Negócio de Risco

Voo 447, Crimes Hediondos e Engenharia Social 3.0

Há algum tempo bloquei sobre o fenômeno Conficker e fiz uma comparação com o worm Morris, evento de mais de 20 anos de idade e o quanto aprendemos (ou não aprendemos) desde então.

Com a recente tragédia no voo 447, começaram a "chover" emails falsos de toda a sorte, com iscas do tipo "fotos exclusivas do acidente", "sobreviventes encontrados" entre muitos outros. Um chamariz perfeito para usuários menos treinados ou mais curiosos.

Rios de dinheiro tem sido gastos com ferramentas e novas técnicas de proteção contra esse tipo de ameaça, mas será que estamos escolhendo os campos de batalha corretos?

Aprendemos cada vez mais o papel do usuário nesse tipo de incidente, mas aparentemente não aprendemos o suficiente para cuidar dos usuários.

No acidente aéreo ocorrido no Brasil no ano passado quando duas aeronaves colidiram no ar, até mesmo fotos falsas (provenientes de uma serie de TV onde ocorre um acidente logo no primeiro episódio) foram usadas para chamar a atenção de usuários incautos.

Essas não exatamente novas, mas certamente bem criativas formas de se utilizar engenharia social requerem cuidados ligados a conscientização e constante esforço junto aos usuários. Antivírus de forma isolada não são suficientes (embora uma verificação ortográfica integrada pudesse ser uma boa idéia - Muitos desses emails são maravilhas da engenharia social mas ataques violentos a língua portuguesa). "Vazou OS videos do Desastre" é um bom exemplo disso. A construção desses emails ainda é bem arcaica, mas com o uso de logotipos e imagens surrupiadas de sites de noticias e outros artifícios como links falsos (como no exemplo onde o email sugere que o link é da FAB mas na verdade aponta para um site que hospeda o código malicioso)

Vale a pena conscientizar os usuários sobre esses "fenômenos" e manter máquinas atualizadas e processos bem definidos para monitorar mudanças de configuração, aderência a políticas de segurança corporativas entre outras medidas importantes. Crimes hediondos recentes, tragédias que circulam a mídia: A temática central muda, mas a engenharia social só se aperfeiçoa. Quando surge uma nova manchete, golpistas certamente usaram esse artifício para melhorar os resultados de sua "pesca".

A cada incidente temos que aprender não apenas as questões técnicas envolvidas mas também como nossos usuários reagem para que os mecanismos de defesa possam aprender com cada experiência.

Aylton Souza       

 

Microsoft Lança Beta de Antivirus Gratuito

A Microsoft divulgou ontem que a partir de 23 de junho a versão beta do Microsoft Security Essentials vai estar disponível em Português para download no Brasil. O Security Essentials é um software antivirus que fornece proteção de alta qualidade (usando a mesma engine considerada a melhor do mercado pela AV-Comparatives) sem qualquer custo para quem possui o Windows XP, Windows Vista e Windows 7 original.

O Security Essentials oferece proteção em tempo real contra vírus e trojans, com atualizações de assinatura feita automaticamente pelo serviço Windows Update, e inclui um número de novas defesas contra rootkits e ataques mais agressivos, como monitoração do comportamento do kernel para detecção de alterações em componentes, acesso direto ao sistema de arquivos para detecção de arquivos escondidos, e uma nova forma de remoção de rootkits que envolve o download de um driver de kernel. O Security Essentials não inclui as recursos de relatório e de gerência de distribuição de assinaturas que antivirus para ambientes corporativos como o Forefront Client Security possuem, e é voltado para os usuários caseiros e em pequenas empresas.

Para a atender a este público a interface do Security Essentials é extremamente simples. Todo o processo de atualização é feito automaticamente e o antivirus roda em background sem incomodar o usuário. A remoção das ameaças é feito via 1 click. O Security Essentials é também otimizado para consumir o mínimo possível de recursos do sistema e não ser um "peso" na performance, em especial em equipamentos mais antigos.

