A nova brecha no Internet Explorer, que está presente no processamento de VML e foi anunciada como ativa na web pela Sunbelt-Software na última segunda-feira (18/09), levou o Internet Storm Center a levantar um alerta amarelo e também ao lançamento de um patch não-oficial pelo grupo independente ZERT.

O Internet Storm Center (ISC) colocou o nível de alerta em “amarelo” devido ao aumento no número de websites que estão tirando proveito da falha para comprometer sistemas desprotegidos. Como ocorreu com outras falhas do gênero, hackers criminosos estão invadindo websites na web para forçar o carregamento de uma página maliciosoa que se encarrega de explorar a falha. Isso significa que sites considerados “seguros” também podem ser usados maliciosamente, como ocorreu com o fórum da fabricante de processadores AMD no final de janeiro.

De acordo com o ISC, Ken Dunham, da empresa de consultoria de segurança iDefense, afirmou ter visto pelo menos um provedor invadido, o que resultou em aproximadamente 500 domínios (sites) infectados com o código malicioso. Usuários que visitarem qualquer um desses sites podem sofrer uma infecção por diversos tipos de cavalos de tróia e spywares que roubam dados e exibem propagandas e pop-ups no sistema. A falha também afeta o Microsoft Outlook 11.8010.8036 SP2, que é a atualização mais recente do Office 2003, porém não afeta versões mais antigas do cliente de e-mail.

Até o momento, o informativo da Microsoft sugere que a correção oficial para a falha — necessária para que todos os usuários de Internet Explorer sejam protegidos — só deve ser lançada no dia 10 de outubro “ou antes, dependendo das necessidades dos clientes”. Em resposta, o grupo independente ZERT (Zeroday Emergency Response Team — Time de Resposta Emergencial de Dia Zero) lançou um patch não-oficial que corrige a falha.

Apesar de não ser oficial, a solução disponibilizada pelo ZERT é uma das únicas saídas para usuários de Internet Explorer que buscam proteção. A outra envolve um comando que desativa a DLL VGX.dll, porém programas que precisarem dessa DLL não serão mais capazes de funcionar caso isso seja feito. A útlima saída requer o uso de um navegador alternativo como Opera ou Firefox. Navegadores como Avant, Maxthon/MyIE2, Netcaptor e outros baseados no IE também são vulneráveis.

Por se tratar de um recurso não-oficial, o patch do ZERT pode apresentar problemas em alguns sistemas. A Linha Defensiva testou o patch em um sistema Windows XP SP2 em Português (Brasil) e não confirmou a presença de nenhum problema.

Mesmo sendo novo, o ZERT conta com profissionais qualificados na área de programação e engenharia reversa, entre eles Ilfak Guilfanov, responsável pelo patch não-oficial da falha do WMF que atormentou os usuários de Windows em dezembro de 2005 e janeiro de 2006. A idéia do grupo é propor uma solução para os usuários de qualquer plataforma que seja afetada por brechas sem correção (“Dia Zero”).

Como funciona a falha do VML

Qualquer usuário desprotegido de Internet Explorer que visitar uma página maliciosa na web pode ser infectado por qualquer quantidade de vírus e códigos maliciosos que o hacker desejar. Um hacker pode também invadir outros sites na web e injetar o mesmo código malicioso, fazendo com que mesmo sites confiáveis e inocentes espalhem a infecção.

Como exemplo, uma busca na web poderia trazer um site legítimo e infectado como resultado. Acessar o site causaria a imediata infecção do sistema.

A brecha dá ao hacker o mesmo nível de permissões que o usuário logado no computador. Usuários que utilizam Windows a partir de um login que não possui direitos administrativos poderão barrar parte das infecções instaladas pelo código malicioso, porém algumas delas ainda podem ser capazes de se alojarem somente no login utilizado. Em outras palavras, quem utiliza o computador com uma conta sem privilégios pode conseguir se recuperar de uma infecção mais facilmente, porém isso não é suficiente para prevenir o funcionamento da falha.

Como se proteger

Basta aplicar um dos métodos abaixo.

