Exploração de atalhos do Windows: o que você precisa saber

A Microsoft lançou o Security Advisory 2286198 no final da semana passada para resolver uma falha de dia zero recém-descoberta que pode ser explorada simplesmente clicando em um ícone de atalho. No entanto, essa orientação original está sendo questionada por pesquisadores de segurança e o código de exploração agora está disponível, piorando ainda mais a situação.

Segundo o comunicado da Microsoft, "A vulnerabilidade existe porque o Windows analisa incorretamente atalhos de maneira que código pode ser executado quando o ícone de um atalho especialmente criado é exibido. " Um ataque pode explorar a falha e comprometer o sistema ou executar código mal-intencionado sem qualquer intervenção adicional do usuário - mesmo contornando o UAC e os controles de segurança do Windows 7.

Microsoft explica "Essa vulnerabilidade é mais provável de ser explorada por unidades removíveis. Em sistemas com AutoPlay desativado, os clientes precisariam navegar manualmente até a pasta afetada do disco removível para que a vulnerabilidade fosse explorada. Para sistemas Windows 7, a funcionalidade AutoPlay para discos removíveis é desativada automaticamente. "

[Outras leituras: Como remover malware do seu PC Windows]

A Microsoft está trabalhando - aparentemente com algum senso de urgência - em um patch para resolver essa falha. No entanto, tenha em mente que o Windows 2000 e o Windows XP SP2 não são mais suportados, portanto, não espere um patch para esses sistemas operacionais da Microsoft.

A orientação alternativa da Microsoft é desabilitar a exibição de ícones para todos atalhos, bem como desativar o serviço WebClient para impedir a exploração via WebDAV. O problema com essas soluções alternativas é que eles prejudicam severamente os sistemas operacionais Windows e - para as organizações que dependem do SharePoint - podem afetar significativamente a produtividade.

Chet Wisniewski, pesquisador de segurança da Sophos, demonstra em um post o que o sistema Windows parece como com a exibição de ícones desativados. Wisniewski descreve uma correção temporária alternativa "Meu conselho é que, se você tiver uma implantação controlada do Windows, provavelmente saberá onde os usuários estão executando o software aprovado. Nesse caso, você pode simplesmente criar um GPO que defina onde o software pode ser executado e se isso não incluir os compartilhamentos de rede, isso fornecerá a você um nível equivalente de proteção sem a inconveniência de transformar todos os seus ícones em folhas brancas. "

As medidas de segurança padrão para bloquear tráfego não autorizado com um firewall e executar atualizações A proteção antimalware nos desktops do Windows também se aplica também. Essas medidas oferecem algum grau de proteção, mas atualmente não são suficientes para se protegerem contra essa ameaça.

Espero que possamos ver uma atualização fora da banda da Microsoft para resolver essa preocupação de segurança nos próximos anos. Algumas semanas antes do próximo Patch Tuesday

Você pode seguir Tony em sua página no Facebook ou contatá-lo por e-mail para [email protected]. Ele também tweets como @Tony_BradleyPCW.