O princípio por trás do modo protegido é limitar os privilégios de um processo de aplicação. A técnica estreou inicialmente no Internet Explorer 7 do Windows Vista. Esses limites são definidos, pelo sistema, para o IE, de acordo com seis níveis de controles de integridade (Mandatory Integrity Control – MIC). O mais baixo deles aplica-se a todas as aplicações que rodam de zonas não confiáveis, como a Internet.
Nesse novo estudo, contudo, pesquisadores da Verizon Business descreveram os caminhos que um hacker mal intencionado poderia explorar para elevar artificialmente os privilégios de um processo para zonas em que o modo protegido não se aplicaria, como a rede intranet local (que usa descrições de caminhos UNC), ou pelo uso da lista de sites confiáveis.
Isso leva à possibilidade de um ataque relativamente simples, no qual o malware é executado como um processo de baixa prioridade que cria um servidor web virtual ligado a uma porta local de software (loopback). Embora este processo também seja excluído do modo protegido, ele seria capaz de apontar o IE para um endereço web que pareceria estar em uma zona de Internet Local.
A partir deste ponto, a página web seria capaz de ser carregada com nível médio de integridade - uma promoção de nível potencialmente perigosa.
“Ao explorar a mesma vulnerabilidade uma segunda vez, a execução de código arbitrário poderia ser interpretada como sendo do mesmo usuário, mas agora sob o nível médio de integridade. Isso dá acesso completo à conta do usuário e permite que o malware permaneça agindo no computador, algo que não seria possível sob o modo baixo de integridade previsto pelo modo protegido”, descrevem os autores.
Como eles próprios admitem, o grau de proteção oferecido pelo modo protegido do IE tem sido ambíguo. O Microsoft tem feito poucas citações ao fato, mas também não o menospreza.
A vulnerabilidade encontrada pela Verizon não afeta diretamente outras aplicações que usam a segurança do modo protegido, como o Adobe Reader X ou o Google Chrome. Mas ela mostra como tais mecanismos de proteção permanecem abertos a ataques, pela mesma causa de que alguns elementos do sistema precisam ser considerados confiáveis.
A ‘caixa de areia’ (sandbox) do Adobe Reader X, lançado recentemente, foi criada justamente para blindar o software contra ataques persistentes e bem sucedidos, e que usam arquivos PDF maliciosos.
O que ocorre, porém, é que a necessidade de atacar o IE e o Reader X por meio de ataques complexos e disfarçados é baixa, pois muitos usuários continuam a usar versões mais antigas do software.
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário