A Microsoft aconselhou os usuários do Windows, na sexta-feira (10/9), a bloquear os ataques ativos contra o popular visualizador de documentos PDF da Adobe por meio da instalação de uma ferramenta corporativa da Microsoft.

A Adobe replicou o conselho da Microsoft, afirmando que o kit, chamado EMET (de Enhanced Migration Experience Toolkit), poderia servir de obstáculo aos ataques que visam o Reader e o Acrobat.

Chamada de “assustador” e “esperto”, a exploração da falha veio à tona na semana passada. A pesquisadora de segurança Mila Parkour relatou o caso à Adobe depois de analisar um falso documento PDF anexado a um spam.

Inicialmente a Adobe alertou seus usuários sobre a ameaça mas, à época, não deu nenhuma orientação sobre como se proteger desses ataques enquanto uma correção não fosse liberada.

Na sexta-feira, a Microsoft voluntariou-se.

“A boa notícia é que, se você tem o EMET habilitado... Ele bloqueia o ataque”, afirmou Fermim Serna e Andrew Roths, dois engenheiros do Microsoft Security Response Center (MSRC), em uma mensagem publicada no blog do grupo.

Paliativo
O EMET, que foi atualizado no começo deste mês para a versão 2.0, é um paliativo projetado para manter a segurança de velhas aplicações enquanto as empresas atualizam para versões mais atuais – e teoricamente mais seguras – desses programas.

A ferramenta permite que administradores de TI e também consumidores ativem diversas defesas do Windows, como a ASRL (address-space layout randomization) e a DEP (data execution prevention, para aplicativos que não foram construídos tendo em vista tais recursos.

A mais nova brecha do PDF engana a DEP do Windows por meio de uma DLL (dynamic link library) usada pela Adobe nos dois programas. Geralmente, a ASLR previne a burla da DEP, mas de acordo com os pesquisadores e a Microsoft, a biblioteca “icucnv36.dll” não tem ASLR habilitada. Isto deu aos invasores uma forma de passar por cima de ambas as defesas.

Serna e Roths, da Microsoft, mostraram como usar o EMET para ativar o ASLR para o Reader e o Acrobat nas versões Vista, Windows 7, Server 2008 e Server 2008 R2, bloqueando a brecha atual. Uma tática diferente é necessária para proteger sistemas Windows XP e Server 2003, que não trabalham com o que a Microsoft chama de “ASLR obrigatório”.

Tanto a Microsoft como a Adobe admitem que tiveram pouco tempo para testar o impacto da proteção via EMET. “Por causa da urgência exigida pelo problema, nós fomos capazes apenas de estabelecer um olhar superficial em relação à compatibilidade funcional desta sugestão”, disseram Serna e Roths. “Recomendamos que você também teste a solução em seu ambiente como forma de minimizar qualquer impacto em seu trabalho.”