O uso é 100% gratuito e não existe necessidade de registros, "trials", assinatura, renovação nem nada do tipo. Para obter o Security Essentials para fazer o download a partir do site da Microsoft - o link estará ativo a partir do dia 23.

Boletim de segurança Junho/2009

 

A Microsoft está disponibilizando 10 novos boletins de segurança para vulnerabilidades recém-descobertas:

 

Número do Boletim	Título	Severidade Máxima	Impacto da Vulnerabilidade	Necessidade de Reinicialização	Softwares Afetados
MS09-018	Vulnerabilidades no Active Directory Podem Permitir Execução Remota de Código (971055)	Crítico	Execução Remota de Código	Necessário reinicialização	Microsoft Windows
MS09-019	Atualização Acumulativa de Segurança para Internet Explorer (969897)	Crítico	Execução Remota de Código	Necessário reinicialização	Microsoft Windows, Internet Explorer
MS09-020	Vulnerabilidades no Internet Information Services (IIS) Podem Permitir Elevação de Privilégio (970483)	Importante	Elevação de Privilégio	Necessário reinicialização	Microsoft Windows
MS09-021	Vulnerabilidades no Microsoft Office Excel Podem Permitir Execução Remota de Código (969462)	Crítico	Execução Remota de Código	Pode ser necessária a reinicialização	Microsoft Office
MS09-022	Vulnerabilidades no Spooler de Impressão do Windows Podem Permitir Execução Remota de Código (961501)	Crítico	Execução Remota de Código	Necessário reinicialização	Microsoft Windows
MS09-023	Vulnerabilidade na Busca do Windows Pode Permitir Divulgação de Informações (963093)	Moderado	Divulgação de Informações	Necessário reinicialização	Microsoft Windows
MS09-024	Vulnerabilidade nos Conversores do Microsoft Works Pode Permitir Execução Remota de Código (957632)	Crítico	Execução Remota de Código	Pode ser necessária a reinicialização	Microsoft Office
MS09-025	Vulnerabilidades no Kernel do Windows Podem Permitir Elevação de Privilégio (968537)	Importante	Elevação de Privilégio	Necessário reinicialização	Microsoft Windows
MS09-026	Vulnerabilidade no RPC Pode Permitir Elevação de Privilégio (970238)	Importante	Elevação de Privilégio	Necessário reinicialização	Microsoft Windows
MS09-027	Vulnerabilidades no Microsoft Office Word Podem Permitir Execução Remota de Código (969514)	Crítico	Execução Remota de Código	Pode ser necessária a reinicialização	Microsoft Office

 

Os resumos destes novos boletins estão disponíveis na seguinte página (digite em seu browser):

http://www.microsoft.com/brasil/technet/security/bulletin/MS09-jun.mspx (em português)

 http://www.microsoft.com/technet/security/bulletin/MS09-jun.mspx (em inglês)

 

 

Boletim de Segurança Revisado

Além dos novos boletins e comunicados de segurança, a Microsoft revisou o Boletim de Segurança MS09-017 - Vulnerabilidades no Microsoft Office PowerPoint Podem Permitir Execução Remota de Código (967340).

 

Detalhes da Revisão: O boletim de segurança MS09-017 está sendo relançado para fornecer pacotes de atualizações de segurança para o Microsoft Office 2004 for Mac, Microsoft Office 2008 for Mac, Conversor do Formato de Arquivo Open XML para Mac, Microsoft Works 8.5 e Microsoft Works 9. Os clientes que utilizam algum destes softwares instalados devem aplicar imediatamente esta atualização.

 

Mais Informações: Para mais detalhes sobre o relançamento do boletim leia a seção de Perguntas Mais Frequentes do boletim em: http://www.microsoft.com/brasil/technet/security/bulletin/MS09-017.mspx.

 

 

Microsoft Windows Malicious Software Removal Tool

A Microsoft está lançando uma versão atualizada do Microsoft Windows Malicious Software Removal Tool no Windows Server Update Services (WSUS), Windows Update (WU) e no Centro de Download. Observe que esta ferramenta NÃO será distribuída através do Software Update Services (SUS). Informações sobre o Microsoft Windows Malicious Software Removal Tool podem ser obtidas em (digite em seu browser): http://support.microsoft.com/?kbid=890830.

