Entenda a nova falha do Windows e proteja-se

Giordani Rodrigues

O ano de 2006 começou com uma nova preocupação para os usuários do Windows. Nos últimos dias de dezembro de 2005, foi publicado um exploit (programa nocivo) capaz de explorar com sucesso uma falha que afeta o sistema da Microsoft e pode dar a um atacante remoto todos os direitos que um usuário legítimo tenha na máquina. Para piorar a situação, a falha está presente mesmo em versões do Windows com todas as atualizações em dia, incluindo a atualização MS05-053, de novembro de 2005, projetada justamente para corrigir o problema.

  • MS corrigirá falha no dia 10
     

  • Usuário deve instalar correção
     

  • Falha permite controle do Windows

    Nos últimos dias, também já foram criados worms que se aproveitam da brecha de segurança. A Microsoft já anunciou que só vai publicar uma nova correção para o bug na semana que vem, por isso, é bom se proteger. Abaixo, publicamos uma lista de perguntas e respostas a respeito do problema e de como se prevenir de ataques.

    1 - Em que consiste o problema?
    Trata-se de um buffer (memória temporária) indevidamente verificado no processamento de imagens em formato WMF (Windows Metafile, ou metarquivo do Windows). Uma imagem WMF é um arquivo de 16 bits com informações sobre vetores e bitmaps usados em arquivos gráficos e desenvolvido para melhorar o processamento de imagens pelo sistema operacional Windows. Especificamente, o problema se encontra no arquivo de biblioteca "shimgvw.dll", usado por programas como o Visualizador de Imagens e Fax do Windows. No entanto, há informações de que o uso de qualquer outro aplicativo que "chame" esta biblioteca para funcionar pode desencadear a exploração da falha no buffer. Isso inclui o aplicativo Paint, do Windows, e até o Google Desktop, que faz a indexação de vários tipos de arquivos armazenados no sistema.

    2 - Como a falha pode ser explorada num ataque?
    Este é um tipo de vulnerabilidade chamada de execução remota de código. Isso significa que a falha pode ser explorada a distância, pela Internet. Basta que o usuário seja induzido a abrir uma imagem especialmente criada para o ataque ou visualizar uma pasta que contenha tal imagem. Remotamente, isso pode ser feito por meio de links para páginas que contenham arquivos gráficos maliciosos visualizadas com o Internet Explorer e versões mais antigas do Firefox, ou mesmo quando o usuário abre, usando o Microsoft Outlook ou Outlook Express, um e-mail em formato gráfico (isto é, um arquivo HTML) contendo uma imagem maliciosa. Também é possível esconder a imagem num documento do Office (um arquivo Word ou uma planilha Excel, por exemplo) ou num programa que a utilize, e convencer o usuário a abrir o documento ou executar o programa.

    3 - O que ocorre se a vulnerabilidade for explorada?
    Caso um invasor consiga convencer o usuário a visualizar a imagem maliciosa e explorar o bug com sucesso, poderá tomar controle total do sistema, com os mesmos direitos que o usuário tem na máquina. Se o usuário estiver como administrador do sistema, o invasor poderá executar qualquer ação que desejar, incluindo apagar, modificar ou renomear arquivos, acessar dados privados, executar programas e criar novas contas de usuário no sistema.

    4 - Qual a situação real de exploração da falha hoje?
    Desde que o exploit foi publicado, em 28 de dezembro de 2005, já foram criadas diversas páginas Web para hospedá-lo, bem como variantes do arquivo, incluindo worms que se distribuem e rodam automaticamente. Segundo a empresa de segurança F-Secure, as primeiras versões do exploit instalavam diversos trojans e spywares (programas espiões) no sistema, como Trojan-Downloader.Win32.Agent.abs, Trojan-Dropper.Win32.Small.zp, Trojan.Win32.Small.ga e Trojan.Win32.Small.ev. O primeiro worm encontrado pela empresa surgiu aproximadamente no último dia do ano passado e se disseminava via MSN Messenger, trazendo um link para uma suposta imagem de Natal ("xmas-2006 FUNNY.jpg"), que desencadeava a exploração do bug. Esta semana, foram reportadas mensagens de e-mail enviadas na forma de spam, contendo imagens maliciosas ou links para sites que hospedam arquivos criados para se aproveitar da falha. Como conseqüência, os sistemas afetados poderiam ser infectados com backdoors (arquivos espiões ocultos) ou bots, programas que formam as botnets, redes de computadores escravizados (os chamados zumbis). Também já existem kits, ainda que rudimentares, para a criação automática de exploits. Até a semana passada, já tinham sido registradas cerca de 60 versões diferentes de arquivos WMF maliciosos.

