Hackers tendem a adoptar nova técnica sofisticada

Os atacantes sofisticados poderão em breve adoptar uma técnica inovadora para contornar um dos mecanismos mais eficazes de prevenção de falha de segurança no Windows – dizem investigadores da FireEye. O ponto de partida é o mecanismo de protecção Address Space Layout Randomization (ASLR).

O ASLR baralha as posições de memória de elementos-chave dos programas, como a base do executável e as posições das bibliotecas. Isso torna difícil a um atacante adivinhar onde residem esses elementos, quando os quer explorar.

As tendências actuais indicam que os hackers estão a procurar, cada vez mais, contornar o ASLR, aproveitando erros de programação comuns, os quais levam à corrupção de memória (à alteração involuntária do conteúdo de uma posição de memória). Quase 10% das falhas de aplicações em sistemas Windows são devidas a este tipo de ocorrência.

Em caso de corrupção, o malware do atacante tenta adivinhar onde está a biblioteca de uma aplicação na memória, explicaram os investigadores da FireEye, esta quarta-feira.

“Uma forma de o fazerem é através da leitura de partes de memória que não é suposto lerem”, diz Dan Caselden, investigador sénior de malware para a FireEye.

“Em determinado lugar da memória existirá um apontador para uma biblioteca. Se o puderem ler, então conseguem descobrir está a biblioteca”.

Para encontrar o apontador, o hacker corrompe um JavaScript Array Object, para os dados de endereço irem para a memória. E usa as informações para encontrar a biblioteca necessária visando comprometer a aplicação.

“A vulnerabilidade face à corrupção é a mesma usada para obter o controlo de código ou execução do mesmo”, explica Caselden.

Em geral, qualquer vulnerabilidade que permite a um intruso, forçar um elemento na memória para expor dados fora dos parâmetros, pode ser explorada através desta técnica. Essas vulnerabilidades podem existir no Internet Explorer, Microsoft Office ou noutras aplicações.

(Antone Gonsalves, CSO)