Basta abrir um arquivo inocente na mesma pasta que o vírus para ser contaminado, Word, Firefox e Windows Media Player estão entre programas afetados
por Aylons Hazzud
Em nota técnica publicada esta semana , a Microsoft está alertando administradores e programas da ocorrência de ataques que afetam diversos programas populares, contaminando computadores sem que o usuário abra um arquivo específico. Para ser infectado, basta abrir um arquivo que esteja na mesma pasta que o vírus, mesmo que a pasta esteja em um pendrive ou sendo acessada pela internet através de WebDAV ou SMB.
A lista de programas vulneráveis inclui aplicativos populares e mesmo alguns que já vem instalados no Windows. Uma das listas de programas confirmadamente afetados, mantida pela consultoria Secunia , soma mais de 30 aplicações, entre elas o Mozilla Firefox, o Microsoft PowerPoint e o Windows Media Player Classic. Até um antivírus, o o avast!, consta como potencial porta de entrada para este ataque. Uma lista atualizada mais dinamicamente por um grupo de hackers expõe ainda mais programas, entre eles o Microsoft Word 2007.
A origem do problema é a maneira como os aplicativos lidam com arquivos DLL , que funcionam como pequenos programas chamados pelos aplicativos para realizar algumas tarefas.
As DLL são um dos fundamentos do Windows. Tabém chamadas de ?bibliotecas compartilhadas?, são pedaços de programas que podem ser usados por diversos aplicativos. Cada DLL tem uma função específica: algumas tratam da entrada e saída de arquivos no disco (salvar, abrir etc), outras cuidam do desenho das janelas na tela, algumas ainda tratam do tráfego de internet e assim por diante. Por exemplo, ao tentar abrir uma imagem, o Photoshop envia um comando para que o arquivo DLL apropriado crie a janela de abrir arquivos ? é por isso que a maioria das janelas no Windows são tão parecidas, pois frequentemente elas são geradas pelo mesmo arquivo DLL . Se o Paint também for criar uma janela de abrir arquivos, ele vai usar a mesma DLL para isso. Além das DLLs ?comuns? do Windows, usadas por todos os aplicativos, há algumas que são específicas de cada programa.
No ataque em questão, um arquivo DLL falso é colocado na mesma pasta que um arquivo a ser aberto. Ao tentar abrir o arquivo, a aplicação busca na mesma pasta as bibliotecas que realizam as tarefas necessárias. Neste momento, se o nome do DLL ?do mal? for o o mesmo que uma biblioteca DLL legítima usada pelo programa, ele será executado e o malware terá toda a liberdade que o aplicativo legítimo tem para fazer alterações no computador.
Em um artigo sobre o tema , a Microsoft declara que isto não é uma falha do Windows: procurar arquivos DLL em pastas é um comportamento importante e útil em várias situações. O problema surge quando programadores não tomam medidas para conferir se as bibliotecas carregadas são as originais. Apesar da argumentação, a empresa disponibilizou uma ferramenta paliativa , que permite ao administrador do computador ajustar este comportamento, tanto no sistema como um todo quanto para cada aplicação.
Este tipo de falha não é novidade: um relatório sobre este mecanismo de ataque data de mais de dez anos atrás , e recomendações da agência de segurança dos EUA , a NSA , já aconselhavam sobre como evitar o problema há 12 anos , informa o site especializado ?The H Security?.
Nenhum comentário:
Postar um comentário