quarta-feira, 5 de janeiro de 2011

Falha do Windows

Falha grave do Windows permite invasão do micro apenas com visualização de imagem.

Se explorada, falha no motor de renderização de gráficos pode permitir que invasor instale programas e até crie contas com poderes completos.

O primeiro Patch Tuesday da Microsoft para 2011 está agendado para daqui a uma semana, em 11 de janeiro, mas nada como o agora para dar uma ideia do que nos espera durante o ano.

A Microsoft divulgou nesta terça-feira (4/1) um boletim de segurança sobre uma falha no motor de renderização gráfica em algumas versões do Windows que poderia ser explorada para comprometer sistemas vulneráveis.

Andrew Storms, diretor de operações de segurança da nCircle, enviou por e-mail seus comentários. “A Microsoft já tem um fabuloso 0-day no IE, um bug em controle Active X que foi alvo de uma advertência da Secunia, uma história muito maior sobre ‘crozz_fuzz’ e, hoje, um novo bug 0-day de renderização de imagens. Estamos nos primeiros dias de 2011 e a tendência da Microsoft em termos de segurança não parece boa.”

A vulnerabilidade afeta o Windows Graphics Rendering Engine nos sistemas Windows XP, Windows Vista, Windows Server 2003 e Windows Server 2008. De acordo com o aviso da Microsoft, “alguém que conseguir explorar esta vulnerabilidade poderá rodar código arbitrário no contexto de segurança do usuário logado. Um invasor poderia então instalar programas; ver, mudar ou apagar dados; ou criar novas contas com poderes completos.”

Potencialmente grave
Anup Ghosh, fundador e cientista-chefe da Invincea, descreve a questão em mais detalhes. “A novidade é uma nova vulnerabilidade que parece ter sido descoberta no motor de renderização gráfica do Windows e que pode ser explorada por meio de um arquivo de imagem .WMF. Como ela não exige muito envolvimento do usuário (basta que ele veja a imagem) e pode rodar código arbitrário para instalar rootkits/Trojans, a vulnerabilidade é potencialmente grave.”

Há duas linhas de separação. Primeiro, as versões atuais dos sistemas operacionais – Windows 7 e Windows Server 2008 R2 – não sofrem o impacto desta falha. Segundo, mesmo nas versões do Windows que são vulneráveis, não há registro de ataques que exploram essa falha.

Dito isso, a falha ainda está aí e, agora que é de conhecimento público, a ameaça de um ataque cresce substancialmente. A Microsoft nota, no entanto, que a vulnerabilidade não pode ser explorada automaticamente via e-mail, dizendo que “para um ataque ser bem-sucedido, um usuário deve abrir o anexo que é enviado em uma mensagem de e-mail”.

Storms concorda – e explica: “O cenário mais provável para esse exploit é um anexo de e-mail, tal como um documento do Office, que contém um gráfico malformado. Só de abrir o anexo o usuário já poderá se tornar vulnerável.”

Como solução temporária, a Microsoft recomenda modificar a lista de controle de acesso (ACL) para o arquivo shimgvw.dll. O boletim de segurança detalha como fazer isso para cada versão afetada do Windows. É preciso ficar alerta com o fato de que modificar o ACL resultará na exibição imperfeita de gráficos. Assim, você poderá impedir a falha de ser explorada, mas terá de sacrificar a funcionalidade de seu Windows.

A Microsoft afirma estar investigando o problema e, dado o prazo curto, não é razoável esperar que uma correção seja incluída no Patch Tuesday de janeiro. Se a vulnerabilidade se transformar em um ataque automatizado, ou começar a ser usada ativamente para comprometer sistemas em uso, é possível que a Microsoft possa se apressar e liberar um patch independente antes do Patch Tuesday de fevereiro, previsto para 8/2.

Nenhum comentário: