Ataque de dia zero VML tem como alvo o Windows

O especialista em segurança Internet Security Systems (ISS) emitiu um alerta para um ataque de dia zero visando uma vulnerabilidade não corrigida em todas as versões do service pack do Windows 2000, XP e Server 2003.

O problema é um estouro de pilha ao lidar com arquivos Virtual Markup Language (VML) – uma aplicação de XML que inclui dados vetoriais e informações sobre como exibi-los.

A exploração bem-sucedida da vulnerabilidade permitiria que um invasor obtivesse acesso ao sistema alvo com o mesmos privilégios do usuário – geralmente nível de administrador para usuários do Windows – e inclui o potencial de executar remotamente código.

O ataque pode ser lançado a partir de uma página HTML especialmente criada, hospedada em um site ou enviada por e-mail em HTML.

A ISS afirma ter sido alertada sobre o problema pela primeira vez em 12 de setembro, quando os sistemas de detecção de intrusões usados ​​por seus clientes começaram a disparar alertas para um site que hospedava explorações para esta vulnerabilidade.

Posteriormente, até 16 de Setembro, os serviços de filtragem de conteúdos Web da ISS identificaram novos websites que hospedavam o mesmo código de exploração.

James Rendell, especialista sênior em tecnologia da ISS, disse: ‘Este é um caso clássico de vulnerabilidade de dia zero.’

Apesar da ampla gama de sistemas potencialmente em risco devido à vulnerabilidade, a Microsoft, que foi informada do problema em 18 de setembro, descreve os ataques como “direcionados e muito limitados”. Reconhece, no entanto, que «a vulnerabilidade está a ser ativamente explorada».

Mesmo assim, Redmond não tem planos de lançar um patch público para isso até a próxima rodada de boletins de segurança, que será lançada em 10 de outubro.

Diz que já está trabalhando em uma atualização. E num caso em que tal vulnerabilidade não tivesse sido tornada pública, e muito menos demonstrada ser vítima de código de exploração existente, seria prática normal gastar tempo garantindo que o patch lançado seja compatível com as várias configurações do Microsoft afetado Programas.

Mas com uma janela de quase três semanas para jogar, os invasores também têm uma longa janela de oportunidade.

Microsoft é aconselhando clientes para desligar o componente VML até que um patch seja emitido, configure o Outlook para exibir apenas texto e, para o IE 6 com Service Pack 2, desative comportamentos binários e de script na segurança da Internet e da intranet local zona.

No entanto, falando do ponto de vista pessoal, Rendell ficou intrigado com a reação da Microsoft.

‘É interessante quando você compara isso com o recente media player Hacks de DRM. A Microsoft lançou um patch para isso em três dias. Há um incentivo econômico claro. É interessante que eles possam reagir muito rapidamente nesse cenário”, disse ele.

Os clientes da ISS estão protegidos contra ataques que exploram a falha desde março, disse Rendell.