Brecha sem correção no Windows afeta mais de 40 programas

A divulgação de uma falha no iTunes pela empresa de segurança Acros mostrou que um comportamento inseguro do Windows pode ter consequências graves. O erro existe na maneira que o Windows procura pelas bibliotecas de arquivos necessárias para que um programa funcione. Um hacker pode fazer com que um arquivo do tipo DLL, utilizado por diversos programas, seja carregado a partir da rede, permitindo que a simples abertura de uma música MP3, documento de texto ou uma planilha, por exemplo, resultem na execução de um vírus no sistema.

DLLs são como coleções de códigos compartilhados, disponibilizados no próprio Windows para serem usados por qualquer programa compatível com o sistema operacional. Seu uso facilita a distribuição e o desenvolvimento dos programas, já que não é preciso "reinventar a roda" toda vez que se cria um novo software. Basta recorrer aos arquivos DLL.

O problema é que o Windows procura pelo arquivo DLL na mesma pasta onde o arquivo foi aberto. Com isso, um arquivo MP3 aberto em um servidor malicioso faria com que o reproduto de mídia " se vulnerável " carregasse um DLL a partir da mesma pasta em que está localizado o MP3, ou seja, no servidor malicioso. Alguns programas dependem desse comportamento para funcionar; a Microsoft criou uma correção "opcional", porque corrigir o problema definitivamente para todos os programas pode causar problemas.

O especialista em segurança HD Moore, que é desenvolvedor do software Metasploit na Rapid7, afirmou ter conhecimento de pelo menos 40 outros programas que sofrem com a brecha. Além do iTunes, que já foi corrigido, programas populares como o Firefox, o reprodutor de mídia VLC e o Power Point estão vulneráveis.

Os programas vulneráveis terão de receber atualizações separadas. Como cada software abre arquivos de tipos diferentes, é difícil saber como criminosos poderão explorar essa falha na rede. Se isso não acontecer, ainda é possível que ela seja utilizada em ataques específicos contra empresas.

Em outro cenário de ataque, um invasor pode plantar um arquivo DLL em um sistema no qual ele não tem permissões administrativas. Quando um administrador for usar o computador, o software vulnerável irá carregar a DLL plantada, dando o controle total da máquina ao hacker.

Correção opcional
A Microsoft disponibilizou uma atualização que cria uma opção de configuração no sistema para que o comportamento inseguro de buscar arquivos DLL em algumas pastas seja desativado.

Segundo a empresa, alguns programas, que não seguem as recomendações de boas práticas da Microsoft, podem parar de funcionar. O guia instrui os programadores a especificarem um caminho completo até a DLL para que o sistema não tenha de procurá-la ou, pelo menos, impedir o sistema de buscar uma DLL na "pasta atual" (que seria a pasta onde se localiza a foto, música ou documento que foi aberto). Entre os softwares afetados pelo problema estão, porém, programas da própria companhia.

Problema conhecido
Em 2009, uma correção para o Internet Explorer eliminava um problema que permitia que arquivos maliciosos fossem carregados se estivessem armazenados na área de trabalho. O problema funcionava em conjunto com uma falha do navegador web Safari conhecida como "carpet bomb", que permitia a criminosos baixarem arquivos para a área de trabalho.

Usando a falha do Safari, o arquivo era baixado. Usando a falha do Internet Explorer, o programa malicioso era executado.

Além desse problema envolvendo os dois navegadores, no entanto, o comportamento do Windows ao pesquisar DLLs nunca foi considerado grave. A pesquisa da Acros divulgando a falha no iTunes mudou isso, no entanto.