Nova ferramenta da Microsoft cataloga ameaças

Qual ameaça em segurança da informação ao instalar um software em seu aparelho Windows?

Para ajudar as empresas com essa questão, a Microsoft lançou recentemente sua ferramenta Attack Surface Analyzer 1.0 . “O propósito dessa ferramenta é ajudar os desenvolvedores de software, fornecedores independentes de software (ISVs) e profissionais de TI a entenderem melhor as mudanças no sistema Windows, derivadas da instalação de novos aplicativos”, afirma uma postagem de blog, escrita por Monty LaRue e Jimmie Lee, que são parte do grupo de confiança de computação de segurança da Microsoft.

A ferramenta analisa arquivos adicionados recentemente – ou modificados desde a última verificação –  e chaves de registro, bem como controles Microsoft ActiveX, serviços, ameaças de processo, entre outros parâmetros. “Diferentemente de muitas ferramentas que analisam um sistema com base em inscrições ou vulnerabilidades conhecidas, esta busca por classes de fraqueza de segurança vistas quando aplicativos são instalados no sistema operacional Windows e os destaca como problemas. O recurso também dá uma visualização de mudanças para o sistema que a Microsoft considera importantes para a segurança da plataforma e as destaca no relatório de possível ataque”.

O serviço coleta dados do ataque do Windows Vista, Windows 7, Windows 8, bem como inúmeras versões do sistema Windows Server 2008 e 2012. Usando o .NET Framework 4, todos esses sistemas podem ser usados para analisar os dados coletados e gerar relatórios relacionados.

A empresa lançou uma versão beta da ferramenta para uso geral no começo deste ano. A última versão incorpora inúmeras melhorias de desempenho e correções de falhas, que resultam agora em um baixo número de falsos positivos, tem uma interface de usuário gráfica melhor e também inclui documentação detalhada. Os usuários betas, no entanto, terão que começar do início com a coleta de dados, já que a Microsoft afirmou que a última versão não irá funcionar com a linha de dados previamente coletados ou aplicativos escaneados.

Nos anos recentes, a empresa trabalhou pra reduzir os ataques de seus aplicativos ao focar em codificação de segurança, bem como adicionando as últimas tecnologias de mitigação de ataques em seus produtos. Dentre elas, está incluso data execution prevention (DEP – prevenção de execução de dados), que ajuda a bloquear execução de código arbitrário, bem como o address space layout randomization (ASLR – Randomização do Layout de Espaço de Endereço), que dificulta que os invasores localizem objetos – como arquivos DLL – que facilitariam o lançamento de uma exploração de sucesso.

Em uma notícia relacionada, a Microsoft lançou no mês passado uma nova versão (3.5) de seu Enhanced Mitigation Experience Toolkit(Emet), que permite que novas tecnologias de mitigação sejam aplicadas para antigos produtos. “Utiliza as mitigações existentes em versões anteriores do Windows – como ASLR e DEP – e permite a execução no XP e Vista”, afirmou Mike Reavey, direto da Microsoft Security Response Center, em uma entrevista na conferência Black Hat, em Las Vegas (EUA). “Então, se você tem uma versão antiga do Office que não usa DEP ou mesmo Adobe Reader, pode-se aplicar o recurso”.

Ele afirmou que a última versão também incorpora quatro novas defesas contra return-oriented programming (ROP – programação orientada ao retorno), que a Microsoft adquiriu graças o seu prêmio BlueHat de US$ 250.000. Ivan Fratric, um pesquisador da University of Zagreb, da Croácia, inventou o “ROPGuard”, que observa – e bloqueia em tempo de execução – certos tipos de ataque ROP. Fratric ficou em segundo lugar no concurso, ganhando US$ 50.000.

Reavey, da Microsoft, afirmou que a tecnologia inovadora ROP demonstrou o benefício de ter fornecedores trabalhando com pesquisadores independentes de segurança, por meio de programas como o concurso do BlueHat. “Isso mostra o poder disponível quando realiza-se parceria com essa comunidade”.

Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini