Empresa de segurança aplicou técnica para entender mudanças trazidas por correção e descobriu que consequências poderiam ser graves.

A empresa de segurança Qualys demonstrou nesta semana como aplicar engenharia reversa a uma correção da Microsoft para lançar um ataque de negação de serviço (DoS) contra servidores Windows DNS.

A prova de conceito mostra os passos que um hacker poderia seguir para atacar o Windows e põe em evidência a importância de aplicar as correções (patches) da Microsoft o mais rapidamente possível logo após a liberação do pacote mensal Patch Tuesday.

A correção utilizada pela Qualys resolvia duas brechas no Windows DNS Server e havia sido classificada como crítica, a mais alta dentro da escala da Microsoft.

A criadora do Windows afirmou não esperar que a vulnerabilidade fosse explorada este mês, mas a prova de conceito da Qualys mostra que isso seria possível.

“Nós fizemos a engenharia reversa do patch para entender melhor o mecanismo da vulnerabilidade e descobrimos que ela poderia ser explorada com alguns passos básicos”, escreveu, em blog, o engenheiro de segurança Bharat Jogi, da Qualys. “A prova de conceito descrita abaixo demonstra uma negação de serviço, mas cibercriminosos poderiam utilizar a falha para executar código remotamente.”

Comparação binária
A Qualys usou uma ferramenta de comparação binária de arquivos (“binary diffing”), chamada TurboDiff, para comparar as versões corrigidas e não corrigidas dos arquivos do DNS Server afetados. Isso ajudou os especialistas a “entender as mudanças que foram feitas para corrigir a vulnerabilidade”, mas também poderia ajudar pessoas mal-intencionadas a aprender como explorar a vulnerabilidade e usá-la contra os sistemas que ainda não receberam a atualização de segurança.

Depois que as vulnerabilidades foram identificadas, a Qualys configurou dois servidores DNS em laboratório e derrubou um deles com uns poucos comandos. Como a execução do ataque exige apenas alguns passos, a Qualys recomendou que seus próprios clientes façam uma varredura com o software de segurança QualysGuard e “apliquem a atualização de segurança o mais rapidamente possível”.

A correção para o Windows DNS Server foi uma das duas atualizações críticas lançadas este mês pela Microsoft. A outra consertava sete brechas no Internet Explorer. Em relação ao patch para o IE, a Microsoft advertiu seus clientes de que “provavelmente veremos exploits desenvolvidos para esta brecha nos próximos 30 dias”. O especialista em segurança Paul Henry, da Lumension, vai mais longe ao dizer que “estamos trabalhando com uma janela de 24 horas [após a liberação dos patches] para que comecemos a ver códigos de exploit em campo”.

Em resumo: O dia seguinte ao da publicação do Patch Tuesday já dá oportunidade a hackers para atacar sistemas desprotegidos, por isso os responsáveis por sistemas Windows deveriam aplicar as atualizações de segurança assim que possível.

Fonte: IDG Now