Alertas de segurança do Windows Vista camuflam crackers, afirma Symantec

O Controle de Contas do Usuário (CCA), novo sistema do Windows Vista que torna o sistema operacional mais seguro contra ataques online, pode ser enganado e não deve ser completamente confiado, afirma uma pesquisa da Symantec divulgada nesta quinta-feira (22/02).

Ollie Whitehouse, desenvolvedor do time de ameaças avançadas da Symantec, usou o blog da equipe para apontar que um cracker poderia usar um arquivo incluído no Vista para camuflar o alerta do CCA como um conselho do próprio Windows.

O processo para burlar é complicado, mas já foi comprovado, afirmou Whiteshouse, com a possibilidade de o usuário cair em alguns truques promovidos pelo cracker.

“O cenário mais provável é que o usuário seja infectado por códigos maliciosos ou uma vulnerabilidade em uma aplicação como o Office ou um navegador”, afirmou em entrevista.

A partir daí, o código malicioso forjaria um arquivo “.dll” no disco rígido do usuário, rodando uma versão para administradores do Vista, que pode ser formatado pelo usuário. Como o usuário tem direito de promover alterações, o CCA não informaria sobre o ataque.

Finalmente, o código malicioso acionaria o comando que oferece compatibilidade do Vista com antigos plug-ins para o Windows Controle Panel, chamado de “RunLegacyCPLElevated.exe”, que rodará o arquivo forjado.

A ação engatilha um alerta do CCA, mas como o RunLegacyCPLElevated.exe está programado com totais privilégios, a caixa de diálogo tem a cor verde que representa compatibilidade com o Vista, o que induz ser uma checagem padrão.

Ao clicar no botão “Confirma”, o código malicioso ganha privilégios administrativos, dando à praga total acesso à máquina.

“As cores diferentes implicam o nível de confiança”, argumenta Whitehouse. “O verde significa que o alerta está vindo do próprio Vista. Cinza significa que é de uma outra aplicação, mas com certificado de segurança. Laranja aponta programas sem certificação, com segurança questionável”.

O Windows Vista também reproduz janelas do CCA em vermelho para indicar programas que estão automaticamente bloqueados.

“Será que o usuário tratará este alerta do CCA com a mesma precaução sempre?”, questiona ele. Sua resposta é não. Usuários notarão as cores na caixa de diálogo e poderão ignorar um segundo pensamento, afirmou ele.

“Mesmo que exija interação do usuário, o truque pode marcar algo na medida em que soa menos alarmante. O CCA é apenas uma das ferramentas que a Microsoft desenvolveu para tornar seu novo sistema ainda mais seguro. Mas tanto esforço pode prejudicar” ainda mais a Microsoft, diz ele.

Whitehouse afirmou ter entrado em contato com o Centro de Resposta de Segurança da Microsoft (do inglês, MSRC) há cerca de duas semanas para relatar suas descobertas. “Eles não consideraram isto um problema”, afirmou.

Ao invés disto, o grupo indicou o documento “Security Best Practice Guidance for Consumers” para o pesquisador.

“É importante lembrar que os alertas do CCA não são garantias de segurança – eles não oferecem nenhuma proteção direta”, afirma Whitehouse.

“Eles oferecem uma chance para verificar a ação antes que ela aconteça. Uma vez dada a permissão, pode não haver jeito de voltar. Por isso, apesar da Microsoft usar a palavra ‘confiança’ em relação ao CCA em sua documentação, há o fato real de que o sistema pode não ser tão confiável assim”.

A Symantec é uma crítica costumeira das novidades de segurança oferecidas pela Microsoft no Windows Vista – incluindo uma discussão pública sobre a proteção de kernel da versão de 64-bits do Windows vista, chamada de “PatchGuard”.

Whitehouse negou que há relações entre sua pesquisa e possíveis produtos da Symantec que corrigem supostos problemas com o CCA.