Falha permite controle do Windows
Nos últimos dias, também já foram criados worms que se aproveitam da
brecha de segurança. A Microsoft já anunciou que só vai publicar uma
nova correção para o bug na semana que vem, por isso, é bom se proteger.
Abaixo, publicamos uma lista de perguntas e respostas a respeito do
problema e de como se prevenir de ataques.
1 - Em que consiste o problema?
Trata-se de um buffer (memória temporária) indevidamente verificado no
processamento de imagens em formato WMF (Windows Metafile, ou metarquivo
do Windows). Uma imagem WMF é um arquivo de 16 bits com informações
sobre vetores e bitmaps usados em arquivos gráficos e desenvolvido para
melhorar o processamento de imagens pelo sistema operacional Windows.
Especificamente, o problema se encontra no arquivo de biblioteca
"shimgvw.dll", usado por programas como o Visualizador de Imagens e Fax
do Windows. No entanto, há informações de que o uso de qualquer outro
aplicativo que "chame" esta biblioteca para funcionar pode desencadear a
exploração da falha no buffer. Isso inclui o aplicativo Paint, do
Windows, e até o Google Desktop, que faz a indexação de vários tipos de
arquivos armazenados no sistema.
2 - Como a falha pode ser explorada num ataque?
Este é um tipo de vulnerabilidade chamada de execução remota de código.
Isso significa que a falha pode ser explorada a distância, pela
Internet. Basta que o usuário seja induzido a abrir uma imagem
especialmente criada para o ataque ou visualizar uma pasta que contenha
tal imagem. Remotamente, isso pode ser feito por meio de links para
páginas que contenham arquivos gráficos maliciosos visualizadas com o
Internet Explorer e versões mais antigas do Firefox, ou mesmo quando o
usuário abre, usando o Microsoft Outlook ou Outlook Express, um e-mail
em formato gráfico (isto é, um arquivo HTML) contendo uma imagem
maliciosa. Também é possível esconder a imagem num documento do Office
(um arquivo Word ou uma planilha Excel, por exemplo) ou num programa que
a utilize, e convencer o usuário a abrir o documento ou executar o
programa.
3 - O que ocorre se a vulnerabilidade for explorada?
Caso um invasor consiga convencer o usuário a visualizar a imagem
maliciosa e explorar o bug com sucesso, poderá tomar controle total do
sistema, com os mesmos direitos que o usuário tem na máquina. Se o
usuário estiver como administrador do sistema, o invasor poderá executar
qualquer ação que desejar, incluindo apagar, modificar ou renomear
arquivos, acessar dados privados, executar programas e criar novas
contas de usuário no sistema.
4 - Qual a situação real de exploração da falha hoje?
Desde que o exploit foi publicado, em 28 de dezembro de 2005, já foram
criadas diversas páginas Web para hospedá-lo, bem como variantes do
arquivo, incluindo worms que se distribuem e rodam automaticamente.
Segundo a empresa de segurança F-Secure, as primeiras versões do exploit
instalavam diversos trojans e spywares (programas espiões) no sistema,
como Trojan-Downloader.Win32.Agent.abs, Trojan-Dropper.Win32.Small.zp,
Trojan.Win32.Small.ga e Trojan.Win32.Small.ev. O primeiro worm
encontrado pela empresa surgiu aproximadamente no último dia do ano
passado e se disseminava via MSN Messenger, trazendo um link para uma
suposta imagem de Natal ("xmas-2006 FUNNY.jpg"), que desencadeava a
exploração do bug. Esta semana, foram reportadas mensagens de e-mail
enviadas na forma de spam, contendo imagens maliciosas ou links para
sites que hospedam arquivos criados para se aproveitar da falha. Como
conseqüência, os sistemas afetados poderiam ser infectados com backdoors
(arquivos espiões ocultos) ou bots, programas que formam as botnets,
redes de computadores escravizados (os chamados zumbis). Também já
existem kits, ainda que rudimentares, para a criação automática de
exploits. Até a semana passada, já tinham sido registradas cerca de 60
versões diferentes de arquivos WMF maliciosos.
5 - Quais sistemas estão vulneráveis?
Qualquer versão do Windows que processe metarquivos WMF. Este tipo de
arquivo foi criado pela Microsoft ainda no final da década de 1980, mas
só foram lançados aplicativos para processá-lo, como o Visualizador de
Imagens e Fax do Windows, nas versões mais recentes do sistema. Na
prática, apenas o Windows XP e o Windows 2003 parecem ser
comprovadamente afetados pelo problema, mesmo que estejam com todas as
correções de segurança instaladas. No entanto, o comunicado da Microsoft
(em português) a respeito da vulnerabilidade relaciona também o Windows
98, Windows 98 SE e Windows ME como sistemas potencialmente afetados.
Aparentemente, essas versões mais antigas possuem uma vulnerabilidade
semelhante, porém em um outro mecanismo de processamento de imagens,
chamado de GDI (Graphical Device Interface), mas esse mecanismo não
executa arquivos WMF e não poderia ser atacado com os exploits
específicos para esse formato. Há, porém, outros arquivos maliciosos que
já exploram vulnerabilidades antigas detectadas no GDI e também podem
surgir variantes para explorar a falha atual. A F-Secure lembra também
que o Windows 2000 pode se tornar vulnerável se o usuário utilizar algum
dos muitos programas para manipulação de imagens criados por outros
fabricantes que possam ler arquivos WMF.
6 - Como se proteger de ataques?
Ainda não há uma correção oficial para a vulnerabilidade. Em novembro de
2005, a Microsoft lançou o boletim MS05-053, com um patch (correção) que
deveria resolver o problema, mas em dezembro verificou-se que o Windows
continuava vulnerável. A empresa só deverá lançar um novo patch na
próxima terça-feira, 10 de janeiro, junto do seu boletim de segurança
mensal. No entanto, as seguintes medidas de proteção podem ser tomadas:
