Total Security - www.totalsecurity.com.br
Gerais
Sexta - 23 de Fevereiro de 2007 às 07:58
Por: Luiz Celso

    Imprimir


O Controle de Contas do Usuário (CCA), novo sistema do Windows Vista que torna o sistema operacional mais seguro de ataques online, pode ser enganado e não deve ser completamente confiado, afirma uma pesquisa da Symantec divulgada nesta quinta-feira (22/02).

Ollie Whitehouse, desenvolvedor do time de ameaças avançadas da Symantec, usou o blog da equipe para apontar que um cracker poderia usar um arquivo incluído no Vista para camuflar o alerta do CCA como um conselho do próprio Windows.

O processo para burlar é complicado, mas já foi comprovado, afirmou Whiteshouse, com a necessidade de o usuário cair em alguns truques promovidos pelo cracker.

O cenário mais provável é que o usuário seja infectado por códigos maliciosos ou uma vulnerabilidade em uma aplicação como o Office ou um navegador, afirmou em entrevista.

A partir daí, o código malicioso forjaria um arquivo “.dll no disco rígido do usuário, rodando uma versão para administradores do Vista, que pode ser formatado pelo usuário. Como o usuário tem direito de promover alterações, o CCA não informaria sobre o ataque.

Finalmente, o código malicioso acionaria o comando que oferece compatibilidade do Vista com antigos plug-ins para o Windows Controle Panel, chamado de RunLegacyCPLElevated.exe, que rodará o arquivo forjado.

A ação engatilha um alerta do CCA, mas como o RunLegacyCPLElevated.exe está programado com totais privilégios, a caixa de diálogo tem a cor verde que representa compatibilidade com o Vista, o que induz ser uma checagem padrão.

Ao clicar no botão Confirma, o código malicioso ganha privilégios administrativos, dando à praga total acesso à máquina.

As cores diferentes implicam no nível de confiança, argumenta Whitehouse. O verde significa que o alerta está vindo do próprio Vista. Cinza significa que é de uma outra aplicação, mas com certificado de segurança. Laranja aponta programas sem certificação, com segurança questionável.

O Windows Vista também reproduz janelas do CCA em vermelho para indicar programas que estão automaticamente bloqueados.

Será que o usuário tratará este alerta do CCA com a mesma precaução sempre?, questiona ele? Sua resposta é não. Usuários, como a Microsoft quis com as cores selecionadas, notarão as cores na caixa de diálogo e poderão ignorar um segundo pensamento, afirmou ele.

Mesmo que exija interação do usuário, o truque pode marcar algo na maneira em que soa menos alarmante. O CCA é apenas uma das ferramentas que a Microsoft desenvolveu para tornar seu novo sistema ainda mais seguro. Mas tanto esforço pode prejudicar ainda mais a Microsoft, diz ele.

Whitehouse afirmou ter entrado em contato com o Centro de Resposta de Segurança da Microsoft (do inglês, MSRC) há cerca de duas semanas para relatar suas descobertas. Eles não consideraram isto um problema, afirmou.

Ao invés disto, o grupo indicou o documento Security Best Practice Guidance for Consumers para o pesquisador.

É importante lembrar que os alertas do CCA não são garantias de segurança - eles não oferecem nenhuma proteção direta, afirma Whitehouse.

Eles oferecem uma chance para verificar a ação antes que ela aconteça. Uma vez dada a permissão, pode não haver jeito de voltar. Por isto que, enquanto a Microsoft usa a palavra "confiança" em relação ao CCA em sua documentação, há o fato real de que o sistema pode não ser tão confiável assim.

A Symantec é uma crítica costumeira das novidades de segurança oferecidas pela Microsoft no Windows Vista - incluindo uma discussão pública sobre a proteção de kernel da versão de 64-bits do Windows vista, chamada de PatchGuard.

Whitehouse negou que há relações entre sua pesquisa e possíveis produtos da Symantec que corrigem supostos problemas com o CCA.


Fonte: IDG NOW!




Comentários

Deixe seu Comentário

URL Fonte: http://www.totalsecurity.com.br/noticia/1732/visualizar/