A Symantec está ciente dos relatórios de vulnerabilidade de Dia Zero, Vulnerabilidade de Execução de Código Remoto para Microsoft Internet Explorer (CVE-2014-1776), que afeta todas as versões do Internet Explorer.
A Microsoft publicou um aviso de segurança sobre a vulnerabilidade no Internet Explorer, que está sendo utilizada em limitados ataques dirigidos. Atualmente não existe nenhum patch disponível para esta vulnerabilidade e a Microsoft, até o momento em que este texto foi escrito, não ofereceu uma data de divulgação desta correção.
Nossos testes confirmaram que a vulnerabilidade afeta o Internet Explorer do Windows XP. Esta é a primeira vulnerabilidade de Dia-Zero que não será corrigida para os usuários do Windows XP, pois a Microsoft encerrou o suporte deste sistema operacional em 8 de abril de 2014. No entanto, a Microsoft afirmou que o seu avançado kit de ferramentas de Mitigação (EMET) 4.1 e acima poderá mitigar essa vulnerabilidade do Internet Explorer que é suportado pelo Windows XP. Além de usar o EMET, a Symantec incentiva os usuários a mudarem temporariamente para um navegador da Web diferente até que uma correção seja disponibilizada pelo fornecedor.
Symantec protege os clientes contra este ataque, com as seguintes detecções:
Nós vamos atualizar este blog com mais informações assim que estiverem disponíveis.
Atualização – 28 de Abril
Com a finalidade de reduzir a Vulnerabilidade de Execução de Código Remoto para Microsoft Internet Explorer (CVE-2014-1776) , a Symantec ofrece as seguintes recomendações
A Microsoft declarou que versões do avançado kit de ferramentas de Mitigação (EMET) 4.1 e superiores podem atenuar essa vulnerabilidade no Internet Explorer. O kit de ferramentas está disponível para usuários do Windows XP também. Se a utilização do EMET não for uma opção, os usuários podem considerar como forma de reduzir o problema anulando o registro de um arquivo DLL chamado VGX.DLL. Este arquivo provê suporte para VML (Vector Markup Language) no navegador. Essa ação não é necessária para a maioria dos usuários. No entanto, ao anular o registro da Library qualquer aplicação que utilize DLL não funcionará de maneira apropriada. Igualmente, algumas aplicações potencialmente instaladas no sistema podem se registrar no DLL. Com isso em mente, a seguinte linha de instruções pode ser executada para tornar imune o sistema de ataques que tentem explorar esta vulnerabilidade. Esta linha de recomendações pode ser usada para todos os sistemas operativos afetados.
“%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”
Nós também desenvolvemos um arquivo de lote que pode ser utilizado para executar a tarefa para aqueles que necessitem administrar grandes infra-estruturas de TI.
Nota: Os usuários terão de renomear o arquivo usando uma extensão .bat
O arquivo de lote tem a capacidade de verificar o estado atual do arquivo DLL e cancelar o registro da DLL, conforme necessário. O roteiro descrito no arquivo de lote é muito simples e pode ser usado como uma base para customizar o código para atender às necessidades de certos ambientes de sistema.
Apesar de nenhuma ferramenta especial ser necessária para atenuar essa vulnerabilidade, por favor note que as recomendações, como as fornecidas aqui, podem não ser as mesmas possíveis para vulnerabilidades futuras. Recomendamos que os sistemas operacionais não suportados, como o Windows XP, sejam substituídos por versões atualizadas, logo que possível.