No dia 28 o pesquisador de segurança Jerome Segura, detectou um anuncio no site http://thepiratebay.org que esta infectando quem por ali navega.

Até o momento não se soube determinar de onde esta partindo o malware, o pesquisador de segurança, disse ter encontrado o anúncio por acaso, e que só percebeu que havia algo errado quando o ícone do Java surgiu na taskbar. Pois geralmente ele só surge quando algum Javascript é executado no site. O arquivo ASX parte daqui: hxxp://noisont.com/super/tmp/u.asx

O malware cria um arquivo chamado u.asx e este arquivo seta para uma pagina com o conteúdo ofuscado vejam:

Veja o conteúdo da pagina hcp.html mostrada imagem acima. O código foi ofuscado para dificultar sua identificação, vejam:

código ofuscado

Portanto fica aqui o alerta para todos, e indico desabilitar o Javascript na pagina, assim se evita uma contaminação. Indico o add-on NoScript

Até o momento o site The PirateBay não se pronunciou sobre o assunto.

Olá pessoal,

Esta semana foi uma semana muito agitada nos sites de relacionamento, Orkut, Youtube, e Twitter. Tudo começou no Twitter que sofreu com uma falha a qual permitia ataques XSS, isto ainda durante a semana.

Já no Sábado o Orkut sofreu um de seus maiores ataques, e assim como no Twitter a falha permitia o ataque o XSS. Já no domingo o Youtube foi a bola da vez e teve um ataque em massa, bobo porém que pertubava bastante.

Pois o atacante podia alterar o título de qualquer vídeo, e isso foi usado em grande escala para divulgar a falha ou apenas por molecagem.

Entrando em detalhes:

Sobre o ataque ao Orkut

No Orkut o que permitiu o ataque foi uma tag html não fechada, a tag STYLE, tendo isso em mãos usuários do Orkut criaram um worn que infectava as contas dos usuários que visualizassem scraps, tópicos e status dos perfis já infectado, criando assim um processo de bola de neve. Uma vez que não era preciso clicar em link algum para se infectar, bastava visualizar o conteúdo malicioso.

Veja um trecho do código utilizado no ataque ao Orkut:

Apesar do worn ter dado muita dor de cabeça para quem foi infectado, ele não oferecia nenhum risco para seu PC.

Sobre o ataque ao Youtube

Neste ataque diferente do que aconteceu no Orkut, ele apenas possibilitava a alteração do titulo de qualquer vídeo, e isto só foi possível por causa de uma falha grotesca por parte do Youtube, a qual permitia a edição do título sem verificar quem estava realizando a alteração.

Neste episódio uma pessoal se destacou por ter explorado o bug primeiro, e após ele vieram outros. Estou falando de Miguel Targa, este mesmo que esteve relacionado ao episódio do XSS do Twitter na semana passada.

Entrei em contato com Miguel e deu algumas palavras esclarecendo o que aconteceu, leiam:

Silas Martins:  Como você detectou a falha?

Miguel Targa: Usando o youtube.

Silas Martins: E porque aquele titulo? (@migueltarga e @saadzim_ Amaram seu video *-*)

Miguel Targa: Porque só queríamos alertar.

Silas Martins: Entendi, procede a informação de que “talvez” fosse possível alterar a titularidade da conta vinculada a determinado vídeo?

Miguel Targa: Desconheço

Silas Martins: Qual foi a participação do Saad?

Miguel Targa: coletar contas e me ajudar a executar meu script.

Silas Martins:  Você utilizava algum add-on para executar o pog?

Miguel Targa: Ferramenta utilizada: curiosidade.

Silas Martins: Após a correção da falha a equipe do Youtube entrou em contato com você, ou deletou sua conta?

Miguel Targa: Nada, pelo menos não chequei meu email.

Silas Martins: Fazendo um balanço dos ultimo mês, pode-se dizer que você anda envolvido quase que sempre nos ataques mais divulgados. Sejam eles no Twitter, Orkut ou You tube. Porque este seu interesse por essas redes sociais?

Miguel Targa: Curiosidade

Ao final da conversa Miguel disponibilizou um vídeo no Youtube onde fala mais sobre o ataque.

Miguel Targa ainda disponibilizou o código utilizado em seu ataque, para os interessados acessem o link: http://pastebin.com/G0SzRYFi

Estes ataques só tem demonstrado quão frágil é a segurança de grandes sites, e o descaso que o Google tem pela segurança de seus usuários. Porém a grande maioria dos portais Brasileiros tem brechas assim, só que não são tão exploradas.

A Google está implementando no Google Apps – serviço de conta Google para empresas – uma opção de login mais segura, com 2 passos.

Além da verificação por senha, tradicional, agora os usuários podem optar por uma segunda camada de proteção, que envolve a confirmação de um SMS enviado para o celular ou um código gerado por uma aplicação de smartphone (Android, BlackBerry ou iPhone). Dessa maneira, mesmo que um atacante tenha acesso à senha do usuário – usando um keylogger, por exemplo -, seria necessário ter também o acesso físico ao smartphone.

A Google não mencionou implementar a solução em contas Google comuns.

A Microsoft liberou hoje uma ferramenta que visa inibir os ataques utilizando o sequestro de Dll’s, porém esta ferramenta não corrige a falha de modo global, uma vez que ela é voltada apenas para aplicações MS. Sendo assim os desenvolvedores de aplicações que estejam vulneráveis a este tipo de ataque terão que atualizar seus softwares.

A alegação da Microsoft para não ter criado uma atualização de contexto global, é a de que, existem centenas de aplicações já descobertas vulneráveis e outros milhares, as quais ainda não se sabem se são ou não vulneráveis.

Uma coisa é certa esta é sem dúvida a falha mais crítica dos últimos tempos, uma vez que foge do controle da Microsoft a correção.

Existem sites que tem mantido listas atualizadas de aplicações que são vulneráveis a estes ataques, como por exemplo, o http://www.exploit-db.com/dll-hijacking-vulnerable-applications/ que já lista inúmeras aplicações vulneráveis. A todo o momento surgem novas descobertas de aplicações vulneráveis.

Nestes momentos o que pode te salvar de uma grande dor de cabeça é o bom e velho bom censo. Pois o exploit não vai entrar em sua maquina sem que você permita.

Algumas pessoas tem me perguntado se por ter um programa vulnerável no PC, significa que ela já esta sendo atacada, a resposta é não. O ataque ocorre de duas formas, sendo elas:

Por compartilhamento de rede, onde o atacante irá tentar convencer o usuário a executar determinado arquivo, e este arquivo irá desencadear o processo de ataque.

Outra forma é via internet, onde sites irão pedir sua permissão para executar determinadas aplicações, e é neste momento que começa o ataque. Este tipo de ataque geralmente é bloqueado pelo firewall, porém em maquinas onde o firewall está mal configurado ou desativado, acaba se tornando um alvo fácil.

Veja abaixo uma ilustração de uma tentativa de ataque via internet:

site tentando realizar o ataque

Após acessar um site que tenha o intuito de atacar irá surgir este a tela abaixo:

O que fazer então para ter o mínimo de segurança?

1º Instalar a atualização http://support.microsoft.com/kb/2264107

2º Instalar e executar a ferramenta Fix-it

http://go.microsoft.com/?linkid=9742148

Feito isto agora é só ter bom censo ao navegar e ficar atento a novas atualizações que a Microsoft liberar.