Uma vulnerabilidade em laptops da Acer, conhecida desde novembro de 2006, foi encontrada na ativa em um site malicioso. O site tenta instalar a praga digital conhecida como Gromozon e é direcionado principalmente a usuários italianos. A Acer é a empresa que mais vende notebooks na Itália.

A brecha se encontra em um componente ActiveX chamado LunchApp.APlunch que acompanha os portáteis da Acer. Explorar a falha não é complicado, pois o componente possui uma função específica apenas para executar programas. Isso significa que qualquer site pode, com poucas linhas de comando, executar qualquer programa presente no computador.

A falha está no fato de que o componente pode ser chamado por websites, quando isso não deveria ser permitido. O arquivo responsável pelo ActiveX possui a data de “Modificado em” como novembro de 1998, o que significa que o componente falho pode estar incluso em notebooks da Acer há vários anos.

Como o LunchApp.APlunch não permite executar um programa presente em um website, os criminosos virtuais estão executando um programa já presente no Windows para baixar a praga digital para o sistema. Após baixada, ela é executada e o sistema é infectado. Tanto o programa do Windows responsável por fazer o download da praga (tftp.exe) quanto a praga em si são executados acionando-se o controle ActiveX da Acer.

Somente o Internet Explorer é compatível com controles ActiveX, então a vulnerabilidade não pode ser usada para infectar usuários de Firefox ou Opera. O Internet Explorer 7 não executa o controle automaticamente e pede autorização do usuário. De acordo com o Internet Storm Center, o Internet Explorer 6 rodando no Windows XP SP2 também pede autorização.

Apesar dos ataques atuais serem direcionados a usuários italianos, a facilidade com que se pode tirar proveito da falha pode torná-la popular em outros sites maliciosos que utilizam brechas de segurança para infectar usuários.

Você está vulnerável?

Caso você utilize um notebook da Acer, visite a página da web abaixo:

http://linhadefensiva.uol.com.br/avs/research/xpl/acer-lunchapp.html

Se a calculadora do Windows for executada, você está vulnerável. Este teste é de autoria do pesquisador responsável pelo descobrimento do problema. A Linha Defensiva garante sua segurança, mas não pôde testar sua eficácia.

A Acer ainda não lançou uma correção para o problema, porém é possível configurar um killbit para desativar o controle da Acer. Veja o documento da Microsoft sobre como fazer isso. A Linha Defensiva disponibiliza um arquivo REG para configurar o killbit mais facilmente:

http://linhadefensiva.uol.com.br/files/reg/acer-fix.reg

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.