A Microsoft afirmou a um pesquisador que não vai corrigir um problema que tem deixado diversas aplicações do Windows à mercê de ataques.

De acordo com um número crescente de informes, uma funcionalidade crucial do Windows tem sido utilizada de forma indevida por incontáveis desenvolvedores, incluindo alguns da própria Microsoft, o que tem deixado vários programas do Windows vulneráveis a ataques por causa do modo como carregam componentes de software.

A questão foi levantada pela primeira vez na semana passada quando H. D. Moore, principal executivo de segurança da Rapid7 e criador do kit de ferramentas hacker de código aberto Metasploit, disse ter encontrado 40 aplicações vulneráveis, incluindo o próprio “shell” do Windows.

Um dia depois, a empresa eslovena de segurança Acros anunciou que uma ferramenta de sua autoria descobriu mais de 200 programas Windows comprometidos, em uma pesquisa que começou em novembro de 2008.

E, durante o fim de semana, Taeho Kwon, um aluno de PhD em computação da Universidade da Califórnia, apresentou sua própria pesquisa, que já havia sido publicada na forma de um artigo, em fevereiro de 2010.

Carga de DLL
Todos esses pesquisadores advertem que muitos programas Windows podem ser explorados por hackers que enganam os internautas, fazendo-os visitar sites maliciosos. Tudo por causa do modo como o software carrega bibliotecas de código – chamadas “dynamic-link library” no Windows, que atribui a elas a extensão .dll –, bem como arquivos executáveis .exe e .com.

Se os hackers puderem baixar malware disfarçado em um dos diretórios que uma aplicação utiliza quando busca por um arquivo .dll, .com ou .exe, eles poderão sequestrar um PC.

Nesta segunda-feira (23/8), Kwon disse ter reportado, em agosto de 2009, 19 vulnerabilidades sérias à Microsoft, depois de encontrar falhas em cerca de 30 programas do Windows, incluindo Office 2007, Adobe Reader e todos os principais navegadores.

Na troca de mensagens entre Kwon e os engenheiros do Microsoft Security Response Center (MSRC) sobre os bugs de execução remota, a empresa contou a Kwon que não iria liberar um boletim de segurança; em vez disso, preferia responder ao problema em futuros Service Packs do Windows e do Office.

De acordo com Kwon, a Microsoft disse que não iria entregar uma correção porque “as causas fundamentais (das vulnerabilidades) estão nos produtos de outros fornecedores”. A Microsoft também disse a Kwon que tinha a intenção de trabalhar com as empresas cujos softwares contenham as falhas.

Compatibilidade
Em um e-mail enviado nesta segunda-feira à Computerworld/EUA, Kwon citou uma declaração que disse ter recebido da Microsoft.

“Para as duas vulnerabilidades específicas que foram identificadas neste artigo, a Microsoft concordou em trabalhar com esses fornecedores em benefício dos autores por meio do programa MSVR (Microsoft Vulnerability Research)”, informou a Microsoft. “Como há preocupações com a compatibilidade de aplicações em caso de mudanças da forma como ‘Loadlibrary’ e ‘SetDllDirectory’ funcionam atualmente, a Microsoft pretende responder à questão sublinhada em um Service Pack ou uma nova versão dos produtos Office”.

A decisão da Microsoft não chega a surpreender os pesquisadores que divulgaram o problema.

Na semana passada, por exemplo, Moore disse que seria improvável que a Microsoft viesse com uma correção. “Pode haver contornos disponíveis, mas a questão principal é com a aplicação em si, não com o Windows”, disse à época. “Pode haver correções a serem aplicadas em nível de sistema, mas essas provavelmente prejudicariam o funcionamento das aplicações existentes.”

Kwon disse algo semelhante hoje, mas estava otimista que as correções de um Service Pack – um pacote de grandes mudanças para o Windows, lançado de tempos em tempos – poderiam ajudar.

“Eu acredito que algumas correções em nível de Windows, como os Service Packs citados pela Microsoft, possam minimizar a questão”, disse. “No entanto, eles talvez não resolvam completamente o problema por causa das preocupações com compatibilidade.”

Bug antigo
O problema de carga de componentes ao qual Kwon, Moore e a Acros Security têm-se referido desde a semana passada não é novo e remete a pelo menos uma década, para um bug documentado em 2000. A atenção à questão tem surgido agora, disse Kwon, em parte por um surto de ataques que se baseiam na combinação de vulnerabilidades, ou que se apoiam fortemente em truques de engenharia social para fazer com que usuários cliquem em links maliciosos.

Velho ou novo, o problema é sistêmico, disse Mitja Kolsek, CEO da Acros Security.

“A julgar pelos resultados de nossa pesquisa… Podemos dizer com segurança que todos os usuários do Windows podem neste momento ser atacados via pelo menos uma das vulnerabilidades de infiltração de binário remoto”, disse Kolsek no blog que a firma eslovena lançou na segunda-feira.

A Microsoft não respondeu imediatamente a um pedido de comentários sobre as alegações de Kwon de que a empresa não entregaria uma correção para o Windows.

Fonte:idgnow