Uma atualização “fora de hora” foi lançada nesta quinta-feira (23) pela Microsoft. O boletim MS08-067 informa que a brecha é crítica e permite “execução remota de código” — o mesmo que as vulnerabilidades utilizadas por worms como Sasser, Blaster e Code Red, atingindo o sistema pela rede.

A falha encontra-se no serviço “Servidor”, necessário para a utilização do Windows em redes. Os principais sistemas afetados são os Windows 2000, XP e 2003. Embora o Vista e 2008 também contenham o erro, os demais recursos de segurança destes sistemas diminuem significativamente a gravidade do problema.

A Microsoft afirma que

O invasor que explorar com êxito essa vulnerabilidade poderá assumir remotamente o controle total de um sistema afetado. Nos sistemas Microsoft Windows 2000, Windows XP e Windows Server 2003, um invasor pode explorar esta vulnerabilidade pelo RPC sem autenticação para executar código arbitrário. É possível que esta vulnerabilidade seja usada na criação de uma exploração por worm. Se for explorada com êxito, um invasor poderá instalar programas ou exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

Em outras palavras, um worm feito para explorar esta falha pode infectar sistemas sem que os usuários precisem executar arquivos ou clicar em qualquer tipo de link. Basta estar conectado à Internet sem um firewall, modem ADSL em modo roteador que bloqueie o ataque ou proteção equivalente.

A recomendação é instalar a atualização o mais rápido possível. Isto pode ser feito por meio do Microsoft Update e das Atualizações Automáticas do Windows, configuráveis pelo Painel de Controle.

Falha já está sendo explorada

A Microsoft raramente disponibiliza uma correção de segurança fora do ciclo mensal. Em outubro, as atualizações saíram no dia 14, a segunda terça-feira, como acontece quase todos os meses.

Um boletim urgente, fora do ciclo, foi publicado pela última vez em abril de 2007. Na ocasião, a empresa divulgou uma correção para uma falha no processamento de ANIs porque a mesma já estava em uso na web. E desta vez não é diferente: a gigante revela no boletim que ataques com base na brecha já foram realizados.

A companhia de segurança Sunbelt Software informou que possui cópias de trojans que exploram o problema. De acordo com a Sunbelt, os códigos maliciosos estão sendo usados em ataques com alvos específicos (“targeted attacks”) e não em malwares mais comuns.

Com o lançamento do patch, porém, é questão de tempo até que seja desenvolvido um worm capaz de tirar proveito da falha. Isto porque a própria atualização serve como fonte de informação para os criadores de códigos maliciosos. Comparando o arquivo corrigido com o vulnerável, é possível determinar onde o erro se encontra e criar uma ferramenta capaz de explorá-lo.

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Todos os posts Website

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Gravatar
Logo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Cancelar

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.