Alguns dias após ter anunciado a falha em relação ao modo com que o Windows carrega uma biblioteca remota na memória, a empresa de segurança ACROS divulgou que a falha não afeta somente arquivos DLL, mas também quaisquer arquivos binários do Windows, tais como EXE e COM.

No seu boletim de segurança para o navegador Safari, a empresa informou que é possível que um criminoso mantenha um arquivo HTML com um nome qualquer, que contenha um link começando com “file:// “, junto com um arquivo chamado “explorer.exe“, ambos em determinada pasta em um servidor. Quando a vítima abrir o HTML, utilizando o Safari, o Windows tentará executar o explorer.exe, para abrir o link contido na página, e devido à vulnerabilidade, executará o que está no servidor, ou seja, o trojan.

Segundo a ACROS, a atualização disponibilizada pela Microsoft, apesar de opcional, minimiza somente a vulnerabilidade em relação às DLLs, mas não funciona para proteger o sistema de outras formas de ataque, devido à forma como os processos do Windows são carregados. Existem várias funções que chamam os processos para serem executados, e uma lista de diretórios onde o sistema deve procurar o EXE. Ao procurar por uma DLL, o Windows automaticamente examina as pastas do sistema, antes de examinar o Current Working Directory – CWD (pasta de onde o aplicativo está sendo executado).

Já em relação aos arquivos EXE, existem várias funções que instruem o sistema a examinar primeiro no CWD, e só depois nas pastas de sistema. Isso permite que vários aplicativos sejam explorados remotamente, caso o invasor convença o sistema de que o CWD é a pasta remota controlada por ele. Em páginas de phishing, por exemplo, o atacante só precisaria atrair a vítima para a sua página, e manter um executável malicioso utilizando um nome de um arquivo de sistema, dentro da mesma pasta do servidor onde está a página maliciosa. Desta forma, o trojan seria executado sem que o sistema emitisse nenhum alerta de segurança (o que normalmente acontece quando se tenta abrir um arquivo executável pelo navegador).

A Apple já corrigiu a falha no seu navegador, e a Microsoft recomenda que os programadores sejam mais cuidadosos ao instruirem seus aplicativos a carregarem arquivos binários, sempre especificando o caminho completo até o arquivo.

Avatar de Desconhecido

Escrito por Maria Cristina

Just another ISFJ-t person / TEA+TDAH / Analista de malware em http://linhadefensiva.org / Bacharelanda em Direito / Materialista Neste blog eu não tenho compromisso com nenhum tema. Escrevo sobre o que me dá vontade. Sou um ser volátil, minhas ideias estão sempre em movimento.

Todos os posts

Deixe um comentário

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.