Nova brecha de segurança do Flash

Um pesquisador de segurança descobriu uma brecha na técnica que a Adobe escolheu para proteger seu Flash Player e lhe dar mais segurança. Com a exploração da brecha, seria possível roubar dados de um PC e enviá-los para um servidor remoto.

Billy Rios, um pesquisador que é engenheiro de segurança da Microsoft, publicou em seu blog pessoal uma forma de contornar a sandbox (caixa de areia) do Flash Player.

A sandbox permite que um arquivo Shockwave Flash (SWF) leia arquivos locais, mas não envie dados pela rede. Ela também impede o SWF de fazer chamadas JavaScript ou requisições HTTP e HTTPS, escreveu Rios.

Um arquivo local é descrito como um que possa ser referenciado usando-se “file: protocol” ou um endereçamento na forma UNC (Universal Naming Convention), escreveu Rios.

Mas o pesquisador descobriu que as restrições da sandbox não são assim tão severas. Ele descobriu que poderia contornar a sandbox simplesmente reformatando a requisição, usando por exemplo “file://request para um servidor remoto”.

A Adobe, no entanto, limita essas requisições a endereços IP e nomes de hosts locais , escreveu Rios.

Lista negra
A Adobe também inclui numa lista negra alguns protocolos, mas não todos – um método que Rios considera perigoso.

“Se nós pudermos encontrar um protocol handler (manipuladores de protocolo) que não tenha sido listado pela Adobe e que permite comunicações pela rede, então venceremos”, escreveu Rios.

Um dos protocol handlers que não estão na lista negra da Adobe é o “mhtml”, que é parte do aplicativo Outlook Express e vem instalado nos sistemas Windows. Um arquivo SWF poderia exportar dados usando um comando, que Rios detalhou em seu blog.

Rios disse que o método é particularmente eficaz já que, mesmo se a requisição falhar, os dados ainda serão transmitidos ao servidor do hacker sem o conhecimento da vítima.

Rios escreveu que o caso traz duas lições. A primeira é que rodar código SWF não confiável é perigoso; a segunda é que as listas negras para protocol handlers são ruins.

Uma porta-voz da Adobe afirmou que a empresa leu o blog de Rios e registrou um bug, classificando-o como de risco “moderado”.

“Primeiro, um invasor teria que obter acesso ao sistema do usuário para infiltrar um arquivo SWF malicioso em uma pasta da máquina local; depois, teria de ser capaz de enganar o usuário, fazendo-o disparar uma aplicação que rode o arquivo SWF nativamente”, escreveu a porta-voz, por e-mail.

“Na maioria dos cenários, o arquivo SWF malicioso não seria lançado simplesmente com um duplo clique; o usuário teria de abrir o arquivo manualmente de dentro da aplicação.”

Sandbox no Chrome
A Adobe e a Google trabalharam juntas para aumentar a segurança do Flash. No mês passado, as duas empresas liberaram, para desenvolvedores, a primeira versão do Flash que usa sandbox. Ela funciona no navegador Chrome para Windows XP, Vista e Windows 7.

O lançamento faz parte de uma iniciativa maior da Adobe, que visa melhorar a segurança de seus produtos, e que inclui a introdução de um ciclo regular de publicação de correções, alinhado à liberação das Patch Tuesday pela Microsoft.

A Adobe também usa uma sandbox em seu produto Reader X, que foi liberado em novembro. A sandbox do Reader isola a aplicação de ataques projetados para explorar o sistema de arquivos ou o registro do sistema. A sandbox interage com o sistema de arquivos, mas essa comunicação corre por meio de um intermediário, que limita ações especificas.