Microsoft corrige bug do Windows que existe há 15 anos

Por Redação | 13.02.2015 às 12:27 - atualizado em 13.02.2015 às 17:14

A Microsoft finalmente corrigiu um bug que existe há 15 anos e que, em alguns casos, permitia que invasores assumissem o controle total de computadores equipados com diversas versões do Windows.

A empresa de Redmond levou mais de 12 meses para conseguir corrigir o bug – conhecido como JASbug, e classificado pela Microsoft como MS15-011 – que afeta todos os usuários que se conectam a redes corporativas, governamentais, ou que utilizam o serviço Active Directory.

A brecha pode ser explorada remotamente, concedendo então privilégios de administrador da máquina ao invasor. "Todos os computadores e dispositivos que são membros de um Active Directory corporativo podem estar em risco", alertou a JAS Global Advisors em um post. A JAS foi uma das empresas que (juntamente com a simMachines) reportou o bug para a Microsoft em janeiro de 2014.

A Microsoft exemplificou como o ataque funciona em uma rede compartilhada de um local público, onde o invasor tenta fazer alterações no switch para conseguir direcionar o tráfego do cliente para um sistema controlado.

JASbug

1. Neste cenário, o invasor observa todo o tráfego no switch e descobre que uma máquina específica está tentando baixar um arquivo localizado no caminho UNC: \\10.0.0.100\Share\Login.bat.

2. Na máquina do invasor, um caminho igual ao do arquivo solicitado pela vítima está configurado: \\*\Share\Login.bat.

O invasor então trabalha no conteúdo do Login.bat para executar o código malicioso no sistema de destino do arquivo. Dependendo do serviço solicitado, ele poderia ser executado como o usuário local ou como a conta SYSTEM na máquina da vítima.

3. O invasor então modifica a tabela ARP no switch local para garantir que o tráfego destinado ao servidor alvo 10.0.0.100 está direcioado para seu computador.

4. Quando a máquina da vítima solicita o próximo arquivo, a do invasor encaminha a versão maliciosa do Login.bat.

Esse cenário ilustra que esse ataque não pode ser amplamente usado em toda a internet – o invasor precisa atingir um sistema específico ou um grupo de sistemas que solicitem arquivos com esse UNC exclusivo.

A solução já está disponível no Windows Update, mas a Microsoft pede que administradores de sistemas acessem uma página específica com dicas para proteger a rede local.

Máquinas equipadas com o Windows Server 2003 não receberão a correção da vulnerabilidade, o que deixará a versão aberta a ataques nos cinco meses restantes que a Microsoft prometeu continuar dando suporte a ela.