Uma falha na programação do iTunes, divulgada semana passada pela empresa de segurança Acros, pode permitir que um criminoso execute uma DLL maliciosa remotamente e obtenha acesso à máquina da vítima. Este relatório fez com que especialistas descobrissem outros 40 programas com a mesma falha. A Apple já corrigiu o problema, mas os nomes dos outros softwares ainda não foram divulgados. Segundo o especialista HD Moore, o número de programas afetados chega a 200. A Microsoft publicou um boletim explicando como o erro pode ser explorado por um indivíduo malicioso e anunciou que está investigando quais aplicativos Windows foram afetados

A brecha está relacionada ao modo com que o Windows carrega uma biblioteca externa na memória (DLL) quando o programa que precisa desta DLL não informa ao Windows em qual pasta ele deve procurá-la. Nesses casos, o Windows procura primeiro no diretório de onde o aplicativo está sendo executado. Segundo a Microsoft, os programadores são alertados para definirem uma pasta, mas muitos não seguem esta orientação – inclusive alguns softwares da própria empresa.

Um atacante não poderia executar uma DLL remotamente na máquina da vítima, mas poderia hospedar uma DLL maliciosa – com um nome específico – em um servidor, juntamente com um outro arquivo inofensivo qualquer, por exemplo, um mp3 ou um jpg, e usar de engenharia social para convencer a vítima a abrir o arquivo de áudio, ou a imagem. O programa usado para executar este arquivo de áudio instruirá o sistema do usuário a carregar a DLL maliciosa, devido ao erro na programação do player por não informar ao Windows em qual diretório a DLL está. Desta forma, o criminoso teria o seu código malicioso executado no computador remoto e obteria privilégios de administrador.

Devido a natureza distinta de cada software afetado, é difícil dizer como um criminoso poderia atacar cada usuário ou empresa.

A Microsoft anunciou que está em contato frequente com programadores e também desenvolveu uma ferramenta para que aos administradores de sistemas possam diminuir o risco gerado pela falha. Trata-se de uma alteração no Registro que vai instruir o Windows a não procurar por DLLs na pasta de onde o aplicativo esteja sendo executado e também vai bloquear aplicativos de carregarem bibliotecas que estejam em servidores remotos.

Download:
support.microsoft.com/kb/2264107

Anúncios

Escrito por Maria Cristina

Analista de malware http://linhadefensiva.org

2 comentários

  1. Dúvida: para um usuário comum, a configuração recomendada no registro seria:

    HKLMSYSTEMCurrentControlSetControlSession Manager

    valor DWORD > CWDIllegalInDllSearch=1

    ???

    Curtir

    Responder

  2. Juca

    Considerando que você queira desativar o comportamento, sim, mas acho que pode causar problemas… a solução melhor é aguardar os patches de cada programa vulnerável.

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.