Não existe correção da Microsoft para essa falha até o momento da publicação dessa matéria. Os métodos descritos abaixo não são oficiais. É importante que você leia atentemente todas as informações referentes ao método utilizado, pois qualquer mudança deve ser revertida antes da aplicação do patch.

  1. Desative a DLL vulnerável

    Isso pode fazer com que programas que necessitam do processamento de VML não funcionem corretamente. VML não é muito popular, portanto é possível que isso não gere maiores problemas. Para desativar a DLL, clique em Iniciar –> Executar e coloque o comando abaixo e clique em OK. Você deve ver uma mensagem dizendo que a DLL foi desativada com sucesso. Clique em OK.

    regsvr32 /u "%CommonProgramFiles%Microsoft SharedVGXvgx.dll"

    Antes de aplicar o patch lançado no dia 10 de outubro, você deve executar o seguinte comando da mesma maneira que o anterior:

    regsvr32 "%CommonProgramFiles%Microsoft SharedVGXvgx.dll"
  2. Aplique o patch do ZERT

    Não existem problemas conhecidos com patch. Para aplicá-lo, siga esses passos:

    • Faça o download do patch na página de download do ZERT. O link está logo abaixo do título “Download and instructions”. O ZERT não irá mais disponibilizar o patch depois que a correção oficial da Microsoft for lançada.
    • Salve o arquivo em sua área de trabalho. Descompacte os arquivos ou abra o ZIP e, na pasta ‘Release’, execute o ZVGPatcher.
    • Clique no botão Patch. Você estará protegido.

    Mantenha uma cópia do arquivo baixado do site do ZERT no computador. Antes de aplicar o patch, que deve ser lançado no dia 10 de outubro, é necessário que você execute novamente o ZVGPatcher e clique em “Rollback” para que o seu sistema seja corrigido com o patch oficial. O ZERT irá derrubar o arquivo quando a Microsoft lançar o patch, o que significa que se você não manter o arquivo no computador, você pode não conseguir utilizar a opção “Rollback” depois.

  3. Utilize um navegador alternativo que não seja baseado no Internet Explorer

    Suas principais alternativas são o Opera e o Firefox. Navegadores como Avant, Maxthon e Netcaptor não serão suficientes para protegê-lo da brecha.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

6 Comments

  1. Claudio Martins 25/09/2006 às 13:33

    Gostaria de saber se a desativação da dll, também é possível no Win98, pois tentei pelo caminho sugerido e também em português, no meu caso a dll está localizada em C:Arquivos de programasArquivos comunsMicrosoft SharedVGX. tentei colocar regsvr32 /u “%Arquivos comuns%Microsoft SharedVGXvgx.dll”, mas também deu falha “getLastError returns 0x00000485”.
    Obs: no XP SP2 tudo OK!!! Abraços.

    Curtir

  2. Claudio Martins

    Até agora não existe confirmação de que a falha exista no Windows 98, mas se houver a falha provavelmente também não haverá correção.

    Infelizmente não posso testar no Windows 98 nesse momento, mas se a DLL existe você pode experimentar colocar o caminho completo manual (C:Arquivos de programasArquivos comunsMicrosoft SharedVGX….) no comando do Executar. Não esqueça de aspas depois do /u (/u “) e no fim do comando.

    Curtir

  3. Claudio Martins 25/09/2006 às 17:43

    Realmente seguindo o caminho completo sem o símbolo de “%” consegui desabilitar.
    Também acho que não haverá correção por parte da Microsoft para o Win98, mas por precaução vou manter desativado. Se a DLL já é pouco usada nos sistemas atuais, menos ainda em uma máquina com Win98.
    Agradeço a atenção

    Curtir

  4. Luís Henrique 26/09/2006 às 15:44

    Senhores acabei de receber via atualizações automáticas a correção dessa falha.

    Curtir

  5. Luís Henrique

    De fato, a Microsoft publicou o boletim. Mas seu post saiu antes da atualização do informativo falando da publicação da correção.

    MS06-055

    Curtir

  6. Luís Henrique 26/09/2006 às 22:51

    O fato é que tão logo acabei de efetuar a atualização que chegou automaticamente pelo windows update, deixei meu comentário.

    Curtir

Comentários encerrados.