Rootkit: Instalação Através de Arquivos MIDI

Uma falha crítica no Windows multimedia library "winmm.dll", já está sendo ativamente explorada para difundir rootkits, de acordo com um aviso dos especialistas em anti-vírus da TrendMicro. Os atacantes estão incorporando arquivos MIDI, criados especialmente em páginas web que são abertas pelo Internet Explorer, utilizando um plugin do Windows Media Player. O som da música de fundo cobre o arquivo MIDI, usando a vulnerabilidade para executar código shell que instala um rootkit no sistema do usuário.

A partir disso, os atacantes aproveitam o "heap spray", onde eles copiam o seu código para heap do aplicativo várias vezes. Eles, então, escrevem longas sequências de instruções NOP com seus códigos maliciosos no final. A esperança é que a aplicação irá chegar até a pilha e vai acabar em algum lugar no NOP (longas seqüências), onde ele irá "deslizar para baixo a seqüência" (daí o nome "Slide NOP") até que seja executado o código malicioso.

A falha afeta todas as versões do Windows, exceto Windows 7 - a Microsoft encerrou a vulnerabilidade, há duas semanas no Patch de janeiro liberado na última terça-feira. Aqueles que ainda não tenham instalado os patches, devem instalá-los o mais rapidamente possível porque, com a ajuda de um módulo Metasploit livremente disponível, é simples criar um exploit correspondente.


Saiba Mais:

[1] TrendLabs Malware Blog http://blog.trendmicro.com/malware-l...ability-found/