Se já era senso comum que usar Internet Explorer não era seguro, ultimamente parece que uma nuvem negra se adensa por cima do browser da Microsoft.
A ultima falha encontrada consiste em mais um ataque de um componente de ActiveX denominado Shell.Application. Esta falha é similar aquela encontrada a algum tempo e que foi tão falada mundialmente, a falha do componente de ActiveX Download.Ject, também chamado JS.scob.trojan (pode ver a notícia associada ao Download.Ject aqui). Nesses ataques, o cracker entra em servidores de IIS de vários sites populares e utiliza-os para dissiminar Cavalos de Troia que registam o que tudo o que é teclado no computador da victima(os chamados keyloggers), tal como proxy servers e outros malwares.
No caso da falha do Download.Ject, a Microsoft lançou um patch que desactivava a componente de ActiveX que o provocava. Para essa nova, é de esperar que façam o mesmo, no entanto, ainda não saiu nenhum patch para o resolver.
A parte mais estranha, é que essa falha já é conhecida nos círculos das empresas de Segurança, e como tal da Microsoft também como é o principal afectado, desde Janeiro de 2004. É interessante ver como a Microsoft leva a peito essa sua nova política de segurança, para que 6 meses depois de ser anunciada a falha esta ainda estar por resolver. Ou será que tem tantas falhas não reveladas para tratar que não arranjam tempo para todas?
Devido a todos esses eventos, a CERT (the U.S. Computer Emergency Readiness Team), qualquer coisa como : equipa de emergência de computadores dos Estados Unidos, e outros profissionais recomendam que os utilizadores ponderem sobre o facto de mudarem de browser para algo como Mozilla, Opera ou FireFox.
Na passada 6ª feira, a Microsoft publicou mais um boletim de segurança com um patch que "resolve"(esse resolve aqui aparece em tom irónico pois, verdade seja dita, não o resolve propriamente) uma vulnerabilidade considerada como crítica.
Esta vulnerabilidade é apresentada pelo browser da Microsoft, o Internet Explorer e, para resolver o problema, a Microsoft decidiu desactivar os componentes de ActiveX em alguns sistemas operativos da marca (Windows XP, Windows 2000, Windows 2003), de modo a proteger-se dessa vulnerabilidade visto que, ainda não o conseguiu resolver de outra forma para além do método drástico de desactivar componentes.
Várias empresas de segurança alertaram para essa vulnerabilidade no final do mês passado, revelando a existência de um servidor russo para o qual muitas páginas possuiam hyper-links que redireccionavam para lá e, lá, era descarregado para o computador da vítima um "Cavalo de Troia", ou seja, um programa malicioso que vai gravando as teclas digitadas pelo utilizador podendo desta forma revelar palavras passe, números de contas de crédito, entre muitas outras coisas.
Apesar de esse servidor ter sido desactivado, existe sempre o risco de outros existirem ou poderem vir a existir.
Nota: para verificar se o seu computador foi afectado através dessa vulnerabilidade, siga as recomendações da Microsoft presentes no bolhetim de segurança e pesquise pela existência no seu sistema do kk32.dll e do surf.dat (estes consistem nos "Cavalos de Troia" instalados atráves da vulnerabilidade do Internet Explorer).
Em declarações à C|net, Stephen Toulouse, gestor da área de segurança do Centro de Resposta da Microsoft, admitiu que esta alteração agora introduzida nos sistemas operativos Windows XP, Windows 2000 e Windows Server 2003 é um passo intermédio, já que a investigação ainda está a decorrer. É de esperar que nas próximas semanas seja publicado um patch mais alargado para este problema.
No entanto, é pena verificar que, um browser inundado de bugs e com muito menos funcionalidades(um exemplo notório é a incapacidade do Internet Explorer bloquear pop-ups) do que os browsers concorrentes (Mozilla, Opera, Netscape, ...) ainda seja tão usado causando muitas vezes mais problemas e dores de cabeças aos utilizadores do que o trabalho que seria necessário para instalar um outro browser mais seguro e mais completo.
A empresa inglesa de defesa BAE Systems produziu um painel furtivo que permite proteger as redes WiFi actuais, nomeadamente as das empresas, prevenindo que alguém do exterior possa "escutar" o que se passa nela.
Esse problema tem afectado bastantes empresas e organizações. Se bem que as redes WiFi permitem fornecer maior flexibilidade à rede interna, o facto é que essa solução se torna num grande problema já que, se não for devidamente controlada, qualquer indivíduo com equipamento WiFi relativamente próximo poderá beneficiar e possívelmente interferir com o bom funcionamento dessa rede WiFi (rede sem-fios).
Com esses paineis, a BAE afirma que será possível evitar que indivíduos exteriores à rede possam escutar o tráfego WiFi das empresas permitindo que as ondas de rádio e de telemóveis funcionem normalmente.
Existem duas versões desses paineis: uma versão passiva, que funciona de um modo permanente, e uma versão activa, que pode ser activada ou desactivada de modo a gerar uma maior área de acção ou restringir essa mesma área para a rede.
Estes paineis são feitos da mesma forma que os circuitos impressos (são constituidos por camadas de bronze e de um polyester chamado Kapton) e têm vindo a ser usados em caças e bombardeiros furtivos.
Os paineis terão uma espessura entre os 50 e 100 microns o que fará que possam ser aplicados na maioria das superfícies, vidro inclusivé.
Outra possível vantagem desta tecnologia é a possibilidade de prevenir o "ruido" existente na rede no caso da existência de empresas com esse tipo de redes muito próximas umas das outras.
Até à data não existe nenhuma data de comercialização dessa tecnologia anunciada.
Foi revelado pela US-CERT uma nova vulnerabilidade nos computadores que corram Internet Explorer no Windows (ou seja praticamente todos os computadores que corram Windows). Essa vulnerabilidade de "cross-domain scripting" consiste numa falha do sistema de ajudas do Windows que permite assim executar código malicioso como se se tratasse do utilizador do internet Explorer. Ou seja, pode permitir a que o atacante ganhe liberdade de acções sobre o pc da vítima.
O motivo dessa falha surgir com o sistema de ajudas do Windows é que, esse sistema de ajuda utiliza o motor de HTML do Internet Explorer e é consequência de um problema do tratamento de determinados ficheiros de ajuda.
Ao convencer um utilizador a ver uma página HTML ou um e-mail contendo HTML, o atacante executa scpript's com mais privilégios ao qual seria normal, tendo privilégios iguais aos atribuidos ao Internet Explorer. Com essa falha é também possível ao atacante ver e modificar dados em outros websites (por exemplo ver cookies ou modificar o conteudo).
Atenção: Usar um browser difrente do Internet Explorer ou um cliente de e-mail diferente do Outlook (o Outlook utiliza o renderizador HTML do IE) pode não resolver o problema já que, é possível que esses chamem o IE para esse apresentar o documento de ajuda ("help").
Até à data, ainda não existe patch disponível para resolver essa falha, porem, as pessoas que saibam o que esão a fazer, podem seguir as instrucções presentes no relatório apresentado pela US-CERT sobre como desactivar o tratamento de protocolos ITS e como tal resolver o problema (a custo de possíveis problemas secundários).
Entretanto, já foram identificados uma série de virus que exploram essa falha, o cavalo de troia Ibiza, variantes do w32/BugBear e o BloodHound.Exploit.6. Não convém esquecer que quaisquer dados arbitrários podem ser executados localemente através de essa falha.
Preparem os anti-virus e cuidados com os link's que não conheça pois essa falha pode ter consequências muito nefastas.
O site da Associação da Indústria Discográfica da América, RIIA, está inacessível faz agora 6 dias (desde dia 17 de Março) devido à variante do virus MyDoom, o MyDoom.F.
Este virus, que já afectou largos milhares de computadores, afectou inicialmente a empresa SCO (MyDoom.A) e posteriormente a Microsoft (MyDoom.B). Desta vez, foi a RIAA a visada, devido às medidas severas e pouco apreciadas que tem praticado contra os cyber-utilizadores que vioalam os direitos de autores redistribuindo gratuitamente músicas entre si.
Para além de provocar um ataque contra a RIAA e a Microsoft, esse virus também tenta apagar do computador da vítima imagens, filmes e documentos de MS Office. Este virus é considerado de alto perigo.
Essa não foi a primeira vez que a RIIA foi alvo de um ataque do género. Em julho do ano passado, outra ataque de DDoS (negação de serviço) fez com que o site permanecesse offline durante 4 dias.
A RIAA recusou-se a comentar o sucedido.
Nos ultimos dias, as empresas de segurança tem descoberto um "festival" de novas variantes do virus Beagle, que já circula faz cerca de um ano. Estas novas variantes dão pelo nome de Beagle.Q, Beagle.R, Beagle.S, Beagle.T.
Não tarda para que o alfabeto seja insuficiente para poder classificar as variantes do virus Beagle, o que para os especialistas suporta a teoria de que os criadores destes virus estão a partilhar o código desses virus fazendo aparecer uma proliferação de virus com somente umas ligeiras diferenças.
