| >
Execução
automática de scripts
Em
tempos digitais já é velha a admoestação "não abra
arquivos anexos vindos de estranhos"... Apesar de ainda válida
essa ação mostra-se insuficiente por dois motivos: 1 - a safra
moderna de vírus/worms possui elementos que se auto enviam por
e-mail para todos os endereços constantes na lista de contatos
do Outlook e isso faz com que se possa receber mensagens
contaminadas de conhecidos. 2 -
alguns vírus/worms conseguem fazer com que seus arquivos
anexos ou scripts sejam executados automaticamente sem que o usuário
interfira e isso faz com que a simples abertura de uma mensagem
possa causar a contaminação do sistema.
Para
se defender desse tipo de elementos agressores é bom saber ao
menos um pouco como eles agem. Durante uma conexão com a
Internet diversos programas serão usados ao mesmo tempo
dependendo do que se esteja fazendo na rede: Windows, IExplorer e
Outlook por exemplo se o internauta estiver apenas navegando e
trocando e-mails. Os programas
da MS tem muita comunicação e interação entre si (para
facilitar a vida do usuário) além de muitas falhas... Muitas
dessa falhas (bugs) são conhecidas e a partir daí a MS
disponibiliza arquivos de correção ou remendo (patches) para
corrigi-las. Essas mesmas falhas são amplamente exploradas por
invasores e agressores virtuais pois tornam os sistemas vulneráveis
em relação a segurança.
Uma
dessas falhas faz com que um script embutido num código HTML
seja executado automaticamente e esse script pode ser um vírus...
O 1o vírus que se aproveitou dessa falha se não me
engano foi o BubbleBoy só que ele tinha bugs e não pegou mas
ficou famoso por ter sido o 1o a contaminar com a simples leitura
de mensagens... Os scripts que podem ser em Java, ActiveX, VB ou
até outras linguagens são programinhas feitos para facilitar a
execução de aplicações remotas, mas podem ser usados para
criar comandos que, só de acessar um website ou mensagem em HTML
causam estragos... Arquivos executáveis anexos todos sabem o que
são né? Scripts são programas que não foram compilados ou
seja transformados num arquivo executável portanto se apresentam
como linhas de programação mas rodam do mesmo jeito...
Falhas
(bugs) exploradas
O
W32/BadTrans.B
se aproveita de uma falha do Outlook que permite a execução de
anexos sem solicitação do usuário, essa mesma vulnerabilidade
foi explorada pelo Nimda que causou um grande estrago ao redor do
mundo há pouco tempo e pelo W32.Toal.A@mm
também.
Sim, e daí? E daí que o patch de correção dessa falha de
vulnerabilidade está disponível desde 29 de março de 2001
< http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
>
o que denota ignorância e/ou negligência de administradores de
sistemas e usuários que tenham tido seus sistemas contaminados
por esses elementos, e não são poucos... Isso sem falar que um
simples antivírus atualizado já dificulta bastante a contaminação
e que os usuários que usam a versão atual do Internet Explorer
e Outlook a 6.0 estão seguros em relação a essa falha. Outros
vírus/worms aproveitam-se de outras falhas que também já tem
correções disponíveis esperando que os interessados as baixem
e instalem: Code Red < http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
>,
W32/Finaldo.b@mm
<
www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-027.asp
>, VBS.Haptime.A@mm
<http://www.microsoft.com/technet/ie/tools/scrpteye.asp
> e
etc...
O
W32/BleBla@mm para rodar seu código virótico usa quatro
diferentes vulnerabilidades: o comando de execução de i-frame
(IFRAME ExecCommand) < http://www.microsoft.com/technet/prodtechnol/ie/downloads/iframe.asp
>, a possibilidade de ignorar o cache (cache bypass) < http://
www.microsoft.com / TechNet / prodtechnol / office / support /
fixes / q247638.asp >, a capacidade de execução
de código de arquivos de ajuda HTML (HTML Help File Code
Execution) < http://www.microsoft.com/technet/prodtechnol/ie/downloads/iehtmhlp.asp
> e ainda uma conhecida como "scriptlet.typelib/Eyedog"
< http://www.microsoft.com/technet/prodtechnol/ie/downloads/scrpteye.asp
> . Todas elas com seus respectivos patches de correção
disponíveis.
Configurações
para inibir a execução automática de scripts:
Outolook
Express
-
Ferramentas>Opções>Segurança>Zona de sites
restritos> Marcar
Zona de sites restritos (mais segura)
IExplorer
-
Ferramentas>Opções da Internet>Segurança>Sites
restritos>Nível personalizado> na caixa Configurações de
Segurança basta substituir as marcações Ativar por
Confirmar para todas as opções contidas em Plug-ins
e controles ActiveX e em Scripts>OK.
Com
as configurações acima os scripts e/ou controles ActiveX não
serão executados sem autorização do usuário. Se não gostar
do incomodo de ter que responder se autoriza ou não toda vez que
aparece um script basta desfazer as configurações e deixar como
estava ou ao invés de Confirmar marcar Desativar
pois aí não será pedida autorização e nem executado o
script.
Windows
98 ( para
outras versões do Windows veja http://www.sophos.com/support/faqs/wsh.html
)
-
Iniciar>Configurações>Painel de controle> Adicionar ou
remover programas>Instalação do Windows>Acessórios... Desmarque
a opção Windows Scripting Host.
Sugestões
para se manter a salvo desse tipo de ameaça:
manter
antivírus atualizado (sempre!)
manter-se
informado sobre os patches de correção de vulnerabilidades e
assim manter seu sistema atualizado e protegido em relação a
vulnerabilidades conhecidas
atualizar
periodicamente os programas usados em conexões com a Internet;
Windows, IExplorer, Outlook e etc...
Conclusão
A
simples leitura de mensagens em HTML ou mesmo a navegação em
sites contaminados pode sim infectar um sistema mas somente se
este estiver desatualizado em relação às versões dos
programas utilizados, aos patches de correção de bugs e às
atualizações do antivírus. Alguns cuidados simples e básicos
evitam esses e outros tipos de transtornos digitais... |
Publicado
no site: Jornal
de Segurança