Alguns dias após ter anunciado a falha em relação ao modo com que o Windows carrega uma biblioteca remota na memória, a empresa de segurança ACROS divulgou que a falha não afeta somente arquivos DLL, mas também quaisquer arquivos binários do Windows, tais como EXE e COM.

No seu boletim de segurança para o navegador Safari, a empresa informou que é possível que um criminoso mantenha um arquivo HTML com um nome qualquer, que contenha um link começando com “file:// “, junto com um arquivo chamado “explorer.exe“, ambos em determinada pasta em um servidor. Quando a vítima abrir o HTML, utilizando o Safari, o Windows tentará executar o explorer.exe, para abrir o link contido na página, e devido à vulnerabilidade, executará o que está no servidor, ou seja, o trojan.

Segundo a ACROS, a atualização disponibilizada pela Microsoft, apesar de opcional, minimiza somente a vulnerabilidade em relação às DLLs, mas não funciona para proteger o sistema de outras formas de ataque, devido à forma como os processos do Windows são carregados. Existem várias funções que chamam os processos para serem executados, e uma lista de diretórios onde o sistema deve procurar o EXE. Ao procurar por uma DLL, o Windows automaticamente examina as pastas do sistema, antes de examinar o Current Working Directory – CWD (pasta de onde o aplicativo está sendo executado).

Já em relação aos arquivos EXE, existem várias funções que instruem o sistema a examinar primeiro no CWD, e só depois nas pastas de sistema. Isso permite que vários aplicativos sejam explorados remotamente, caso o invasor convença o sistema de que o CWD é a pasta remota controlada por ele. Em páginas de phishing, por exemplo, o atacante só precisaria atrair a vítima para a sua página, e manter um executável malicioso utilizando um nome de um arquivo de sistema, dentro da mesma pasta do servidor onde está a página maliciosa. Desta forma, o trojan seria executado sem que o sistema emitisse nenhum alerta de segurança (o que normalmente acontece quando se tenta abrir um arquivo executável pelo navegador).

A Apple já corrigiu a falha no seu navegador, e a Microsoft recomenda que os programadores sejam mais cuidadosos ao instruirem seus aplicativos a carregarem arquivos binários, sempre especificando o caminho completo até o arquivo.

Anúncios

Escrito por Maria Cristina

Analista de malware http://linhadefensiva.org

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s