Há código malicioso a atacar computadores que não tenham aplicado os códigos de correcção para duas das vulnerabilidades do software Windows divulgadas pela Microsoft no passado dia 12 de Abril, avisou a Symantec, que teme que a acção possa atingir proporções mais graves, originando a prazo um novo worm de grande dimensão.



A empresa de segurança informática avançou que o cavalo de tróia detectado - denominado backdoor.mipsiv - usa uma vulnerabilidade na funcionalidade PCT (private communications transport) dos servidores Microsoft Windows Internet Information Servers (IIS), e já comprometeu os sistemas de muitas empresas. "Quando temos um patch e o produto original, não é difícil escrever um exploit", afirma Friedrichs à NewsFactor. Aparentemente, o cavalo de tróia não afecta o Windows Server 2003.



Até agora o backdoor.mipsiv tem sido fácil de gerir, mas a Symantec teme que a ferramenta seja apenas o início de algo mais comprometedor. Embora os relatórios possam indicar que esteja a caminho um novo vírus, o tráfego de dados causado pelos ataques não aumentou para o nível normalmente registado com os worms, segundo afirma Johannes Ullrich, director técnico do Internet Storm Center, citado pela C|Net.



O Internet Storm Center, dirigido pelo SANS Institute, detectou igualmente um código que se aproveita de uma outra vulnerabilidade. A falha, num componente de segurança conhecido como Local Security Authority Subsystem Service (LSASS), foi adicionada a um "agente de ataque automático", ou bot, conhecido como AgoBot. Tais programas correm de forma invisível num computador afectado, dando controlo total do sistema a um intruso que pode também usar o PC para os ataques.



A Symantec também confirmou ter detectado uma versão do programa AgoBot, conhecida como PhatBot, que parece ter a capacidade de atacar sistemas através da vulnerabilidade LSASS. A empresa está contudo mais preocupada com o possível surgimento de um worm, uma vez que o exploit LSASS é idêntico àquele que permitiu ao MSBlast uma disseminação tão alargada.



As duas falhas de segurança mencionadas dizem respeito a diferentes partes da infra-estrutura informática. A vulnerabilidade do PCT coloca os servidores que usam encriptação Secure Sockets Layer em risco, enquanto a LSASS afecta quase todos os computadores Windows que ainda não tenham aplicado os códigos de correcção.



Embora ainda não se tenha realmente criado um worm, o perigo dos futuros intrusos recorrerem aos recentes programas de exploit é real, defende igualmente o Internet Storm Center.



Perante o risco em causa, a Microsoft voltou a apelar para que todos os seus clientes apliquem os patches que a fabricante vai lançando o mais rapidamente possível.



Notícias Relacionadas:

2004-04-14 - Megapatchs da Microsoft resolvem 20 falhas de segurança críticas no Windows