|
Uma pesquisa realizada pela Symantec, divulgada hoje (22/02), afirma que o Controle de Contas de Usuários (CCA), novo sistema do Windows Vista que tem o objetivo de tornar o sistema mais seguro contra ataques online, pode ser enganado.
O desenvolvecor do time de ameaças avançadas da Symantec, Ollie Whitehouse, postou no blog da equipe um aviso dizendo que um cracker pode utilizar um arquivo incluído no Vista para camuflar o ataque e fazer o CCA dar o alerta como um conselho do próprio Windows.
Whitehouse afirma que, apesar de complicado, o processo para burlar o CCA já foi comprovado e que é necessário que o usuário caia em alguns truques promovidos pelo cracker. Uma vez confirmado pelo usuário, o programa invasor forjaria uma biblioteca (arquivo com extensão DLL) no computador do usuário, que rodaria com privilégios administrativos do Vista e o CCA não informaria sobre o ataque. Uma vez no computador da vítima, o programa acionaria o comando que oferece compatibilidade do Vista com antigos plug-ins para o Painel de Controle do Windows, chamado de "RunLegacyCPLElevated.exe", que executa o arquivo fraudulento.
Essa ação encatilha um alerta do CCA, mas como o RunLegacyCPLElevated.exe está programado com todos os privilégios, a caixa de diálogo do CCA terá a cor verde, que representa compatibilidade com o Vista, o que induz o usuário ao engano, se fazendo passar por uma checagem padrão.
Quando o usuário clicar no botão de confirmação, dará ao programa invasor privilégios administrativos e total acesso ao computador.
Whitesouse argumenta que o sistema de cores determina o nível de confiança. Explica: "O verde significa que o alerta está vindo do próprio Vista. Cinza significa que é de uma outra aplicação, mas com certificado de segurança. Laranja aponta programas sem certificação, com segurança questionável."
As janelas com a cor vermelha indicam programas que estão bloqueados automaticamente pelo Vista.
Whitehouse ainda questiona: "Será que o usuário tratará este alerta do CCA com a mesma precaução sempre?" Ele mesmo responde que não e afirma que os usuários notarão as cores da caixa de diálogo e poderão ignorar os demais dados da mensagem de alerta.
"Mesmo que exija interação do usuário, o truque pode marcar algo de modo a soar menos alarmante. O CCA é apenas uma das ferramentas que a Microsoft desenvolveu para tornar seu novo sistema ainda mais seguro. Mas tanto esforço pode prejudicar ainda mais a Microsoft", complementa.
Foi feito contato com o Centro de Resposta de Segurança da Microsoft (do inglês, MSRC) há cerca de duas semanas para relatar as descobertas. Mas Whitehouse disse que "eles não consideram isto um problema". Ao invés disto, o grupo indicou o documento "Security Best Practice Guidance for Consumers" para o pesquisador.
"É importante lembrar que os alertas do CCA não são garantias de segurança - eles não oferecem nenhuma proteção direta", afirma Whitehouse.
"Eles oferecem uma chance para verificar a ação antes que ela aconteça. Uma vez dada a permissão, pode não haver jeito de voltar. Por isto que, enquanto a Microsoft usa a palavra 'confiança' em relação ao CCA em sua documentação, há o fato real de que o sistema pode não ser tão confiável assim".
É sabido que a Symantec vem reclamando das novidades de segurança oferecidas pela Microsoft no Windows Vista. Há até uma discussão pública sobre a proteção do kernel da versão de 64-bits do Windows vista, chamada de "PatchGuard".
Whitehouse nega haver relação entre sua pesquisa e possíveis produtos da Symantec que corrigem supostos problemas com o CCA.
Notícia baseada na reportagem de Gregg Keizer, editor do ComputerWorld.
|
