Vulnerabilidade no schannel permite execução remota de código no Windows

A Microsoft revelou um total de 33 vulnerabilidades no Windows, Internet Explorer e Office, sendo a MS14-066 (CVE-2014-6321) potencialmente catastrófica e afetando praticamente todas as versões do Windows. Usuários do sistema operacional, sobretudo servidores web, devem instalar imediatamente um patch de correções da Microsoft, divulgado no dia 11 de novembro. Até o momento, 14 atualizações de segurança já foram liberadas e duas (MS14-068 e MS14-075) ainda não tiveram suas data de lançamento determinadas.

A vulnerabilidade MS14-066 reside no pacote de segurança Canal Seguro (Schannel) que implementa os protocolos de segurança sockets layer e Transport Layer Security (TLS), de acordo com o comunicado da Microsoft. A incapacidade de filtrar adequadamente pacotes especialmente formados torna possível para os atacantes executarem código de ataque de sua escolha através do envio de tráfego malicioso para um servidor baseado em Windows.

Embora a vulnerabilidade afete principalmente servidores Windows, também é classificada como crítica para as versões cliente, uma indicação de que o bug de execução remota de código também pode ameaçar usuários de desktops e laptops Windows. Amol Sarwate, diretor de engenharia da Qualys, disse que a falha deixa máquinas cliente abertas se os usuários estiverem executando softwares que monitoram as portas de Internet e aceitam conexões criptografadas.

A divulgação da falha implica que todos os principais stacks TLS, incluindo Apple SecureTransport, GNUTLS, OpenSSL, NSS, e agora a Microsoft SChannel, tiveram uma vulnerabilidade grave este ano. Em alguns casos, as falhas meramente permitiam os atacantes contornarem as proteções de criptografia, enquanto outros, mais notavelmente o bug Heartbleed no OpenSSL e a MS14-066 no Windows, permitiam os adversários roubarem dados altamente sensíveis e executarem códigos maliciosos em sistemas vulneráveis, respectivamente.

A correção da vulnerabilidade foi uma das 16 atualizações da Microsoft programadas para este mês. Elas incluem uma correção para uma vulnerabilidade zero-day que já vem sendo explorada em ataques de espionagem altamente segmentados. Vale ressaltar que levou menos de 12 horas após a divulgação do Heartbleed para que ele fosse utilizado contra o Yahoo e outros sites. Assim sendo, qualquer pessoa que utiliza um computador com o Windows, especialmente se ele é executado em um servidor, deve garantir que atualização esteja instalada.

Para mais informações acesse este link.