Se já não bastassem os tristes episódios sobre as correções de segurança da Microsoft, as quais só chegam atrasadas nas terças-feiras e de quebra, causam mais problemas do que trazem soluções, além de chegarem ao ponto de necessitar de “novas correções para corrigir os problemas encontrados em outras correções”, desta vez chegamos a uma situação tal, em que a própria empresa não providencia a devida correção para mais uma falha encontrada, a qual ataca uma função específica do seu sistema operacional…
“A free unofficial patch is now available to block ongoing attacks against Windows systems that target a critical zero-day vulnerability known as ‘Follina.’ The bug, now tracked as CVE-2022-30190 and described by Redmond as a Microsoft Windows Support Diagnostic Tool (MSDT) remote code execution flaw, impacts all Windows versions still receiving security updates (Windows 7+ and Server 2008+). Attackers who successfully exploit this zero-day can execute arbitrary code with the privileges of the calling app to install programs, view, change, or delete data, or create new Windows accounts as allowed by the user’s rights.”
— by Bleeping Computer.
A falha em questão é uma “vulnerabilidade de dia zero” recém-descoberta e anunciada pela própria empresa, através de uma postagem no blog do seu setor de segurança (Microsoft Security Response Center). Registrada no banco de dados CVE sob o código CVE-2022-30190 (“Follina”), ela afeta uma função do serviço MSDT (Microsoft Support Diagnostic Tool) e possibilita a execução de remota de códigos maliciosos com certos privilégios administrativos, dando aos invasores a autonomia para instalar aplicações, realizar operações em dados armazenados e criar novas contas de usuário. Ela afeta todas as edições do sistema operacional Windows que ainda recebem atualizações, como o Windows 7+ e posteriores. Mas…
Ao invés da empresa providenciar uma solução definitiva, ela apenas fornece instruções para desabilitar o protocolo URL MSDT, o qual é responsável por inicializar as aplicações e prover os meios necessários para explorar a vulnerabilidade. Neste momento, entra em cena a empresa 0patch, especializada em prover micro-correções para corrigir vulnerabilidades de softwares de terceiros (mesmo fechados), sem a preocupação de ter que reiniciar o sistema ou o medo de que as correções oficiais acabem afetando o seu funcionamento, em ambientes de produtividade. Neste caso, ela já providenciou uma atualização não oficial e gratuíta, a qual irá bloquear os ataques ao Windows proporcionados por esta falha em questão, através de uma sanitização. Para utilizá-la, o administrador deverá cadastrar uma conta no serviço, além de instalar um agente especial que será responsável por aplicar as correções.
Infelizmente, não está claro (e nem sei dizer) como a desativação do recurso poderá afetar o funcionamento e a produtividade do sistema nas situações em que ele é necessário e por isto, considero a solução da Microsoft mais como um paliativo do que algo realmente definitivo! Obviamente, ela deve estar providenciando uma solução definitiva “de vez” para corrigir o problema em questão, que por sua vez certamente estará presente em suas atualizações regulares (Patch Tuesday). Até lá, só resta torcer para que esta (e outras) intervenções não venham a afetar a estabilidade do sistema, causando os problemas e inconvenientes habituais que já ocorreram em outras atualizações regulares.
Para variar, a terça-feira acabou de passar… &;-D