Falha de segurança já corrigida pela Microsoft na origem do vírus Zotob

16 ago 2005 16:22

Este artigo tem mais de 19 anos

Três dias após a divulgação do boletim de segurança da Microsoft já existiam 2 provas de conceito com exploits para uma das falhas críticas. Mais 3 dias foram suficientes para fazer surgir um vírus, já responsável por algumas centenas de infecções.

Um novo vírus que explora uma falha crítica do Windows corrigida pela Microsoft na semana passada está a circular na Internet e provocou já algumas centenas de infecções. Já na sexta feira o TeK noticiou que a empresa de segurança eEye tinha encontrado duas provas de conceito que exploravam uma das falhas alvo de patchs na terça feira anterior.

A empresa de segurança alertava para a rapidez com que surgira o exploit da falha no sistema e para a possibilidade desta rapidamente se converter num worm, o que acabou por acontecer como confirma a Trend Micro.

O Zotob explora uma falha no sistema de plug-and-play do Windows, que afecta os utilizadores da versão 2000 do sistema operativo e permite que um atacante tome o controlo da máquina afectada. Conforme já tinha sido sublinhado pela Microsoft, os utilizadores da versão mais recente do sistema operativo, Windows XP com SP2, não estão na mira do código entretanto desenvolvido.

Este código foi concebido para deixar uma cópia no sistema de ficheiros do Windows que se identifica por botzor.exe e que impede o utilizador de receber as actualizações do sistema de antivírus. O vírus está ainda programado para se ligar a um servidor pré-determinado e dar ao atacante o controlo sobre a máquina infectada, um poder que este pode usar para lançar ataques sobre outras máquinas cujo sistema não tenha sido actualizado, ou diminuir a performance da rede.

De acordo com as empresas de segurança foram já detectadas duas variantes do vírus (A e B) que no seu conjunto não conseguiram mais de algumas centenas de infecções, pelo que se espera um impacto pouco significativo da propagação do vírus.

Na passada terça feira a falha no sistema de plug-and-play do Windows - que permite a configuração automática de periféricos - foi corrigida pela Microsoft juntamente com outras duas vulnerabilidades com o mesmo tipo de classificação e outras três menos graves.

As duas outras falhas críticas diziam respeito ao software Print Spoofer e ao sistema de imagens do Internet Explorer. As três falhas de menor gravidade referiam-se a problemas no Windows Telephony Service, no Remote Desktop Protocol e no protocolo de autentificação Kerberos.