Home > Notícias

Microsoft confirma que Windows XP tem falha de criptografia

Microsoft não assume, contudo, que bug é uma vulnerabilidade de segurança

Por Computerworld/EUA

22/11/2007 às 11h55

Foto:

O Windows XP tem as mesmas falhas de criptografia que pesquisadores de Israel descobriram recentemente no Windows 2000, confirmaram executivos da Microsoft na terça-feira (20/11).

Leia mais:

Os pesquisadores, Benny Pinkas da University of Haifa e os estudantes da Hebrew University, Zvi Gutterman e Leo Dorrendorf, fizeram a engenharia reversa do algoritmo usado pelo gerador aleatório de números (PRNG, do inglês pseudo random number generator) do Windows 2000 e então dividiram a criptografia do sistema operacional.

Os atacantes poderiam explorar um bug no PRNG, segundo Pinkas e os estudantes, para prever chaves de criptografia que seriam criadas no futuro, assim como revelar as chaves que foram geradas no passado.

Na sexta-feira (16/11), a Microsoft escapou de responder sobre a possibilidade de o XP e o Vista serem atacados da mesma forma, afirmando apenas que as últimas versões do Windows têm “várias mudanças e aprimoramentos no gerador aleatório de números.”

Na terça-feira (20/11), a Microsoft reconheceu que o Windows XP está vulnerável ao ataque complexo que Pinkas e os estudantes apresentaram.

Segundo a Microsoft, o Windows Server 2003 e a versão 2008 - ainda não lançada -, aparentemente usam um gerador modificado ou diferente, tornando-os imunes à estratégia de ataques.

A empresa também disse que o Windows XP Service Pack 3 (SP3), que deve ser lançado no primeiro semestre de 2008, inclui ajustes na falha do gerador.

Mesmo assumindo a fragilidade do PRNG, a Microsoft continuou a ignorar a possibilidade de um ataque. “Se um atacante já comprometeu a máquina de uma vítima, um ataque teórico poderia ocorrer no Windows XP”, afirmou uma porta-voz da empresa.

Para explorar as falhas do PRNG, um atacante deve ter privilégios de administração do PC, algo que é obtido facilmente em ataques, disse Pinnkas.

A Microsoft sempre recusou que o Windows 2000 possuía uma vulnerabilidade de segurança, e manteve sua posição com o XP. “Como são necessários privilégios de administração para o sucesso do ataque e estes podem acessar todos os arquivos de um sistema, não é como revelar informações inapropriadamente”, acrescentou a porta-voz.

Pinkas e os alunos ofereceram ajuda à Microsoft após reportar o problema. Uma vez que a empresa determinou que o problema com o PRNG não é uma vulnerabilidade de segurança, contudo, é improvável que o bug seja ajustado.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail