Total Security - infoguerra.com.br
Alertas de segurança do Windows Vista camuflam crackers
O Controle de Contas do Usuário (CCA), novo sistema do Windows Vista que torna o sistema operacional mais seguro de ataques online, pode ser enganado e não deve ser completamente confiado, afirma uma pesquisa da Symantec divulgada nesta quinta-feira (22/02).
Ollie Whitehouse, desenvolvedor do time de ameaças avançadas da Symantec, usou o blog da equipe para apontar que um cracker poderia usar um arquivo incluído no Vista para camuflar o alerta do CCA como um conselho do próprio Windows.
O processo para burlar é complicado, mas já foi comprovado, afirmou Whiteshouse, com a necessidade de o usuário cair em alguns truques promovidos pelo cracker.
O cenário mais provável é que o usuário seja infectado por códigos maliciosos ou uma vulnerabilidade em uma aplicação como o Office ou um navegador, afirmou em entrevista.
A partir daí, o código malicioso forjaria um arquivo “.dll no disco rígido do usuário, rodando uma versão para administradores do Vista, que pode ser formatado pelo usuário. Como o usuário tem direito de promover alterações, o CCA não informaria sobre o ataque.
Finalmente, o código malicioso acionaria o comando que oferece compatibilidade do Vista com antigos plug-ins para o Windows Controle Panel, chamado de RunLegacyCPLElevated.exe, que rodará o arquivo forjado.
A ação engatilha um alerta do CCA, mas como o RunLegacyCPLElevated.exe está programado com totais privilégios, a caixa de diálogo tem a cor verde que representa compatibilidade com o Vista, o que induz ser uma checagem padrão.
Ao clicar no botão Confirma, o código malicioso ganha privilégios administrativos, dando à praga total acesso à máquina.
As cores diferentes implicam no nível de confiança, argumenta Whitehouse. O verde significa que o alerta está vindo do próprio Vista. Cinza significa que é de uma outra aplicação, mas com certificado de segurança. Laranja aponta programas sem certificação, com segurança questionável.
O Windows Vista também reproduz janelas do CCA em vermelho para indicar programas que estão automaticamente bloqueados.
Será que o usuário tratará este alerta do CCA com a mesma precaução sempre?, questiona ele? Sua resposta é não. Usuários, como a Microsoft quis com as cores selecionadas, notarão as cores na caixa de diálogo e poderão ignorar um segundo pensamento, afirmou ele.
Mesmo que exija interação do usuário, o truque pode marcar algo na maneira em que soa menos alarmante. O CCA é apenas uma das ferramentas que a Microsoft desenvolveu para tornar seu novo sistema ainda mais seguro. Mas tanto esforço pode prejudicar ainda mais a Microsoft, diz ele.
Whitehouse afirmou ter entrado em contato com o Centro de Resposta de Segurança da Microsoft (do inglês, MSRC) há cerca de duas semanas para relatar suas descobertas. Eles não consideraram isto um problema, afirmou.
Ao invés disto, o grupo indicou o documento Security Best Practice Guidance for Consumers para o pesquisador.
É importante lembrar que os alertas do CCA não são garantias de segurança - eles não oferecem nenhuma proteção direta, afirma Whitehouse.
Eles oferecem uma chance para verificar a ação antes que ela aconteça. Uma vez dada a permissão, pode não haver jeito de voltar. Por isto que, enquanto a Microsoft usa a palavra "confiança" em relação ao CCA em sua documentação, há o fato real de que o sistema pode não ser tão confiável assim.
A Symantec é uma crítica costumeira das novidades de segurança oferecidas pela Microsoft no Windows Vista - incluindo uma discussão pública sobre a proteção de kernel da versão de 64-bits do Windows vista, chamada de PatchGuard.
Whitehouse negou que há relações entre sua pesquisa e possíveis produtos da Symantec que corrigem supostos problemas com o CCA.
Fonte: IDG NOW!
Ollie Whitehouse, desenvolvedor do time de ameaças avançadas da Symantec, usou o blog da equipe para apontar que um cracker poderia usar um arquivo incluído no Vista para camuflar o alerta do CCA como um conselho do próprio Windows.
O processo para burlar é complicado, mas já foi comprovado, afirmou Whiteshouse, com a necessidade de o usuário cair em alguns truques promovidos pelo cracker.
O cenário mais provável é que o usuário seja infectado por códigos maliciosos ou uma vulnerabilidade em uma aplicação como o Office ou um navegador, afirmou em entrevista.
A partir daí, o código malicioso forjaria um arquivo “.dll no disco rígido do usuário, rodando uma versão para administradores do Vista, que pode ser formatado pelo usuário. Como o usuário tem direito de promover alterações, o CCA não informaria sobre o ataque.
Finalmente, o código malicioso acionaria o comando que oferece compatibilidade do Vista com antigos plug-ins para o Windows Controle Panel, chamado de RunLegacyCPLElevated.exe, que rodará o arquivo forjado.
A ação engatilha um alerta do CCA, mas como o RunLegacyCPLElevated.exe está programado com totais privilégios, a caixa de diálogo tem a cor verde que representa compatibilidade com o Vista, o que induz ser uma checagem padrão.
Ao clicar no botão Confirma, o código malicioso ganha privilégios administrativos, dando à praga total acesso à máquina.
As cores diferentes implicam no nível de confiança, argumenta Whitehouse. O verde significa que o alerta está vindo do próprio Vista. Cinza significa que é de uma outra aplicação, mas com certificado de segurança. Laranja aponta programas sem certificação, com segurança questionável.
O Windows Vista também reproduz janelas do CCA em vermelho para indicar programas que estão automaticamente bloqueados.
Será que o usuário tratará este alerta do CCA com a mesma precaução sempre?, questiona ele? Sua resposta é não. Usuários, como a Microsoft quis com as cores selecionadas, notarão as cores na caixa de diálogo e poderão ignorar um segundo pensamento, afirmou ele.
Mesmo que exija interação do usuário, o truque pode marcar algo na maneira em que soa menos alarmante. O CCA é apenas uma das ferramentas que a Microsoft desenvolveu para tornar seu novo sistema ainda mais seguro. Mas tanto esforço pode prejudicar ainda mais a Microsoft, diz ele.
Whitehouse afirmou ter entrado em contato com o Centro de Resposta de Segurança da Microsoft (do inglês, MSRC) há cerca de duas semanas para relatar suas descobertas. Eles não consideraram isto um problema, afirmou.
Ao invés disto, o grupo indicou o documento Security Best Practice Guidance for Consumers para o pesquisador.
É importante lembrar que os alertas do CCA não são garantias de segurança - eles não oferecem nenhuma proteção direta, afirma Whitehouse.
Eles oferecem uma chance para verificar a ação antes que ela aconteça. Uma vez dada a permissão, pode não haver jeito de voltar. Por isto que, enquanto a Microsoft usa a palavra "confiança" em relação ao CCA em sua documentação, há o fato real de que o sistema pode não ser tão confiável assim.
A Symantec é uma crítica costumeira das novidades de segurança oferecidas pela Microsoft no Windows Vista - incluindo uma discussão pública sobre a proteção de kernel da versão de 64-bits do Windows vista, chamada de PatchGuard.
Whitehouse negou que há relações entre sua pesquisa e possíveis produtos da Symantec que corrigem supostos problemas com o CCA.
Fonte: IDG NOW!
URL Fonte: https://infoguerra.com.br/noticia/1732/visualizar/
Comentários