 

 

Atualizações Não Relacionadas à Segurança de Alta Prioridade

Atualizações não relacionadas à segurança de alta prioridade no Microsoft Update (MU), Windows Update (WU) ou Windows Server Update Services (WSUS) estão detalhadas no seguinte artigo da Base de Conhecimento (digite em seu browser): http://support.microsoft.com/?id=894199.

 

Webcast Público sobre os Boletins

 

A Microsoft realizará um Webcast (em inglês) para solucionar as questões dos clientes sobre estes boletins:

Título: Informações sobre os Boletins de Segurança Microsoft de Junho (Nível 200)

Data: Quarta-feira, 10 de Junho de 2009, 11:00 A.M. Horário Pacífico – 15:00hrs no Brasil

URL: http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=en-US&EventID=1032395225

 

 

Atenciosamente,

Equipe de Segurança Microsoft

Boletim de segurança Maio/2009

 

A Microsoft está disponibilizando um novo boletim de segurança para vulnerabilidades recém-descobertas:

Número do Boletim	Título	Severidade Máxima	Impacto da Vulnerabilidade	Necessidade de Reinicialização	Softwares Afetados
MS09-017	Vulnerabilidades no Microsoft Office PowerPoint Podem Permitir Execução Remota de Código (967340)	Crítico	Execução Remota de Código	Pode exigir a reinicialização	Office 2000, Office XP, Office 2003, 2007 Office System, Office 2004 para Mac, Office 2008 para Mac, Conversor de Formato de Arquivo Open XML para Mac, PowerPoint Viewer, Pacote de Compatibilidade do Microsoft Office para Formatos de Arquivos do Word, Excel e PowerPoint 2007, Microsoft Works 8.5 e Microsoft Works 9.0.

 

Os resumos destes novos boletins estão disponíveis na seguinte página (digite em seu browser): http://www.microsoft.com/brasil/technet/security/bulletin/MS09-May.mspx.

 

Microsoft Windows Malicious Software Removal Tool

A Microsoft está lançando uma versão atualizada do Microsoft Windows Malicious Software Removal Tool no Windows Server Update Services (WSUS), Windows Update (WU) e no Centro de Download. Observe que esta ferramenta NÃO será distribuída através do Software Update Services (SUS). Informações sobre o Microsoft Windows Malicious Software Removal Tool podem ser obtidas em (digite em seu browser): http://support.microsoft.com/?kbid=890830.

 

Atualizações Não Relacionadas à Segurança de Alta Prioridade

Atualizações não relacionadas à segurança de alta prioridade no Microsoft Update (MU), Windows Update (WU) ou Windows Server Update Services (WSUS) estão detalhadas no seguinte artigo da Base de Conhecimento (digite em seu browser): http://support.microsoft.com/?id=894199.

 

Webcast Público sobre os Boletins

A Microsoft realizará um Webcast (em inglês) para solucionar as questões dos clientes sobre este boletim:
Título: Informações Sobre os Boletins de Segurança de Maio (Nível 200)

Data: Quarta-feira, 13 de Maio de 2009, 11:00 A.M. Horário Pacífico – 15:00hrs no Brasil

URL: http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=en-US&EventID=1032395223

 

Nota sobre a Consistência das Informações

Fornecemos a você informações precisas de forma estática (neste e-mail) e dinâmica (na Web). O conteúdo de segurança da Microsoft publicado na Web é atualizado ocasionalmente para refletir informações alteradas. Se os resultados forem inconsistentes entre a informação desta mensagem e a informação no conteúdo de segurança do site da Microsoft, a informação do site deve ser considerada a autoritativa/correta.

Se você ainda tiver alguma dúvida sobre este alerta, por favor, entre em contato com seu Gerente de Contas Técnico ou Consultor de Desenvolvimento de Aplicações.

 

Atenciosamente,

Equipe de Segurança Microsoft

Problemas com Encriptação no Formato ODF

No post anterior nós vimos porque agilidade criptográfica é tão importante para as aplicações atuais. Os algoritmos de criptografia tem um prazo de validade (que pode se encerrar abruptamente), e ao longo do ciclo de vida de uma aplicação é provável que os algoritmos que ela usa tenham que ser trocados até mais de uma vez.

Além disto, boa parte dos governos nacionais tem legislação obrigando o uso de determinados algoritmos pelos órgãos governamentais e em alguns casos por todo o país. Os americanos possuem os padrões FIPS, adotados como referência por boa parte dos governos ocidentais (incluindo a ICP-Brasil). A Federação Russa possui o GOST, a China o chip Hengzhi, etc. Estes requisitos exigem também que aplicações tenham agilidade em trocar a sua criptografia, tornando-a plugável. Por este motivos o Office 2007 Service Pack 2 introduziu agilidade criptográfica na encriptação de documentos OpenXML.

O Office 2007 Service Pack 2 também introduziu o suporte ao formato de documentos OpenDocument Format (ODF) 1.1, padronizado pela OASIS. Mas ao contrário do OpenXML, o ODF é um exemplo desastroso de “engessamento” criptográfico devido a uma limitação na especificação.

Especificar o uso de criptografia em um padrão internacional não é uma atividade trivial. Algumas especificações simplesmente adotam o padrão FIPS, já que é o mais usado no ocidente. Outras definem o padrão FIPS como sendo o mínimo necessário para conformidade, mas deixam espaço para implementação opcional de outros algoritmos. Outras especificações abstraem os algoritmos utilizados, deixando a escolha a cargo da implementação. Por fim, ainda temos as que preferem não incluir encriptação na especificação, como por exemplo o OpenXML.

O criadores do formato ODF – grupo do qual o Brasil não fez parte – preferiram no entanto não fazer igual e sim pior. Aqui está o trecho relevante da especificação ODF 1.1 (grifos meus):

The encryption process takes place in the following multiple stages:

1. A 20-byte SHA1 digest of the user entered password is created and passed to the package component.

2. The package component initializes a random number generator with the current time.

3. The random number generator is used to generate a random 8-byte initialization vector and 16-byte salt for each file.

4. This salt is used together with the 20-byte SHA1 digest of the password to derive a unique 128-bit key for each file. The algorithm used to derive the key is PBKDF2 using HMAC-SHA-1 (see [RFC2898]) with an iteration count of 1024.

5. The derived key is used together with the initialization vector to encrypt the file using the Blowfish algorithm in cipher-feedback (CFB) mode.

Existem dois problemas sérios aqui. Ao contrário do que você possa imaginar, eles não tem a ver com o uso de SHA1. Os ataques de colisão não se aplicam neste caso, e que do ponto de vista de segurança provavelmente seja até melhor usar SHA1 do que SHA2 porque ele é mais exigente em termos de recursos.

O primeiro problema é a escolha do algoritmo Blowfish. Não que existam problemas com o algoritmo em si (apesar do autor recomendar o uso do Twofish), e sim porque ele não faz parte da FIPS ou de qualquer outra norma nacional. O e-Ping  por exemplo recomenda o uso de 3DES ou AES - ambos algoritmos FIPS – para cifra, e qualquer implementação ODF está automaticamente fora da recomendação. Por que motivo o ODF não usa 3DES ou AES é um mistério.

Ninguém no entanto vai atacar o algoritmo simétrico de encriptação – o atacante vai atacar a senha, que é o elo mais fraco. E aqui está justamente o segundo e pior problema:o número de iterações para derivação da chave está limitado em somente 1024.

Estas iterações são feitas para tornar os ataque de força bruta mais lentos – o software usado para o ataque vai ter que fazer para cada tentativa este mesmo número de interações. No caso do Office 2007 o atacante precisa fazer por default 50.000 interações para cada tentativa de abrir um arquivo OpenXML. No Service Pack 2 o número aumentou para 100.000 operações, e o usuário tem a opção de configurá-lo para até 10 milhões. Ao aumentar o número de iterações você aumenta em razão direta o tempo necessário para fazer um ataque, e pode acompanhar a evolução do poder de processamento disponível para os atacantes.

