Empresa promete correção e sugere defesas temporárias, mas analistas sugerem aos usuários mudarem temporariamente para o Chrome ou o Firefox.
A Microsoft emitiu nesta segunda-feira (17/9), um alerta de segurança para ataques explorando um bug não corrigido no Internet
Explorer. A empresa afirma já estar trabalhando em uma correção para
o problema.
O aviso faz referência a vulnerabilidade “zero-day” – o que significa que foi
descoberta e explorada antes de um “patch” estar disponível – encontrada e divulgada pelo pesquisador Eric Romang durante o fim de semana. Na segunda-feira, 17/9, a organização de código aberto Metasploit publicou um módulo de exploração da falha, pressionando a Microsoft a agir rapidamente.
“Recebemos relatórios sobre poucos ataques
direcionados e estamos trabalhando para desenvolver uma atualização de
segurança para resolver este problema”, disse Yunsun Wee, diretor do
grupo de Trustworthy Computing da Microsoft, no blogue do Microsoft Security Response Center.
Todas as versões do navegador são afetadasp pelo bug, com exceção do IE10, que vem com o Windows 8. Isso inclui o IE6 de 2001, IE7 de 2006,
IE8 de 2009 e IE9 do ano passado. Juntos, estes browsers são
responsáveis por 53% de todos navegadores em uso no mundo em Agosto.
O alerta da Microsoft era esperado, segundo Andrew Storms, diretor de
operações de segurança da nCircle Security.
Explorar a
falha permite que hackers possam executar código – colocar malware em uma máquina – e abrir o Windows XP, Vista e Windows 7
para ataques “drive-by” que exigem apenas que as vítimas visitem um site
malicioso ou comprometido.
Até que uma correção esteja disponível, a Microsoft recomenda que os usuários do IE bloqueiem os ataques com o EMET 3.0 (Exploit Mitigation
Experience Toolkit), aumentando as configurações de segurança do IE para
“alta” e configurando o browser para exibir um aviso antes de executar
“scripts”.
Como EMET é uma ferramenta concebida para usuários avançados,
principalmente de empresas profissionais de TI, que permite ter
manualmente tecnologias anti-exploração como ASLR (address space layout
randomization) e DEP (data execution prevention) para aplicações
específicas, nem todos os analistas de segurança concordam que ele seja a melhor opção para os leigos.
“O [EMET] tem o seu lugar mas acho que a maioria das pessoas prefere a
correção do problema”, disse Storms. “O EMET é uma dessas ferramentas
que leva tempo para implantar, [por isso] não é uma boa ideia tentar usá-lo. É como uma espécie de processo
auto-destrutivo. A Microsoft gostaria de ter mais pessoas usando o EMET,
mas diante do pequeno volume de [ataques de] zero dias e a relativa rapidez em
remendar as coisas, a necessidade de EMET parece menor”.
Embora a Microsoft diga estar empenhada em resolver a vulnerabilidade do IE, não há indícios de que vá disponibilizar uma atualização “out-of-band”, fora
do horário mensal regular conhecido por Patch Tuesday. E o próximo Patch Tuesday só deve ocorrer no dia 9 de Outubro. Portanto, três semanas a contar de hoje.
A Microsoft ficará mais propensa a libertar uma atualização de emergência
se os ataques aumentarem ou se não tiver uma maneira mais fácil de
defender o IE do que o EMET. “Se conseguirem fornecer uma Fixit, eles o
farão”, disse Storms, falando sobre as ferramentas automatizadas que a
Microsoft muitas vezes cria para configurar as definições do software.
“Isso iria [aliviar] um pouco da pressão para ter um ‘patch’ mais rápido. Se
eles não conseguirem fazer um Fixit e se os ataques aumentarem, então teremos um ‘out-of-band’”.
Como evitar
Uma alternativa para evitar comprometer o sistema é parar de usar o IE até que a
Microsoft corrija o problema. Ontem, o chefe de
segurança da Rapid7, HD Moore, aconselhou as pessoas a mudarem, ainda que
temporariamente, para o Google Chrome ou para o Mozilla Firefox.
“Estava à espera de uma resolução mais fácil e menos intrusiva”, disse
Storms. “A minha sensação é que a Microsoft está trabalhando algumas
horas extras para lançar este [patch] rapidamente”.
O EMET 3.0,
a ferramenta que a Microsoft sugeriu para os usuários, pode
ser baixada do site da empresa. Mais informações sobre o EMET podem
ser encontradas no documento de suporte.
