeu, na segunda-feira (23/8), aos informes de potenciais ataques de dia zero contra um grande número de programas Windows ao tornar pública uma ferramenta que, segundo a empresa, é capaz de bloquear a vulnerabilidade.

No entanto, a Microsoft não confirmou se algumas de suas próprias aplicações são vulneráveis, afirmando apenas que está analisando seus títulos de software.

O boletim de segurança de segunda-feira foi a primeira resposta pública a uma onda de informes divulgados por pesquisadores de segurança.

Segundo estes pesquisadores, muitos desenvolvedores têm deixado um grande número de programas Windows abertos para ataque.

O problema é que muitas aplicações Windows não carregam as bibliotecas de código ? conhecidas por ?dynamic-link library?, ou DLL ? usando o nome completo, mas apenas pelo nome de arquivo, o que dá aos hackers espaço para agir.

Criminosos podem explorar a brecha enganando a aplicação, fazendo-a carregar um arquivo malicioso com o mesmo nome da DLL exigida. Como resultado, os hackers podem sequestrar o PC e infiltrar malware na máquina.

Primeiro a avisar
O principal executivo de segurança da Rapid7 e criador do kit de teste de penetração Metasploit, H.D.Moore, foi o primeiro a revelar o potencial de ataque ao
anunciar na semana passada ter encontrado 40 aplicações Windows vulneráveis.

Moore foi seguido por outros pesquisadores, que divulgaram números variados de programas vulneráveis ? de menos de 30 a mais de 200.

A Microsoft acena com uma solução, mas afirma que a falha não é do Windows.

?Não estamos falando sobre uma vulnerabilidade de um produto Microsoft?, disse Christopher Budd, gerente sênior de comunicações que trabalha no Microsoft Security Response Center (MSRC). ?Este é um vetor de ataque que engana uma aplicação fazendo-a carregar uma biblioteca suspeita.?

Como os culpados são os desenvolvedores de aplicação e não o Windows, a Microsoft não pode consertar o sistema operacional sem prejudicar um número desconhecido de programas que rodam na plataforma. Em vez disso, a Microsoft e os desenvolvedores devem investigar quais de seus programas são vulneráveis, para então consertá-los um a um.

Enquanto isso não acontece, para evitar ataques a Microsoft liberou uma ferramenta que bloqueia a carga de DLLs de diretórios remotos, tais como os de drives USB, sites web e unidades de rede, que são todos os possíveis vetores.

?A ferramenta restringe a carga de bibliotecas remotas em nível de aplicativo ou de forma mais abrangente?, disse Budd. A ferramenta pode ser baixada usando links específicos para as diversas versões do Windows, de acordo com um documento de suporte técnico recém-publicado.

Foco em empresas
A ferramenta da Microsoft tem como foco empresas, não consumidores, explicou Budd, e não será fornecida aos clientes automaticamente por meio do serviço de Atualizações Automáticas.

No aviso, a Microsoft citou outras soluções paliativas que estariam disponíveis, incluindo o bloqueio do tráfego de Server Message Block (SMB) no firewall e o desligamento do cliente web embutido do Windows. Na semana passada, com base em seu trabalho preliminar, Moore recomendou aos usuários que fizessem as duas coisas.

Budd também argumentou que as possíveis explorações citadas por Moore e outros representam um novo vetor de ataque, uma alegação que alguns pesquisadores rejeitam.

?Isso é conhecido desde 2000, e eu também o reportei em 2006?, disse o pesquisador israelense Aviv Raff na segunda-feira, pelo Twitter. Aviv revelou um bug de sequestro de carga de DLL no Internet Explorer 7 (IE7) em dezembro de 2006. A Microsoft esperou até abril de 2009 para consertar a vulnerabilidade denunciada por Raff.

A Microsoft recusou-se a dizer se alguma aplicação sua traz a falha de programação que poderia torná-la vulnerável. ?Nós estamos analisando nossos produtos e pesquisando?, disse Budd. ?Se houver vulnerabilidades, nós as consertaremos.?

Na segunda-feira, diversos pesquisadores de segurança mostraram-se interessados em saber se qualquer software da Microsoft estaria em risco. Em caso afirmativo, isso significaria que os desenvolvedores da Microsoft não seguiram o conselho que a própria empresa deu aos programadores parceiros.

Budd disse que não poderia confirmar imediatamente se a Microsoft sabia da vulnerabilidade de sequestro de carga de DLL desde agosto de 2009. Foi nessa data que o pesquisador da Universidade da Califórnia Taeho Kwon disse ter contatado a empresa. Budd disse ter entendido que a Microsoft tem trabalhado no problema somente ?há umas duas semanas?.

Se a estimativa de Kwon estiver precisa, a falta de habilidade da Microsoft em dizer quais de seus produtos estão vulneráveis, se é que há algum, parecerá especialmente estranha aos pesquisadores.

A equipe de engenharia do MSRC também publicou alguma informação técnica sobre o vetor de ataque e a ferramenta de bloqueio no blog oficial Security Research & Defense.

 
 
 
Fonte: PcWorld

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar