Microsoft alerta sobre novos ataques de 0-day no IE

Uma falha de 0-day (sem correção) no Internet Explorer está sendo explorada, a empresa advertiu hoje em um boletim.

No mesmo dia em que emitiu correções de software como parte de sua programação de patches (Patch Tuesday), a Microsoft lançou um patch pré-consultivo, para alertar sobre o risco de ataques de execução remota de código contra usuários do IE 6 e IE 7.

Um trecho do alerta:

A nossa investigação até agora tem demonstrado que o Internet Explorer 8 e o Internet Explorer 5.01 Service Pack 4 no Microsoft Windows 2000 Service Pack 4 não são afetados, e que o Internet Explorer 6 Service Pack 1 no Microsoft Windows 2000 Service Pack 4 e Internet Explorer 6 e Internet Explorer 7 estão vulneráveis.

A vulnerabilidade existe devido a um ponteiro de referência inválido no Internet Explorer. É possível sob determinadas condições acessar esse ponteiro inválido depois que um objeto é excluído. Em um ataque especialmente criado, na tentativa de acessar um objeto liberado, o Internet Explorer pode permitir a execução remota de código.

A Microsoft disse que estava ciente de ataques direcionados tentando usar essa vulnerabilidade, mas sem dar detalhes.

A empresa deixou claro que a versão mais recente do navegador - Internet Explorer 8 - não foi afetada por essa vulnerabilidade.

Algumas defesas adicionais:

• O Modo Protegido do Internet Explorer no Windows Vista e sucessores ajuda a limitar o impacto da vulnerabilidade, pois um invasor que explorar com êxito essa vulnerabilidade teria direitos muito limitados no sistema. Um invasor que explorar com êxito essa vulnerabilidade no Internet Explorer 6 ou Internet Explorer 7 poderá obter os mesmos privilégios que o usuário local. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que operam com direitos administrativos.
• Em um cenário de ataque baseado na web, um invasor pode hospedar um site que contenha uma página usada para explorar esta vulnerabilidade. Além disso, sites comprometidos e sites que aceitam ou hospedem conteúdo fornecido ou anúncios pode conter conteúdo especialmente desenvolvido para explorar esta vulnerabilidade. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a visitarem os sites. Em vez disso, um invasor teria que convencer os usuários a visitar o site, normalmente fazendo com que eles cliquem em um link em um e-mail ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• Por padrão, o Internet Explorer no Windows Server 2003 e Windows Server 2008 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. Esse modo define o nível de segurança para a zona da Internet como Alto. Este é um fator atenuante para sites que você não tenha adicionado à zona de "sites confiáveis".
• Por padrão, todas as versões suportadas do Microsoft Outlook, Microsoft Outlook Express e Windows Mail abrem mensagens HTML na zona de sites restritos, eliminando o risco de um invasor capaz de usar essa vulnerabilidade executar código malicioso. A zona de sites restritos ajuda a reduzir os ataques que podem tentar explorar essa vulnerabilidade, ao evitar que scripts ativos e controles ActiveX sejam usados durante a leitura de HTML em mensagens de e-mail. No entanto, se um usuário clica em um link em uma mensagem de e-mail, o usuário ainda pode estar vulnerável à exploração desta vulnerabilidade. Além disso, Outlook 2007 usa um componente diferente para processar e-mail HTML, eliminando o risco.

Na ausência de um patch, os usuários do IE deve considerar a mudança para um navegador alternativo - Mozilla Firefox, o Google Chrome ou Opera.

Se você deve usar o Internet Explorer, as soluções disponíveis são as seguintes:

• Modificar a Lista de Controle de Acesso (ACL) no iepeers.dll
• Ajustar as configurações de zona de segurança Internet e Local intranet para “Alto” para impedir controles ActiveX Controls e Active Scripting
• Configurar o Internet Explorer para avisar antes de rodar Active Scripting ou desabilitar Active Scripting na zona de segurança Internet e Local intranet
• Habilitar o DEP para Internet Explorer 6 Service Pack 2 ou Internet Explorer 7

Instruções para aplicar essas soluções estão disponíveis no boletime da Microsoft.