Home > Notícias

Ferramenta da Microsoft bloqueia ataque ao Windows por sequestro de DLL

Prática inadequada de programação permite que malware tome lugar de DLL legítima e invada PC

Computerworld/EUA

24/08/2010 às 16h06

Foto:

A Microsoft respondeu, na segunda-feira (23/8), aos informes
de potenciais ataques de dia zero
contra um grande número de programas Windows
ao tornar pública uma ferramenta que, segundo a empresa, é capaz de bloquear a
vulnerabilidade.

No entanto, a Microsoft não confirmou se algumas de suas
próprias aplicações são vulneráveis, afirmando apenas que está analisando seus
títulos de software.

O boletim de segurança de segunda-feira foi a primeira resposta
pública a uma onda de informes divulgados por pesquisadores de segurança.

Segundo estes pesquisadores, muitos desenvolvedores têm
deixado um grande número de programas Windows abertos para ataque.

O problema é que muitas aplicações Windows não carregam as
bibliotecas de código – conhecidas por “dynamic-link library”, ou DLL – usando o
nome completo, mas apenas pelo nome de arquivo, o que dá aos hackers espaço
para agir.

Criminosos podem explorar a brecha enganando a aplicação,
fazendo-a carregar um arquivo malicioso com o mesmo nome da DLL exigida. Como
resultado, os hackers podem sequestrar o PC e infiltrar malware na máquina.

Primeiro a avisar
O principal executivo de segurança da Rapid7 e criador do
kit de teste de penetração Metasploit, H.D.Moore, foi o primeiro a revelar o
potencial de ataque ao anunciar na semana passada ter encontrado 40 aplicações
Windows vulneráveis.

Moore foi seguido por outros pesquisadores, que divulgaram
números variados de programas vulneráveis – de menos de 30 a mais de 200.

A Microsoft acena com uma solução, mas afirma que a falha
não é do Windows.

“Não estamos falando sobre uma vulnerabilidade de um produto
Microsoft”, disse Christopher Budd, gerente sênior de comunicações que trabalha
no Microsoft Security Response Center (MSRC). “Este é um vetor de ataque que
engana uma aplicação fazendo-a carregar uma biblioteca suspeita.”

Como os culpados são os desenvolvedores de aplicação e não o
Windows, a Microsoft não pode consertar o sistema operacional sem prejudicar um
número desconhecido de programas que rodam na plataforma. Em vez disso, a
Microsoft e os desenvolvedores devem investigar quais de seus programas são vulneráveis,
para então consertá-los um a um.

Enquanto isso não acontece, para evitar ataques a Microsoft
liberou uma ferramenta que bloqueia a carga de DLLs de diretórios remotos, tais
como os de drives USB, sites web e unidades de rede, que são todos os possíveis
vetores.

“A ferramenta restringe a carga de bibliotecas remotas em
nível de aplicativo ou de forma mais abrangente”, disse Budd. A ferramenta pode
ser baixada usando links específicos para as diversas versões do Windows, de
acordo com um documento de suporte técnico recém-publicado.

Foco em empresas
A ferramenta da Microsoft tem como foco empresas, não
consumidores, explicou Budd, e não será fornecida aos clientes automaticamente
por meio do serviço de Atualizações Automáticas.

No aviso, a Microsoft citou outras soluções paliativas que
estariam disponíveis, incluindo o bloqueio do tráfego de Server Message Block
(SMB) no firewall e o desligamento do cliente web embutido do Windows. Na
semana passada, com base em seu trabalho preliminar, Moore recomendou aos
usuários que fizessem as duas coisas.

Budd também argumentou que as possíveis explorações citadas
por Moore e outros representam um novo vetor de ataque, uma alegação que alguns
pesquisadores rejeitam.

“Isso é conhecido desde 2000, e eu também o reportei em 2006”,
disse o pesquisador israelense Aviv Raff na segunda-feira, pelo Twitter. Aviv
revelou um bug de sequestro de carga de DLL no Internet Explorer 7 (IE7) em
dezembro de 2006. A Microsoft esperou até abril de 2009 para consertar a
vulnerabilidade denunciada por Raff.

A Microsoft recusou-se a dizer se alguma aplicação sua traz
a falha de programação que poderia torná-la vulnerável. “Nós estamos analisando
nossos produtos e pesquisando”, disse Budd. “Se houver vulnerabilidades, nós as
consertaremos.”

Na segunda-feira, diversos pesquisadores de segurança mostraram-se
interessados em saber se qualquer software da Microsoft estaria em risco. Em
caso afirmativo, isso significaria que os desenvolvedores da Microsoft não
seguiram o conselho que a própria empresa deu aos programadores parceiros.

Budd disse que não poderia confirmar imediatamente se a
Microsoft sabia da vulnerabilidade de sequestro de carga de DLL desde agosto de
2009. Foi nessa data que o pesquisador da Universidade da Califórnia Taeho Kwon
disse ter contatado a empresa. Budd disse ter entendido que a Microsoft tem
trabalhado no problema somente “há umas duas semanas”.

Se a estimativa de Kwon estiver precisa, a falta de
habilidade da Microsoft em dizer quais de seus produtos estão vulneráveis, se é
que há algum, parecerá especialmente estranha aos pesquisadores.

A equipe de engenharia do MSRC também publicou alguma
informação técnica sobre o vetor de ataque e a ferramenta de bloqueio no blog
oficial Security Research & Defense.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail