• Pesquisador do Google Descobre Falha 0-Day no Windows

    Tavis Ormandy, um especialista em segurança no Google, descobriu uma vulnerabilidade de segurança no Windows que pode ser explorada por qualquer usuário no sistema para obter privilégios administrativos. Mas ao invés de relatar a vulnerabilidade para a Microsoft, ele postou os detalhes na lista de e-mail de segurança Full Disclosure em meados de Maio deste ano corrente de 2013. E agora está publicando um exploit para a falha na mesma lista de discussão.


    Isso levou alguns dias, mas o exploit foi capaz de prover um usuário guest com privilégios administrativos.

    Ormandy é uma figura familiar no mundo da segurança digital. Em anos recentes, o especialista em segurança descobriu muitas diferentes vulnerabilidades. Ele também é conhecido por tomar a rota mais curta quando o assunto é compartilhar informações referentes a vulnerabilidades que ele descobre: a lista de discussão Full Disclosure, significa uma rápida publicação sem informar de antemão a organização por trás do software vulnerável.

    Com essa última vulnerabilidade, Ormandy uma vez mais optou pela divulgação completa na lista de discussão de mesmo nome ("Full Disclosure", em Português do brasil, significa "Divulgação Completa"). Após descobrir um bug na função EPATHOBJ:prFlattenRec do kernel do Windows, ele escreveu par aa lista: "Eu nçao tenho muito tempo livre sobrando para trabalhar em código idiota da Microsoft" e solicitou ideias de como explorar o bug com sucesso. Com a ajuda do usuário progmboy, Ormandy então desenvolveu uma exploração via escalonamento de privilégios que ele compartilhou com a lista de discussão, notando que outro exploit já estava em circulação.

    A equipe de segiurança do Heise foi capaz de utilizar o exploit para reproduzir o problema. Se um arquivo é aberto, ele inicia uma linha de comando na qual pode ser utilizada para executar comandos arbitrários com privilégios de sistema, independente dos privilégios do próprio usuário - até mesmo uma conta do tipo guest do Windows pode ser utilizada.

    A Microsoft parece estar bem descontente com a decisão do especialista em segurança de efetuar um post do exploit online sem contatar previamente a companhia. A Microsoft repreendeu publicamente Ormandy seguindo um incidente similar três anos atrás. Ao empregar a política de full disclosure, ele forçou a Microsoft a agir. Agora, a companhia terá de fechar essa vulnerabilidade o mais rápido possível, particularmente devido ao atual acesso dos black hats ao código do exploit. Um vírus poderia utilizar o exploit para desligar software anti-vírus sem um prompt UAC, ou mesmo inserir um rootkit de forma bem profunda no sistema.

    A Microsoft contou ao Heise que está analisando o problema e irá "tomar as medidas necessárias" para proteger seus cliente. Ela não foi capaz de informar quando a vulnerabilidade poderia ser fechada, ou como os usuários poderiam se proteger contra essa escalada de privilégios.

    Vale destacar que Ormandy, como empregado do Google, tomou para si toda a responsabilidade pela divulgação da falha. De acordo com a política do Google, os pesquisadores que descobrirem falhas em software de terceiros deverão comunicar primeiro para a companhia afetada sobre o problema. Ela então teria 7 dias corridos para dar alguma resposta para o público, seus clientes, ou mesmo (o ideia) corrigir a falha. Somente após os sete dias corridos que a falha poderia ser informada ao público. Essa política também vale para o próprio Google.


    Saiba Mais:

    - Heise Online: Google researcher discloses zero-day exploit for Windows (em Inglês)