    5 - Quais sistemas estão vulneráveis?
    Qualquer versão do Windows que processe metarquivos WMF. Este tipo de arquivo foi criado pela Microsoft ainda no final da década de 1980, mas só foram lançados aplicativos para processá-lo, como o Visualizador de Imagens e Fax do Windows, nas versões mais recentes do sistema. Na prática, apenas o Windows XP e o Windows 2003 parecem ser comprovadamente afetados pelo problema, mesmo que estejam com todas as correções de segurança instaladas. No entanto, o comunicado da Microsoft (em português) a respeito da vulnerabilidade relaciona também o Windows 98, Windows 98 SE e Windows ME como sistemas potencialmente afetados. Aparentemente, essas versões mais antigas possuem uma vulnerabilidade semelhante, porém em um outro mecanismo de processamento de imagens, chamado de GDI (Graphical Device Interface), mas esse mecanismo não executa arquivos WMF e não poderia ser atacado com os exploits específicos para esse formato. Há, porém, outros arquivos maliciosos que já exploram vulnerabilidades antigas detectadas no GDI e também podem surgir variantes para explorar a falha atual. A F-Secure lembra também que o Windows 2000 pode se tornar vulnerável se o usuário utilizar algum dos muitos programas para manipulação de imagens criados por outros fabricantes que possam ler arquivos WMF.

    6 - Como se proteger de ataques?
    Ainda não há uma correção oficial para a vulnerabilidade. Em novembro de 2005, a Microsoft lançou o boletim MS05-053, com um patch (correção) que deveria resolver o problema, mas em dezembro verificou-se que o Windows continuava vulnerável. A empresa só deverá lançar um novo patch na próxima terça-feira, 10 de janeiro, junto do seu boletim de segurança mensal. No entanto, as seguintes medidas de proteção podem ser tomadas:

     

  • Já existe uma correção não-oficial que funciona adequadamente e está sendo recomendada por empresas e especialistas em segurança. Trata-se de um hotfix criado pelo programador russo Ilfak Guilfanov, que pode ser encontrado no endereço de seu blog - www.hexblog.com. Nesse mesmo endereço, Guilfanov também oferece programas que verificam se o sistema está vulnerável à falha. Ele recomenda ainda que, assim que a correção oficial seja lançada, seja instalada.

     

  • Para usuários do Windows XP SP2, a Microsoft recomenda que seja configurado um mecanismo de proteção de memória incluído no sistema, chamado de Data Execution Prevention (DEP), que impede a inserção de códigos mal-intencionados em áreas da memória do computador reservadas para código não executável. A empresa publicou um artigo (www.microsoft.com/brasil/security/guidance/prodtech/business/depcnfxp.mspx), que já tem versão em português, contendo gráficos e explicações detalhadas sobre como ativar a proteção.

  • Outra ação paliativa seria desativar o arquivo "shimgvw.dll" no registro do Windows, seguindo as explicações (em inglês) publicadas pela Microsoft no endereço www.microsoft.com/technet/security/advisory/912840.mspx.

     

  • Quem possui ferramentas para bloqueio de páginas maliciosas também pode configurá-las para impedir o acesso aos sites que, comprovadamente, estão hospedando arquivos WMF usados em ataques. Várias dessas páginas estão informadas no blog da F-Secure (www.f-secure.com/weblog/archives/archive-122005.html).

  •  

  • Diversos programas antivírus já detectam arquivos WMF maliciosos, por isso você deve manter o seu atualizado e deixá-lo ativo no sistema.
      InfoGuerra

  •  
     

    Arquivo noticias>> clic

    mais noticias do mês... clic

          


    E-mail

    Copyright© 1996/2006 -  ANO10 - Netmarket  Internet  Brasil -   Todos os direitos reservados

    Home