Home > Notícias

Alertas de segurança do Windows Vista camuflam crackers

Principal novidade de segurança do Vista, Controle de Contas do Usuário, pode esconder ataques online para roubo de informações, afirma Symantec

Por Gregg Keizer, para o IDG Now!*

22/02/2007 às 15h05

Foto:

Principal novidade de segurança do Vista, Controle de Contas do Usuário, pode esconder ataques online para roubo de informações, afirma Symantec

O Controle de Contas do Usuário (CCA), novo sistema do Windows Vista que torna o sistema operacional mais seguro de ataques online, pode ser enganado e não deve ser completamente confiável, afirma pesquisa da Symantec, divulgada nesta quinta-feira (22/02).

Ollie Whitehouse, desenvolvedor do time de ameaças avançadas da Symantec, usou o blog da equipe para apontar que um cracker poderia usar um arquivo incluído no Vista para camuflar o alerta do CCA como um conselho do próprio Windows.

O processo para burlar é complicado, mas já foi comprovado, disse Whiteshouse, com a necessidade de o usuário cair em alguns truques promovidos pelo cracker. "O cenário mais provável é que o usuário seja infectado por códigos maliciosos ou uma vulnerabilidade em uma aplicação como o Office ou um navegador", afirmou em entrevista.

A partir daí, o código malicioso forjaria um arquivo “.dll" no disco rígido do usuário, rodando uma versão para administradores do Vista, que pode ser formatado pelo usuário. Como o usuário tem direito de promover alterações, o CCA não informaria sobre o ataque.

Finalmente, o código malicioso acionaria o comando que oferece compatibilidade do Vista com antigos plug-ins para o Windows Controle Panel, chamado de "RunLegacyCPLElevated.exe", que rodará o arquivo forjado.

A ação engatilha um alerta do CCA, mas como o RunLegacyCPLElevated.exe está programado com totais privilégios, a caixa de diálogo tem a cor verde que representa compatibilidade com o Vista, o que induz ser uma checagem padrão.

Ao clicar no botão "Confirma", o código malicioso ganha privilégios administrativos, dando à praga total acesso à máquina.

"As cores diferentes implicam no nível de confiança", argumenta Whitehouse. "O verde significa que o alerta está vindo do próprio Vista. Cinza significa que é de uma outra aplicação, mas com certificado de segurança. Laranja aponta programas sem certificação, com segurança questionável".

O Windows Vista também reproduz janelas do CCA em vermelho para indicar programas que estão automaticamente bloqueados.

"Será que o usuário tratará este alerta do CCA com a mesma precaução sempre?", questiona ele? Sua resposta é não. Usuários, como a Microsoft quis com as cores selecionadas, notarão as cores na caixa de diálogo e poderão ignorar um segundo pensamento, afirmou ele.

"Mesmo que exija interação do usuário, o truque pode marcar algo na maneira em que soa menos alarmante. O CCA é apenas uma das ferramentas que a Microsoft desenvolveu para tornar seu novo sistema ainda mais seguro. Mas tanto esforço pode prejudicar" ainda mais a Microsoft, diz ele.

Whitehouse afirmou ter entrado em contato com o Centro de Resposta de Segurança da Microsoft (do inglês, MSRC) há cerca de duas semanas para relatar suas descobertas. "Eles não consideraram isto um problema", afirmou.

Ao invés disto, o grupo indicou o documento "Security Best Practice Guidance for Consumers" para o pesquisador.

"É importante lembrar que os alertas do CCA não são garantias de segurança - eles não oferecem nenhuma proteção direta", afirma Whitehouse.

"Eles oferecem uma chance para verificar a ação antes que ela aconteça. Uma vez dada a permissão, pode não haver jeito de voltar. Por isto que, enquanto a Microsoft usa a palavra 'confiança' em relação ao CCA em sua documentação, há o fato real de que o sistema pode não ser tão confiável assim".

A Symantec é uma crítica costumeira das novidades de segurança oferecidas pela Microsoft no Windows Vista - incluindo uma discussão pública sobre a proteção de kernel da versão de 64-bits do Windows vista, chamada de "PatchGuard".

Whitehouse negou que há relações entre sua pesquisa e possíveis produtos da Symantec que corrigem supostos problemas com o CCA.

*Gregg Keizer é editor do ComputerWorld, em Framingham.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail