Os crackers não perdem tempo! A vulnerabilidade no tratamento de atalhos (arquivos .lnk) do Windows, oficialmente denominada CVE-2010-2568, já começou a ser explorada por pelo menos dois malwares, segundo pesquisadores da empresa de segurança ESET.

O primeiro caso, denominado por eles Win32/TrojanDownloader.Chymine.A, menos sofisticado, explora a vulnerabilidade para instalar um keylogger. Aparentemente, sua propagação é feita por outro método.

Por outro lado, o segundo caso é mais perigoso. Trata-se de uma praga já conhecida, denominada Win32/Autorun.VB.RP, atualizada para criar atalhos explorando a nova vulnerabilidade como vetor adicional de propagação mais uma forma de contaminar computadores.

Apesar de ainda serem poucos os casos reais, especialistas esperam inúmeros malware explorando essa falha nos próximos meses.

A Microsoft afirma que está trabalhando no problema mas, até o momento, publicou apenas uma solução temporária para a vulnerabilidade. Espera-se que uma correção definitiva seja divulgada na próxima Terça-feira de Atualizações, no dia 10 de agosto.

Atualização: A falha foi mais grave do que o esperado, obrigando a Microsoft a antecipar a correção, no Boletim de Segurança da Microsoft MS10-046 – Crítica, que abrange todas as versões suportadas do Windows (Windows XP SP3 e posteriores). Os usuários que ativaram as atualizações automáticas do Windows não precisarão tomar nenhuma providência porque a atualização será instalada automaticamente. Os demais, devem instalá-la manualmente o mais rápido possível.

Há alguns meses, fiquei feliz em descobrir o Panda USB Vaccine, uma ferramenta contra vírus em pendrives.

Na época, a maior ameaça era o sistema de reprodução automática do Windows, usado pelos vírus para se instalar no computador sem o conhecimento do usuário. O utilitário da Panda, substituía o arquivo autorun.inf por uma versão inócua e impedia que sofresse alterações futuras. Dessa forma, o pendrive ficava imune a contaminações futuras. Para terminar, desabilitava a execução automática no equipamento.

O Panda USB Vaccine ainda existe, e funciona muito bem, obrigado. Mas já não deixa os usuários Windows tão tranquilos quanto antigamente, porque recentemente foi descoberta uma via de contaminação por meio de pendrives sem usar a reprodução automática.

Segundo os especialistas, uma vulnerabilidade no Windows, permite que este, ao exibir os ícones dos arquivos presentes num pendrive, execute instruções maliciosas contidas em um atalho (um arquivo com extensão .lnk) preparado com esse fim. O malware capaz de explorar essa falha, até o momento, instala os arquivos mrxnet.sys e mrxcls.sys e tenta ocultar sua presença tanto do usuário quanto das ferramentas de segurança instaladas. Ainda não há certeza quanto ao objetivo dessa infecção, mas não deve ser bem-intencionada.

A Microsoft reconheceu que todas as versões do Windows são afetadas pelo problema no Recomendação de Segurança nº 2286198, mas ainda não definiu data para sua solução. Provavelmente será corrigido no próximo ciclo de atualizações, dia 10 de agosto. Mas, até lá, recomenda duas “soluções de contorno“, ambas com efeitos colaterais:

• desabilitar a exibição de ícones para atalhos, fazendo com que todos os atalhos “percam” seus ícones; ou
• desabilitar o serviço WebClient, impactando nos serviços de rede, especialmente aqueles voltados para a internet.

Então, atenção redobrada com pendrives pelos próximos 22 dias e torçamos que, na próxima Terça-feira de Atualizações, o problema seja resolvido.

Para mais detalhes, sugiro a leitura dos seguintes posts:

• Novo malware para Windows 7 – arquivos de atalho;
• Vulnerabilidade de arquivos de atalho (.lnk) é confirmada pela Microsoft, e não é exclusiva do Windows 7; e
• Experts Warn of New Windows Shortcut Flaw.

A Mozilla divulgou, no último dia 18, que a versão 3.6 do Firefox apresenta uma vulnerabilidade que permite o controle remoto da máquina por parte do atacante.

A empresa já avisou que o problema ocorre apenas na versão 3.6 e que já está corrigido na versão 3.6.2, a ser lançada no dia 30 deste mês.

Alguns pontos interessantes:

• o problema afeta apenas os usuários deste navegador no ambiente Windows (ponto para aqueles que, como eu, preferem Linux);
• se é uma vulnerabilidade crítica, por que não publicar um patch imediatamente? Por ser no ambiente Windows precisam se comportar como a Microsoft?

Enquanto o dia do lançamento oficial não chega, usuários do Windows podem obter a versão 3.6.2 beta nos servidores de desenvolvimento da própria Mozilla.

Atualização: Menos de duas horas depois deste post, a Mozilla decidiu antecipar o lançamento oficial do Firefox 3.6.2. Pelo visto, não fui eu o único a questionar a demora. Basta aguardar a atualização automática, ou fazer o download a partir da página oficial.

Desde o surgimento da Common User Access (CUA), um conjunto de diretrizes para interface com o usuário, publicado pela IBM em 1987, a tecla F1 é usada como tecla de ajuda, tornando-se praticamente um sinônimo para essa função.

Ironicamente, no último dia primeiro, a Microsoft divulgou um Comunicado de Segurança recomendando os usuários do Windows 2000, Windows XP e Windows Server 2003 do Windows, não mais a usassem, pelo menos ao navegar na Web…

Segundo o comunicado, há uma falha na maneira como o VBScript interage com arquivos de Ajuda do Windows quando o Internet Explorer é usado. Se o usuário acessar um site contendo código malicioso e pressionar a tecla F1, permitirá que “códigos arbitrários” sejam executados.

O problema afeta apenas as versões anteriores ao Windows Vista, mas engloba qualquer versão do Internet Explorer, inclusive o Internet Explorer 8, que se auto-intitula o browser mais seguro do mercado.

Enquanto não é oferecida uma correção oficial para o problema, a Microsoft recomenda como ações paliativas:

• definir as configurações de zona de segurança do Internet Explorer como “Alta”;
• ativar a notificação de execução scripts no Internet Explorer;
• desativar a execução de scripts no Internet Explorer;
• restringir o acesso ao sistema de Ajuda do Windows; ou
• simplesmente não pressionar a tecla F1 quando solicitado por um site da Web;

Todas essas orientações estão descritas em detalhes na seção Soluções alternativas do Comunicado de Segurança n.º 981169. Contudo a solução mais prática (e definitiva) é abandonar o Internet Explorer (especialmente o vetusto IE6) e migrar para um navegador melhor como o Firefox, Chrome, Opera ou Safari.

Na semana passada, foi noticiado que peritos da NetWitness, uma empresa de segurança especializada em forense computacional, durante atividades de rotina, descobriram uma botnet composta por mais de 75 mil computadores pertencentes a mais de 3 mil organizações ao redor do mundo, incluindo algumas das 500 maiores empresas segundo a Fortune e órgãos do governo norte-americano.

Uma botnet é uma rede formada por computadores contaminados e controlados remotamente por crackers. Sem conhecimento de seus donos, esses computadores passam a executar quaisquer tarefas desejadas pelos malfeitores, como ataques em larga escala, envio de spam, distribuição de pornografia ou roubo de dados.

A botnet descoberta, denominada “Kneber botnet” em decorrência do nome de usuário usado para conexão entre as máquinas, baseia-se no Zbot ou ZeuS, um pacote malicioso existente desde 2007 e comercializado pelos malfeitores em fóruns especializados. Naturalmente perigoso, esse malware atualiza-se periodicamente nas máquinas infectadas, evoluindo constantemente. Na Kneber botnet, sua periculosidade foi potencializada pelo uso concomitante do Waledac, malware conhecido por disseminar spam em redes ponto-a-ponto, possivelmente como forma adicional de contágio.

Fonte: The Wall Street Journal.

Os especialistas identificaram, no período de apenas um mês, mais de 75GiB de dados roubados. São mais de 68 mil credenciais para acesso a contas bancárias, redes sociais (como Facebook, hi5 e Sonico) e e-mails (como Yahoo! e Hotmail). Também foram roubados cerca de 2 mil certificados digitais, além de verdadeiros dossiês dos proprietários das máquinas contaminadas.

A variante do ZeuS usada no ataque explora falhas de segurança em programas como Internet Explorer, Mozilla Firefox, Adobe Flash e Adobe Reader, e, até o momento, não é detectada pela maioria dos antivírus existentes. Contudo, restringe-se apenas a sistemas operacionais da família Windows, especialmente Windows XP e Windows Vista (mais uma vez, ponto para os usuários Linux).

Segundo o Amit Yoran, presidente da NetWitness, a proteção convencional contra malware e detecção com base em assinatura de sistemas são, por definição, inadequados para identificação do Kneber ou outras ameaças mais avançadas.

Ou seja, como afirmei anteriormente, os usuários precisam deixar de confiar cegamente no seu software antivírus e, entre outras coisas:

• usar sistemas operacionais e programas atualizados (muito difícil com cópias piratas);
• evitar sites suspeitos;
• observar com atenção antes de clicar em links na web;
• verificar a procedência das mensagens de e-mail; e
• evitar abrir anexos de e-mail.

Eu te disse! Eu te disse!

Para aqueles que desejarem uma leitura mais aprofundada, recomendo os artigos originais:

• The “Kneber” BotNet – A ZeuS Discovery and Analysis;
• Zeus: King of the Bots; e
• The ZeuS, ZBOT and Kneber Connection.

Atualização em 26/02/2010: acrescentado link para o Perguntas e respostas da Trendmicro.

Pelo que tenho observado, a maioria dos usuários de computador não quer entender de informática, preferindo computadores que simplesmente funcionem. Não posso recriminá-los por isso: não precisamos entender em detalhes como funciona um carro, um forno de micro-ondas ou uma calculadora para usá-los diariamente.

Infelizmente, em nome da facilidade de uso, os fabricantes de software vêm trocando segurança por comodidade. A partir do Windows 95, os sistemas operacionais da Microsoft passaram a contar com a “reprodução automática” (também conhecida como autorun): ao detectar uma mídia removível (CD, DVD, pendrives e discos rígidos externos), o sistema operacional procurava um arquivo autorun.inf contendo instruções para sua execução.

À medida que os espíritos de porco mal-intencionados de plantão descobriram formas de explorar essa funcionalidade, o que deveria ser uma comodidade para os usuários, tornou-se uma enorme dor de cabeça. Pendrives contendo arquivos maliciosos tornaram-se vetores para contaminação mais eficientes do que os antigos discos magnéticos. O Conficker, a praga virtual com maior disseminação até hoje (dados apontam para até 15 milhões de máquinas no mundo), deve parte de sua rápida disseminação ao uso de pendrives contaminados.

A McAfee dispõe do World Virus Map, um levantamento atualizado e bastante interessante, da disseminação de vírus no mundo. Vale a pena visitar.

É possível verificar rapidamente a contaminação de uma máquina pelo Conficker, acessando o Conficker Eye Chart, ferramenta oferecida pelo Grupo de Trabalho do Conficker: se as seis figuras aparecerem, pode ficar tranqüilo! Para verificar um maior número de máquinas, a McAfee oferece a Conficker Detection Tool, uma ferramenta que varre uma rede buscando por máquinas contaminadas. Não necessita de instalação e, apesar de estar em inglês, é fácil de usar.

Outra ferramenta gratuita e bastante eficaz para prevenir a contaminação por meio da reprodução automática é a Panda USB Vaccine, oferecida pela Panda Security. Além de desabilitar a reprodução automática no equipamento, a ferramenta permite vacinar qualquer pendrive inserido na máquina por meio da gravação de um arquivo autorun.inf inócuo e impossível de ser alterado posteriormente, mesmo por malwares.

Com a atual má fase de seus produtos (baixa aceitação do Windows Vista e os recentes problemas enfrentados pelo internet Explorer), a Microsoft, mesmo após publicar a correção MS08-067, específica para a falha de segurança explorada no ataque, viu-se forçada a publicar a nota KB967715, com instruções para desabilitar manualmente a reprodução automática, e a atualização KB971029, que restringe a funcionalidade apenas a unidades de CD e DVD.

Bem… antes tarde do que nunca, diz o ditado.

Para maiores informações, vale a pena ler o texto Proteja-se do Conficker e de outras pragas virtuais da atualidade.

Atualização em 09/02/2010: Acrescentadas as referências ao World Virus Map e à Conficker Detection Tool.

Após alguma pesquisa, descobri que esse comportamento tem ocorrido após a instalação do hotfix KB954550-v5, referente à impressora Microsoft XPS (que gera documentos no formato XPS, desenvolvido pela Microsoft para concorrer com o formato PDF). Estranhamente, esse comportamento também parece que ser causado pela instalação do .NET Framework 3.5 Service Pack 1.

Encontrei várias sugestões para conseguir apagar a tal pasta. A mais lógica foi trocar as permissões da pasta (atribuindo-se o “controle total” da pasta). Uma sugestão muito interessante foi usar o Unlocker, utilitário especializado em manipular arquivos com acesso negado. Porém, a mais simples, eu encontrei no Fórum do Clube do Hardware:

1. criar uma nova pasta na raiz do drive em questão;
2. mover a pasta estranha para a pasta criada no primeiro passo; e
3. apagar a pasta criada no primeiro passo, levando a pasta estranha com ela.

Estranhamente, o sistema não reclama ao usarmos esse artifício. Coerente, não?

Depois de duas semanas, creio que maioria dos usuários já atualizou o seu plugin. Mas, para ter certeza, acesse a página que verifica as informações da sua instalação.

Uso o Ubuntu 9.04 e, curiosamente, alguns arquivos do Flash haviam sido atualizados mas o plugin, não. Se esse for o seu caso, basta baixar o arquivo .deb para Ubuntu 8.04 ou superior, através da Central de Downloads Adobe ou por esse link direto.

• mantém a formatação do texto digitado, independente do equipamento em que é lido;
• se necessário, impede a cópia e a impressão do texto;
• possui uma grande variedade de bons leitores, em sua maioria, gratuitos; e
• é menos vulnerável a malwares, como os vírus de macro que ameaçam os usuários do Microsoft Office.

Acontece que, talvez para enfrentar a concorrência, a Adobe vem implementando funcionalidades no formato PDF e, em conseqüência, aparecendo nos relatórios de segurança.

Dessa vez, é uma vulnerabilidade no Flash. O curioso é que, segundo especialistas em segurança, a vulnerabilidade já é conhecida há sete meses e a Adobe só começou a “se mexer” depois que os ataques se intensificaram. Segundo o comunicado oficial da Adobe, uma correção estará disponível até o fim do mês. Enquanto isto, as recomendações são:

• desabilitar a execução de conteúdo flash no seu navegador (se precisar de ajuda, veja essas orientações da US-Cert); e
• desabilitar o suporte a conteúdo flash no Adobe Reader (excluindo os arquivos authplay.dll e rt3d.dll, no Windows e os arquivos libauthplay.so e librt3d.so no Linux);

O formato PDF ainda é menos vulnerável que os documentos do MS-Office, mas é bom tomar cuidado com os sites e os arquivos acessados.

A boa notícia é que eu uso o Evince (leitor PDF padrão no Ubuntu) e o plugin do Flash 10 no meu Jaunty e os arquivos listados acima não estão no meu sistema. Sendo assim, usuários Linux não devem se descuidar, mas podem ficar mais tranqüilos.

E quanto aos usuários da plataforma Windows? Não sei dizer se o plugin do Flash 10 instala esses dois arquivos ou se há mais arquivos para excluir, mas quanto ao Adobe Reader, há várias alternativas. Recomendo o Foxit Reader.

Quem fez a instalação por meio do repositório como sugerido no post já deve ter seu Firefox atualizado a essa altura, mas ele deve estar em inglês. Para traduzi-lo, basta desinstalar a versão antiga do plugin e instalar a nova. No caso do Ubuntu Jaunty, ele pode ser obtido aqui.

Usuários Windows também foram beneficiados por essa atualização com a correção da demora observada por alguns na inicialização do Firefox 3.5 naquela plataforma.

Atualização: alterado o endereço do plugin de idioma para apontar para a versão mais recente.

Descoberto por Renato Yamane como um vírus para Firefox, o ataque estende-se também ao internet Explorer e consiste basicamente em alterar as configurações do navegador direcionando o tráfego para um servidor proxy externo que captura informações relativas às transações bancárias.

Inicialmente, pensei que o problema tivesse alguma relação com a vulnerabilidade no Compilador JIT do Firefox 3.5, mas mudei de idéia ao observar que o internet Explorer também é atingido. De qualquer forma, o problema já consta no Bugzilla, resta aguardar por uma correção.

A boa notícia é que o malware foi facilmente descoberto ao gastar muito tempo localizando os arquivos de configuração do Firefox. Além disso, na versão atual, só funciona na plataforma Windows (sempre ela). Por outro lado, a maioria dos usuários certamente iria pensar que a demora seria “normal” e não tomaria nenhuma providência e o cracker certamente corrigirá esse detalhe de desempenho em versões subseqüentes.

Concluindo, com os ataques migrando para fora das máquinas dos usuários, como ocorrido em abril passado com o ataque aos servidores do Vírtua (provedor de banda larga da NET em São Paulo), já não há um navegador considerado “plenamente seguro” e torna-se necessário dar mais ênfase às medidas corriqueiras de segurança e à regra do desconfie de comportamentos estranhos em seu computador.

É correto impedir a instalação indiscriminada de programas que possam comprometer a segurança do sistema, mas deve haver uma forma de contornar esse bloqueio para quando o programa ou driver for sabidamente autêntico e estável. Normalmente, é exibido um aviso e pode-se optar pelo prosseguimento da instalação:

A configuração das máquinas estava errada, rígida demais. Como corrigir isso?

No caso do Windows 2000 e do Windows XP, basta configurar o sistema para solicitar uma confirmação quando um driver não for assinado:

1. clique com o botão da direita em Meu computador;
2. clique na opção Propriedades;
3. clique na opção Assinatura de driver, na aba Hardware; e
4. selecione a opção Avisar – sempre me pedir para escolher uma ação.

Quanto ao Windows Vista e o Windows 7, o procedimento é mais complexo, com alguns métodos não funcionando em algumas versões do Windows (Home Basic e Home Premium) e outros não funcionando após as últimas atualizações. Segundo o blog EnterNauta, há um programa que contorna esses problemas, mas ainda não pude testá-lo.

Assim que fizer uns testes, posto o resultado aqui.