domingo, 1 de abril de 2007

CUIDADO! Esta página esta infectada!

Sim, esta é realmente uma brincadeira de primeiro de abril, mas o título deste post poderia ser verdade. A nova vulnerabilidade dos cursores animados do Windows CVE-2007-0038 (0-day .ANI vulnerability), agora já não tão "zero-day" assim, deve ser cuidadosamente analisada neste início de semana. O Infocon (do ISC) e o Symantec's ThreatCon já foram alterados para um nível de alerta maior devido à esta nova vulnerabilidade - e esta não é história de primeiro de abril.

A Microsoft confirmou esta vulnerabilidade no último dia 29 - ainda sem disponibilizar o patch, no "Microsoft Security Advisory (935423)" - e provocou uma série de notícias sobre uma vulnerabilidade ainda "sem correção". Ok, você está lendo este post pois com certeza já aplicou o patch no seu computador pessoal e em todos os outros que você administra, certo? Ok, vamos lá, a Microsoft promete disponbilizar o patch até o próximo dia 3...

Como o MSIE faz o download e executa automaticamente um arquivo .ani referenciado dentro de uma página HTML esta vulnerabilidade pode ser facilmente explorada somente deixando um arquivo infectado disponível em um servidor e referenciando este arquivo em uma página web - o que abre um leque enorme de possibilidades associadas a cross-site scripting, SQL injection, etc. além da facilidade de propagação através de worms, por exemplo, baseados em mensagens eletrônicas. Para saber se o seu sistema está vulnerável, consulte a página oficial da Microsoft.

Uma análise detalhada de um artefato infectado foi publicada aqui e o Mcafee Avert Lab Blog publicou um vídeo mostrando o que acontece com o Windows Vista após ser comprometido com um arquivo .ani. O CISRT também publicou um anúncio sobre um novo worm que utiliza arquivos infectados com esta vulnerabilidade para comprometer o sistema operacional.

UPDATE [03-abr-2007]: Patch disponibilizado pela Microsoft em através do Windows Update ou http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx.

UDPATE [04-abr-2007]: Vários usuários estão reportando que após a aplicação do patch ocorreram outros problemas, inclusive a Microsoft já disponibilizou um novo patch para corrigir alguns desses problemas. Mais detalhes na página do ISC - este que está fazendo um excelente trabalho de divulgação de informações sobre esta vulnerabilidade.

Nenhum comentário: