Pesquisadores de segurança desmentiram a afirmação da Microsoft que a primeira vulnerabilidade crítica do Windows este ano seria “difícil ou improvavelmente” exploradas por hackers.

Na terça-feira (29/01), a Immunity atualizou um código eficiente na exploração para falha de TCP/IP divulgada pela Microsoft no boletim de segurança MS08-001, o primeiro deste ano. A empresa especializada em segurança publicou um arquivo em Flash com a demonstração do ataque.

O código, divulgado aos clientes de seu software de testes de invasão Canvas, é uma versão revisada daquele apresentado há duas semanas.

“Isso demonstra que a vulnerabilidade em questão é altamente explorável”, afirma Dave Aitel, diretor de tecnologia da Immunity, em uma mensagem enviada à sua lista Dailydave.

Aitel desmente a afirmação feita pela Microsoft de que “existe uma série de fatores que torna a exploração desse bug difícil e improvável de acontecer em condições normais.” Porém, o especialista admite que o novo código não é 100% confiável.

Outras empresas de segurança apoiaram o código e emitiram novos alertas a seus clientes. A Symantec, por exemplo, enviou um novo comunicado aos clientes usuários do software DeepSight. “O ataque indica um código de execução remota”, diz a Symantec. “O código funciona contra o Windows XP SP2 English Default, e mostra dois PCs com esta versão do sistema em uma sub-rede local com firewall habilitado.”

No comunicado, a empresa sugere que aqueles que ainda não tenham instalado as correções disponibilizadas pela Microsoft o façam o quanto antes. A companhia divulgou a atualização em 8 de janeiro.

Os ataques bem-sucedidos realizados pela Immunity - e qualquer código semelhante desenvolvido por outras empresas - permitem que um código arbitrário seja executado no contexto do kernel do Windows, um cenário especialmente aplicável ao Windows Vista, explicou a Symantec.

“Ele é especialmente crítico no Vista devido aos mecanismos de segurança de seu kernel”, disse a Symantec. “Um usuário local, mesmo um administrador, pode ter dificuldade para introduzir código nesse kernel. Mas nesse caso, isso pode ser feito remotamente, sem qualquer tipo de autenticação.”

A Symantec diz ainda que “esta vulnerabilidade representa uma oportunidade não apenas para que um código arbitrário seja executado no sistema, mas também para a instalação de backdoors e outras ferramentas maliciosas.”

Em seu boletim de segurança, divulgado no último dia 8, a Microsoft classificou a falha do IGMP (Internet Group Management Protocol) como “crítica” para o Windows XP SP2, Windows Vista, Windows Small Business Server e Windows Home Server. Em outras versões, incluindo o Windows Server 2003, o bug foi classificado como “importante”.