A perigo dessas variantes do Beagle é que não usam anexos para infectar o computador da vítima, mas sim código html, aproveitando mais uma vulnerabilidade do Interner Explorer. Essa vulnerabilidade permite que esse código html presente no mail faça executar um programa que irá infectar o computador, abrir uma backdoor que pode vir a ser explorada por indivíduos mal intencionados e neutraliza as protecções anti-virus.
Para se proteger de esta falha do Internet explorer pode:
1- Fazer o download deste patch e instalar, corrigindo assim o problema.
2- Usar um brozer alternativo como é o caso do Mozilla, do FireFox, do Opera, entre outros...
O facto de estes virus não conterem anexos dificulta a sua detecção pelo anti-virus, e igualmente pelas pessoas já que ao não existir anexo não suspeitam que possa ser um virus. Estes virus também utilizam uma técnica denominada por spoofing, que forja o endreço do rementente.
Sugere-se a actualização do anti-virus e/ou desactivar no programa de mails a opção para ler em formato html. Apesar de ao desactivar, se perder a capacidade de ver cores e imagens nos mails, isso acaba por proteger contra uma série de virus deste tipo.
A Microsoft revelou nos ultimos dias 3 falhas de segurança existentes em que uma delas é referente ao MSN Messenger.
Essa falha, que afecta as versões 6.0 e 6.1 do MSN Messenger pode permitir que alguém mal intencionado possa observar o conteúdo do disco rígido da vítima. Esse "bug" foi considerada de risco médio.
Os utilizadores mais afectados por essa falha consistem nos utilizadores que não bloqueiem as mensagens anónimas. Quando os clientes não bloqueiam as conversações anónimas, é possível a indivíduos mal intencionados usarem essa vulnerabilidade para explorar o disco das vítimas, verifiancando dados críticos no disco, e isso mesmo que não esteja a fazer nenhuma conversações.
Devido a isso, a Microsoft sugere aos utilizadores de MSN Messenger para actualizaram o seu programa usando os patch's (ou seja, ficheiros que corrigem esse erro) disponibilizados. A empresa norte-americana pretende igual fazer passar avisos durante as sessões de chat dos utilizadores.
Outra vulnerabilidade que foi encontrada consiste numa falha existente no Outlook 2002 e já foi considerado como crítico. Essa falha faz com que seja possível a um hacker correr código malicioso aproveitando o código do internet explorer (porque o outlook usa o o código do internet explorer para trabalhar com mensagens que contenham html daí as successivas falhas que o outlook tem revelado). Esse códigos maliciosos que podem ser executados no computador da vítima faz com que o hacker possa tomar controlo do sistema.
O ultimo dos 3 bugs revelados, e o menos grave dos 3, consiste numa falha que permitirá fazer um ataque de DoS (Denial of Service) contra os servidores que corram Windows Media Services 4.1. Esse falha existe devido ao problema de dois componentes de este serviço lidarem com as ligações TCP/IP que, se o atacante mandar uma certa sequência de pacotes, poderá interromper o stream de vídeo desse servidor.
Uma nova falha crítica foi divulgada pela Microsoft, e o patch para corrigir essa falha, foi apresentado ontem, sendo que está falha é considerada crítica, aconselhando-se vivamente os utilizadores dos sistemas operativos windows afectados a instalarem urgentemente.
Essa falha, que foi descobera em Julho de 2003 por uma empresa norte-americana de segurança, afecta a ASN.1 library. Essa falha é provadado por um "buffer overflow" num buffer não verificado, pode vir a permitir que hackers mal-intencionados explorem com sucesso essa falha podendo executar código na máquina afectada com privilégios de sistema permitindo instalar programas, ver dados, apagar dados, mudar dados ou criar novos utilizadores legítimos para poder continuar a máquina afectada.
A Microsoft tem sido criticada pela demora que levou a apresentar uma resolução (mais de 6 meses), visto que se alguém mal intencionado tivesse conhecimento dessa informação antes do patch sair, as consequências poderiam ter sido desastrosas. No entanto, agora que essa informação foi revelada, a probabilidade de surgir um virus que aproveitará essa falha é de facto bastante elevada (falha essa que para algumas empresas de segurança foi considerada a pior de sempre na história do Windows).
Página com informações e patch aqui .
Sistemas afectados :
Microsoft Windows NT® Workstation 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows XP, Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition, Microsoft Windows XP 64-Bit Edition Service Pack 1
Microsoft Windows XP 64-Bit Edition Version 2003, Microsoft Windows XP 64-Bit Edition Version 2003 Service Pack 1
Microsoft Windows Server™ 2003
Microsoft Windows Server 2003 64-Bit Edition