Entenda a nova falha do Windows e proteja-se

Nos últimos dias, também já foram criados worms que se aproveitam da brecha de segurança. A Microsoft já anunciou que só vai publicar uma nova correção para o bug na semana que vem, por isso, é bom se proteger. Abaixo, publicamos uma lista de perguntas e respostas a respeito do problema e de como se prevenir de ataques.

1 - Em que consiste o problema?
Trata-se de um buffer (memória temporária) indevidamente verificado no processamento de imagens em formato WMF (Windows Metafile, ou metarquivo do Windows). Uma imagem WMF é um arquivo de 16 bits com informações sobre vetores e bitmaps usados em arquivos gráficos e desenvolvido para melhorar o processamento de imagens pelo sistema operacional Windows. Especificamente, o problema se encontra no arquivo de biblioteca "shimgvw.dll", usado por programas como o Visualizador de Imagens e Fax do Windows. No entanto, há informações de que o uso de qualquer outro aplicativo que "chame" esta biblioteca para funcionar pode desencadear a exploração da falha no buffer. Isso inclui o aplicativo Paint, do Windows, e até o Google Desktop, que faz a indexação de vários tipos de arquivos armazenados no sistema.

2 - Como a falha pode ser explorada num ataque?
Este é um tipo de vulnerabilidade chamada de execução remota de código. Isso significa que a falha pode ser explorada a distância, pela Internet. Basta que o usuário seja induzido a abrir uma imagem especialmente criada para o ataque ou visualizar uma pasta que contenha tal imagem. Remotamente, isso pode ser feito por meio de links para páginas que contenham arquivos gráficos maliciosos visualizadas com o Internet Explorer e versões mais antigas do Firefox, ou mesmo quando o usuário abre, usando o Microsoft Outlook ou Outlook Express, um e-mail em formato gráfico (isto é, um arquivo HTML) contendo uma imagem maliciosa. Também é possível esconder a imagem num documento do Office (um arquivo Word ou uma planilha Excel, por exemplo) ou num programa que a utilize, e convencer o usuário a abrir o documento ou executar o programa.

3 - O que ocorre se a vulnerabilidade for explorada?
Caso um invasor consiga convencer o usuário a visualizar a imagem maliciosa e explorar o bug com sucesso, poderá tomar controle total do sistema, com os mesmos direitos que o usuário tem na máquina. Se o usuário estiver como administrador do sistema, o invasor poderá executar qualquer ação que desejar, incluindo apagar, modificar ou renomear arquivos, acessar dados privados, executar programas e criar novas contas de usuário no sistema.

4 - Qual a situação real de exploração da falha hoje?
Desde que o exploit foi publicado, em 28 de dezembro de 2005, já foram criadas diversas páginas Web para hospedá-lo, bem como variantes do arquivo, incluindo worms que se distribuem e rodam automaticamente. Segundo a empresa de segurança F-Secure, as primeiras versões do exploit instalavam diversos trojans e spywares (programas espiões) no sistema, como Trojan-Downloader.Win32.Agent.abs, Trojan-Dropper.Win32.Small.zp, Trojan.Win32.Small.ga e Trojan.Win32.Small.ev. O primeiro worm encontrado pela empresa surgiu aproximadamente no último dia do ano passado e se disseminava via MSN Messenger, trazendo um link para uma suposta imagem de Natal ("xmas-2006 FUNNY.jpg"), que desencadeava a exploração do bug. Esta semana, foram reportadas mensagens de e-mail enviadas na forma de spam, contendo imagens maliciosas ou links para sites que hospedam arquivos criados para se aproveitar da falha. Como conseqüência, os sistemas afetados poderiam ser infectados com backdoors (arquivos espiões ocultos) ou bots, programas que formam as botnets, redes de computadores escravizados (os chamados zumbis). Também já existem kits, ainda que rudimentares, para a criação automática de exploits. Até a semana passada, já tinham sido registradas cerca de 60 versões diferentes de arquivos WMF maliciosos.

5 - Quais sistemas estão vulneráveis?
Qualquer versão do Windows que processe metarquivos WMF. Este tipo de arquivo foi criado pela Microsoft ainda no final da década de 1980, mas só foram lançados aplicativos para processá-lo, como o Visualizador de Imagens e Fax do Windows, nas versões mais recentes do sistema. Na prática, apenas o Windows XP e o Windows 2003 parecem ser comprovadamente afetados pelo problema, mesmo que estejam com todas as correções de segurança instaladas. No entanto, o comunicado da Microsoft (em português) a respeito da vulnerabilidade relaciona também o Windows 98, Windows 98 SE e Windows ME como sistemas potencialmente afetados. Aparentemente, essas versões mais antigas possuem uma vulnerabilidade semelhante, porém, nesses sistemas, o mecanismo de processamento de imagens, chamado de GDI (Graphical Device Interface), não executa arquivos WMF e não poderia ser atacado com os exploits específicos para esse formato. Há, porém, outros arquivos maliciosos que já exploram vulnerabilidades antigas detectadas no GDI e também podem surgir variantes para explorar a falha atual. A F-Secure lembra também que o Windows 2000 pode se tornar vulnerável se o usuário utilizar algum dos muitos programas para manipulação de imagens criados por outros fabricantes que possam ler arquivos WMF.

6 - Como se proteger de ataques?
Ainda não há uma correção oficial para a vulnerabilidade. Em novembro de 2005, a Microsoft lançou o boletim MS05-053, com um patch (correção) que deveria resolver o problema, mas em dezembro verificou-se que o Windows continuava vulnerável. A empresa só deverá lançar um novo patch na próxima terça-feira, 10 de janeiro, junto do seu boletim de segurança mensal. No entanto, as seguintes medidas de proteção podem ser tomadas: