Novo ataque prova facilidade para explorar falha do Windows
Por Computerworld/EUA
Publicada em 31 de janeiro de 2008 às 09h43
Atualizada em 31 de janeiro de 2008 às 09h48
Framingham - Novo código de exploração desmente Microsoft, que afirmou que bug no TCP/IP seria 'difícil ou improvável' de ser explorado.
Pesquisadores de segurança desmentiram a afirmação da Microsoft que a primeira vulnerabilidade crítica do Windows este ano seria “difícil ou improvavelmente” exploradas por hackers.
Na terça-feira (29/01), a Immunity atualizou um código eficiente na exploração para falha de TCP/IP divulgada pela Microsoft no boletim de segurança MS08-001, o primeiro deste ano. A empresa especializada em segurança publicou um arquivo em Flash com a demonstração do ataque.
O código, divulgado aos clientes de seu software de testes de invasão Canvas, é uma versão revisada daquele apresentado há duas semanas.
“Isso demonstra que a vulnerabilidade em questão é altamente explorável”, afirma Dave Aitel, diretor de tecnologia da Immunity, em uma mensagem enviada à sua lista Dailydave.
Aitel desmente a afirmação feita pela Microsoft de que “existe uma série de fatores que torna a exploração desse bug difícil e improvável de acontecer em condições normais.” Porém, o especialista admite que o novo código não é 100% confiável.
Outras empresas de segurança apoiaram o código e emitiram novos alertas a seus clientes. A Symantec, por exemplo, enviou um novo comunicado aos clientes usuários do software DeepSight. “O ataque indica um código de execução remota”, diz a Symantec. “O código funciona contra o Windows XP SP2 English Default, e mostra dois PCs com esta versão do sistema em uma sub-rede local com firewall habilitado.”
No comunicado, a empresa sugere que aqueles que ainda não tenham instalado as correções disponibilizadas pela Microsoft o façam o quanto antes. A companhia divulgou a atualização em 8 de janeiro.
Os ataques bem-sucedidos realizados pela Immunity - e qualquer código semelhante desenvolvido por outras empresas - permitem que um código arbitrário seja executado no contexto do kernel do Windows, um cenário especialmente aplicável ao Windows Vista, explicou a Symantec.
“Ele é especialmente crítico no Vista devido aos mecanismos de segurança de seu kernel”, disse a Symantec. “Um usuário local, mesmo um administrador, pode ter dificuldade para introduzir código nesse kernel. Mas nesse caso, isso pode ser feito remotamente, sem qualquer tipo de autenticação.”
A Symantec diz ainda que “esta vulnerabilidade representa uma oportunidade não apenas para que um código arbitrário seja executado no sistema, mas também para a instalação de backdoors e outras ferramentas maliciosas.”
Em seu boletim de segurança, divulgado no último dia 8, a Microsoft classificou a falha do IGMP (Internet Group Management Protocol) como “crítica” para o Windows XP SP2, Windows Vista, Windows Small Business Server e Windows Home Server. Em outras versões, incluindo o Windows Server 2003, o bug foi classificado como “importante”.
Na terça-feira (29/01), a Immunity atualizou um código eficiente na exploração para falha de TCP/IP divulgada pela Microsoft no boletim de segurança MS08-001, o primeiro deste ano. A empresa especializada em segurança publicou um arquivo em Flash com a demonstração do ataque.
O código, divulgado aos clientes de seu software de testes de invasão Canvas, é uma versão revisada daquele apresentado há duas semanas.
“Isso demonstra que a vulnerabilidade em questão é altamente explorável”, afirma Dave Aitel, diretor de tecnologia da Immunity, em uma mensagem enviada à sua lista Dailydave.
Aitel desmente a afirmação feita pela Microsoft de que “existe uma série de fatores que torna a exploração desse bug difícil e improvável de acontecer em condições normais.” Porém, o especialista admite que o novo código não é 100% confiável.
Outras empresas de segurança apoiaram o código e emitiram novos alertas a seus clientes. A Symantec, por exemplo, enviou um novo comunicado aos clientes usuários do software DeepSight. “O ataque indica um código de execução remota”, diz a Symantec. “O código funciona contra o Windows XP SP2 English Default, e mostra dois PCs com esta versão do sistema em uma sub-rede local com firewall habilitado.”
No comunicado, a empresa sugere que aqueles que ainda não tenham instalado as correções disponibilizadas pela Microsoft o façam o quanto antes. A companhia divulgou a atualização em 8 de janeiro.
Os ataques bem-sucedidos realizados pela Immunity - e qualquer código semelhante desenvolvido por outras empresas - permitem que um código arbitrário seja executado no contexto do kernel do Windows, um cenário especialmente aplicável ao Windows Vista, explicou a Symantec.
“Ele é especialmente crítico no Vista devido aos mecanismos de segurança de seu kernel”, disse a Symantec. “Um usuário local, mesmo um administrador, pode ter dificuldade para introduzir código nesse kernel. Mas nesse caso, isso pode ser feito remotamente, sem qualquer tipo de autenticação.”
A Symantec diz ainda que “esta vulnerabilidade representa uma oportunidade não apenas para que um código arbitrário seja executado no sistema, mas também para a instalação de backdoors e outras ferramentas maliciosas.”
Em seu boletim de segurança, divulgado no último dia 8, a Microsoft classificou a falha do IGMP (Internet Group Management Protocol) como “crítica” para o Windows XP SP2, Windows Vista, Windows Small Business Server e Windows Home Server. Em outras versões, incluindo o Windows Server 2003, o bug foi classificado como “importante”.
Gregg Keizer, editor do Computerworld, de Framingham
Compartilhe:
- DEL.ICIO.US
- GOOGLE BOOKMARKS
- TECHNORATI
- DIGG
Agora no Twitter
CONTEÚDO RELACIONADO:
IDG NOW! BUSCA:
Links patrocinados
ÚLTIMAS NOTÍCIAS DO IDG NOW!:
- IBOPE tomará providências sobre caso R7
- Dilma Rousseff defende regulamentação de profissões de TI
- Justiça dos EUA reduz indenização em caso de pirataria de música
- Pacote conserta 11 bugs do RealPlayer; CERT recomenda aplicação
- Google aprimora busca a fatos e eventos
- Mercado de música digital cresce, mas indústria ainda sofre com pirataria
Receba notícias do IDG Now! no celular
Cuidado com URLs curtas
Modalidade deve ser uma das maiores ameaças virtuais em 2010, segundo a Symantec.
Governança corporativa
Investimentos para proteger a informação nem sempre freiam as ações dos crackers.
Links patrocinados
All Tasks realiza localização de software e help files
Conheça o Exadata Storage Server, um produto de armazenamento altamente otimizado para uso com o banco de dados Oracle.
Conheça o Oracle Database 11g, disponível numa variedade de edições sob medida para atender necessidades de TI e negócios.
Torne sua infraestrutura de TI mais robusta e tolerante a falhas, maximize seu retorno e forneça melhor qualidade de serviço.
Saiba como o In-Memory Database Cache acelera processos, gera inteligência comercial e facilita contatos com o cliente.
Veja como melhorar sua produtividade e visibilidade com um conjunto de ferramentas que otimiza processos de negócios.
Uma revolução em agilidade: como fazer a integração de negócios através de uma arquitetura orientada a serviços.
Veja como utilizar o conteúdo do site líder em notícias sobre tecnologia a seu favor.
