[SECURITY-L] Erro da Microsoft pode ter ajudado novo worm

[Security Team - UNICAMP]

----- Forwarded message from Caio Souza Mendes <caio_sm em yahoo.com.br> -----

From: Caio Souza Mendes <caio_sm em yahoo.com.br>
Subject: Erro da Microsoft pode ter ajudado novo worm
To: security em unicamp.br
Date: Thu, 14 Aug 2003 19:18:54 -0300 (ART)

Erro da Microsoft pode ter ajudado novo worm

Quinta-feira, 14 de Agosto de 2003 - 12h05

http://idgnow.terra.com.br/idgnow/pcnews/2003/08/0026

Com a disseminação do worm Blaster começando a decair,
o foco das atenções passa agora para as tentativas da
Microsoft em ajudar seus clientes a corrigir os
sistemas vulneráveis, com especialistas em segurança
afirmando que a companhia forneceu proteção inadequada
e poucas informações sobre como os usuários podem
proteger seus PCs.

O worm Blaster surgiu na última segunda-feira (11/08)
na internet e começou a se espalhar rapidamente em
todo o mundo, infectando milhares de computadores e
causando panes em redes corporativas e universitárias,
além de PCs domésticos. Ele usa uma falha em um
componente (RPC e DCOM) do Windows, presente em quase
todas as versões do sistema operacional, mas por falha
em seu desenvolvimento ataca apenas máquinas com
Windows XP ou 2000.

Até quarta-feira (13/08) à noite, o Blaster havia
infectado aproximadamente 225 mil computadores em todo
o mundo, segundo Albert Huger, diretor de engenharia
do Symantec Security Response. Ontem também surgiu uma
nova variante do Blaster, segundo os fabricantes de
antivírus.

A correção para o problema no Windows foi lançada em
julho e a Microsoft pediu aos usuários que instalassem
o patch o mais rápido possível para proteger o PC. Na
época, a companhia tentou contornar o problema, mas
ficou em posição vulnerável quando o Blaster começou a
se espalhar.

Após relatos surgirem na internet, a Microsoft
reconheceu que seu trabalho de desabilitar a porta
afetada (DCOM) no Windows 2000 não funcionava em
determinadas versões desse sistema operacional.
"Descobrimos que há um bug não relacionado a segurança
presente no Windows 2000 versão gold ou nos service
packs 1 e 2", disse Stephen Toulouse, gerente de
segurança da Microsoft. Por causa disso, era preciso
mudar uma configuração no Windows para desabilitar a
DCOM.

Entretanto, a tal mudança não fez efeito nos
servidores Windows 2000 com a versão original (também
chamada gold) do software ou com os service packs 1 e
2 instalados, de acordo com Marc Maiffret, da eEye
Digital Security. Além disso, a Microsoft também não
informou que as máquinas com Windows precisavam ser
reincializadas após a mudança na configuração, segundo
Maiffret.

Administradores de sistemas que barraram o acesso ao
DCOM pensando que era um modo rápido e eficiente para
proteger seus sistemas enquanto as correções estavam
sendo desenvolvidas, mas eles ainda estavam
vulneráveis, segundo Maiffret.

Não surgiram relatos de infecções pelo Blaster por
causa da confusão sobre desabilitar a DCOM, diz Russ
Cooper, moderador da lista de discussões NTBugtraq.
Segundo o especialista, a instalação de outras
correções para o Windows 2000 permitiu aos usuários
desabilitar de maneira correta a DCOM, já que essa é a
maneira mais eficiente para impedir diversas outras
pragas que podem se aproveitar da vulnerabilidade da
Microsoft.

Em resposta às críticas, a Microsoft atualizou
anteontem seu boletim de segurança sobre a falha no
DCOM, e ampliou o suporte para a vulnerabilidade no
RPC para sistemas com Windows 2000 e Service Pack 2.

Toulouse, da Microsoft, disse sentir muito pela
confusão, mas informou que a companhia não dá suporte
técnico para sistemas com Windows 2000 rodando algo
inferior ao Service Pack 3 e que as correções
funcionam direito apenas em versões do Windows
compatíveis.

Segundo a Microsoft, sua política de suporte a
sistemas operacionais vale apenas para os dois service
packs mais recentes. Porém, a companhia vai reavaliar
seus procedimentos para dar suporte a versões mais
antigas dos sistemas operacionais quando surgirem
problemas de segurança que exploram vulnerabilidades e
alertas de vírus. "Fizemos muito com esse alerta de
vulnerabilidade, mas ainda estamos em fase de
aprendizado. Sempre há mais que podemos fazer",
afirmou Toulouse.

[ Paul Robertsv - IDG News Service / EUA , com
tradução de PC World ]


----- End forwarded message -----