Microsoft alerta para falha que permite invasão a sites

A microsoft confirmou uma falha dia zero no Internet Information Services (IIS), o software servidor web da empresa, usado por prestadores de serviços de internet para abrigar sites que usam tecnologias Microsoft. Um código para tirar proveito da vulnerabilidade já foi publicado, e não há correção, mas nem todos os sites podem ser atacados – o invasor precisa ter acesso FTP ao site e ter permissão para criar uma pasta.  

O File Transfer Protocol (FTP) é usado para transmitir arquivos para espaços web. Quem mantém sites na internet normalmente envia os arquivos por meio deste protocolo.

Em risco de ataque estão as empresas de hospedagem – como são chamados os provedores que permitem a criação de sites na internet. Um criminoso pode criar uma conta maliciosa e tomar o controle do servidor inteiro, atingindo sites de outros clientes, pois normalmente um mesmo servidor é responsável por dezenas ou centenas de sites. Internautas podem ser afetados ao visitarem as páginas que forem comprometidas para disseminar cavalos de troia. 

Servidores baseados no Windows Server 2008 ou Windows Vista não estão risco. Já o Windows Server 2003 tem um risco reduzido. Segundo a Microsoft, embora a vulnerabilidade exista, ela ainda não foi explorada com sucesso nesse sistema. Ainda de acordo com a empresa, não se sabe de nenhum ataque realizado com base nessa brecha. 

Atualizações de segurança para todos os produtos da Microsoft são lançados na segunda terça-feira útil do mês que, em setembro, será nesta próxima terça (8). Não se sabe, até o fechamento da coluna, se uma correção estará disponível já nessa data, no entanto, mas, em alguns casos mais graves, a empresa decide lançar uma atualização de emergência, fora do 'calendário'. Por enquanto, a Microsoft publicou  aigunmas soluções temporárias.

>>> Envio de CDs a cooperativa de crédito foi teste de invasão

Na semana passada, a coluna Segurança para o PC divulgou o curioso caso dos CDs enviados por correio a uma cooperativa de crédito nortamericana. Os CDs, que supostamente continham materiais de treinamento antifraude, na verdade eram falsos. Inicialmente suspeitou-se de um ataque, até que a empresa de segurança Microsolved se pronunciou informando que a ação era parte de um teste de segurança autorizado. 

A situação não foi como esperada porque o funcionário responsável por receber os CDs na cooperativa estava ausente. Com isso, os CDs foram parar nas mãos de outro funcionário, que não sabia do procedimento e, portanto, resolveu avisar as autoridades. Isso gerou um alerta da Administração Nacional das Cooperativas de Crédito dos Estados Unidos (NCUA), e a mídia também cobriu o caso.  

Para a Microsolved, o desfecho do episódio prova que o 'sistema' – o conjunto de ações que levaram o alerta ao conhecimento geral – de fato funciona. “O sistema funcionou. Fôssemos nós caras maus, teríamos sido descobertos. O mundo foi protegido, graças à vigilância e atenção da NCUA e da comunidade de segurança”, escreveu o especialista em segurança Brent Huston, no blog da Microsolved.  

>>> Live Messenger terá atualização de segurança obrigatória

Começou na sexta-feira passada (25) uma medida adotada pela Microsoft para atualizar os usuários do Windows Live Messenger. Devido ao problema de segurança na biblioteca – uma espécie de código compartilhado – conhecida como ATL, que atinge uma série de aplicativos, o Messenger está potencialmente vulnerável. Ao final de outubro, quem não estiver com a versão mais recente do Messenger não poderá mais fazer login na rede do mensageiro. 

De início, apenas usuários das versões 8.1 e 8.5 do Messenger receberão um aviso a respeito da necessidade de atualizar o programa. Isso mudará em meados de setembro, quando a atualização se tornará obrigatória. 

A partir de outubro, os usuários da versão 14 estarão recebendo os avisos. Até o final do mês, a atualização se transformará em requerimento para fazer login e usar o serviço.

Segundo a Microsoft, o processo será gradual – nem todos os usuários receberão o aviso ao mesmo tempo. Quem estiver usando o programa em uma plataforma em que não há versões novas do Messenger disponíveis, como é o caso do Windows 2000, não terão de atualizar.

Quem não quer esperar a notificação pode, desde já, baixar a nova versão do Messenger no site http://download.live.com. 

O resumo de notícias da coluna Segurança para o PC desta semana acaba aqui. Mas a coluna volta na segunda-feira (7) para falar sobre anonimato na web. Bom fim de semana!

* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página           (fonte:http://twitter.com/g1seguranca. )