Três novos bugs de "dia-zero" assombram a Microsoft
Falhas em servidor web, navegador e Windows XP poderiam ser exploradas para invasão do sistema por cibercriminosos
A Microsoft enfrenta uma leva de vulnerabilidades de dia-zero em alguns de seus softwares mais importantes, conforme revelações feitas recentemente de que há bugs não corrigidos em produtos como Windows XP, Internet Explorer e até em seu servidor web.
Além de uma vulnerabilidade divulgada por um inflamado grupo de pesquisadores de segurança que se autointitula ironicamente Microsoft Spurned Researcher Collective (MSRC - mesma sigla que identifica o grupo de segurança da Microsoft), a empresa foi informada de pelo menos três outras falhas nas últimas semanas.
Na terça-feira (6/7), o pesquisador Soroush Dalili publicou informações sobre uma vulnerabilidade no Internet Information Services (IIS), servidor web da Microsoft.
De acordo com Dalili, que trabalha como analista de segurança da informação na indústria de cassinos e jogos de azar, a autenticação em versões antigas do IIS pode ser burlada, dando aos invasores uma porta de entrada em qualquer esquema de assalto a um servidor web corporativo.
O bug pode ser explorado no IIS 5.1, mas não nas versões mais recentes IIS 6, IIS 7 ou IIS 7.5, informou Dalili.
Ameaça minimizada
A Microsoft afirmou que investiga a vulnerabilidade. Mas, tal como respondeu ao alerta de bug do grupo independente MSRC, a empresa minimizou a ameaça. “O IIS não é instalado como um serviço padrão; além disso, para se tornarem vulneráveis, os usuários teriam que mudar a configuração padrão”, disse Jerry Bryant, um gerente de grupo do Microsoft Security Response Center, por e-mail.
A rastreadora de vulnerabilidades Secunia classificou a ameaça como “moderadamente crítica” – uma nota intermediária em sua escala de cinco passos.
No começo da semana, Ruben Santamarta, um pesquisador da empresa espanhola de segurança Wintercore, divulgou informações sobre uma vulnerabilidade no Internet Explorer 8 (IE8) e publicou o código de ataque – a falha afeta o IE8 em uso nos sistemas Windows XP, Vista e Windows 7.
Santamarta afirmou que o bug poderia ser utilizado para contornar duas barreiras digitais embutidas no Windows, a Data Execution Prevention (DEP) e ASLR (Address Space Layout Randomization).
Bug premiado
As técnicas que burlam o DEP e o ASLR não são nada novas: em março, o pesquisador holandês Peter Vreugdenhil explorou uma vulnerabilidade no IE8 sobre Windows 7 com um código de ataque que passou por cima do DEP e do ASLR, uma façanha que lhe rendeu 10 mil dólares na quarta edição do concurso anual Pwn2Own.
A Microsoft também minimizou a questão levantada por Santamarta, o que não surpreendeu já que havia feito o mesmo ao comentar a invasão ocorrida na Pwn2Own.
“Não se trata de um contorno direto de ASLR, e só funciona sob certas condições”, disse Bryant. “Um invasor teria de usar isso em conjunto com uma vulnerabilidade não corrigida se quiser explorar um sistema.” No mesmo e-mail, Bryant recusou-se a chamar o bug de vulnerabilidade de segurança. “Esta não é uma vulnerabilidade, mas uma técnica que atenua uma defesa”, disse.
Brecha na biblioteca
No mês passado, alguém identificado apenas como “fl0 fl0w” publicou código de exploração para uma falha em uma importante biblioteca usada para desenvolver programas de terceiros por meio do pacote de programação Visual Studio.
O bug na Microsoft Foundation Classes (MFC), um conjunto de bibliotecas de código que dá acesso às APIs do Windows em programas escritos em C++, pode ser explorado por meio de alguns softwares de terceiros escritos com Visual Studio. O usuário “fl0 fl0w” disse que seu código de ataque pode comprometer um PC com Windows via PowerZip, um utilitário de arquivamento de baixo custo.
A Microsoft disse que sua investigação preliminar mostrou que apenas que o Windows 2000 e o XP seriam vulneráveis ao ataque via MFC. “Nós temos investigado as denúncias (...) e os manteremos informados quando surgirem mais informações”, afirmou a empresa em sua conta oficial de segurança no Twitter, na segunda-feira (5/7).
Dedo da Google
Os quatro novos informes de falhas de dia-zero não são as únicas dores-de-cabeça para os engenheiros de segurança da Microsoft. Eles ainda não consertaram a falha crítica do Windows que foi publicada no mês passado por Tavis Ormandy depois que a Microsoft não se comprometeu com uma data para correção.
Ormandy, que trabalha para a equipe de segurança da Google, está no centro de um debate entre pesquisadores, que questionam sua decisão de tornar a brecha pública. O Microsoft-Spurned Researcher Collective foi formado justamente como reação à sugestão feita pela Microsoft de ligar as intenções de Ormandy a seu empregador.
Essa vulnerabilidade tem sido explorada ativamente por cibercriminosos desde 15 de junho.
A próxima publicação de correções da Microsoft, a chamada Patch Tuesday, está prevista para 13 de julho. A empresa tem mantido os lábios cerrados sobre se irá ou não consertar a falha apontada por Ormandy. Mas, a julgar pelo que já fez no passado, é bastante improvável que a Microsoft vá montar e testar correções para as outras falhas de dia-zero a tempo de serem incluídas no pacote de correções da semana que vem.