No ODF no entanto número está limitado em 1024, número por si só já bastante baixo. O pior é que não existe possibilidade de este número ser aumentado sob pena de estar fora de conformidade com o padrão. Isto torna muito mais fácil para softwares de recuperação fazerem ataques de força bruta, e a situação só vai piorar a medida em que o poder de processamento continua aumentando.

Se serve de consolo, a encriptação do Adobe Acrobat 9 consegue ser ainda pior do que a do ODF. Mas eu não utilizaria nenhuma das duas, e o Office 2007 Service Pack 2 não implementa encriptação nestes formatos.

Agilidade Criptográfica no Microsoft Office 2007 Service Pack 2

O post anterior é um bom exemplo da necessidade de se ter agilidade criptográfica no sistema operacional e nas aplicações. Algoritmos de criptografia tem uma vida útil limitada e tem que ser periodicamente trocados por algoritmos mais novos, em períodos nem sempre previsíveis (um novo ataque por exemplo pode forçar a troca imediatamente). E a pior coisa que você quer nestas horas é ter que reescrever todas as suas aplicações para suportar um novo algoritmo.

Além disso, vários governos possuem requisitos específicos para algoritmos criptográficos, que podem incluir o uso de algoritmos específicos (alguns confidenciais) para a proteção de informações mais sensíveis. O governo americano por exemplo possui a Suite A, enquanto a Federação Russa exige o uso do GOST. Para atender a estes mercados as aplicações tem de permitir que estes governos nacionais incluam o suporte a estes algoritmos – mesmo que o desenvolvedor da aplicação jamais possa ter acesso aos mesmos.

Para permitir que algoritmos criptográficos possam ser facilmente plugáveis nas aplicações, o Windows Vista inclui uma nova plataforma criptográfica, chamada de Crypto Next Generation (CNG). Esta plataforma permite que qualquer algoritmo criptográfico possa ser plugado dentro do Windows e utilizado pelas aplicações rodando no sistema.

A CNG também permite que aplicações possam na medida do possível abstrair as funções de criptografia, de tal forma que as operações criptográficas possam ser usadas sem estarem amarradas a algum algoritmo específico. Aplicações codificadas para o CNG podem permitir por exemplo que o gerador de números randômicos ou uma cifra simétrica sejam substituídas sem qualquer alteração na aplicação, tornando-a “ágil” do ponto de vista de criptografia.

Depois deste longo preâmbulo, vamos ao que interessa. Uma das novidades no Service Pack 2 do Microsoft Office 2007 é a introdução de agilidade criptográfica na encriptação de arquivos OpenXML. Com o SP2 o Office 2007 passa a utilizar a CNG do Windows Vista para permitir que o usuário possa:

Configurar o algoritmo de encriptação simétrica, com suporte para cifras de bloco indo de 2 a 4096 bytes

Configurar o modo de operação da cifra de bloco (CBC ou CFB)

Configurar o algoritmo de hashing

Configurar o tamanho do salt para até 64k bytes

Cipher-block chaining (CBC or CFB)

Configurar o número de iterações de hashing para proteção da senha, de 100 mil para até 10 milhões

Com estes recursos uma organização pode definir a sua própria política para proteção dos arquivos encriptados, incluindo o uso do seu próprio algoritmo caso requerido por norma ou legislação.

Para quem tiver curiosidade, o formato de arquivo encriptado utilizado pelo Office 2007 está documentado em http://msdn.microsoft.com/en-us/library/cc313071.aspx, já que não faz parte da especificação OpenXML. A Microsoft divulgou também no Codeplex um conjunto de rotinas para trabalhar com arquivos OpenXML encriptados, sob licença open source MS-PL.

Suporte a SHA-2 e Suite B no Windows

Recentemente na EuroCrypt2009 pesquisadores de uma universidade australiana anunciaram ter reduzido a complexidade para colisões no algoritmo de hash SHA-1 para 2⁵². O anúncio foi feito em uma “rump session” (sessão de cinco minutos) e o trabalho ainda não foi divulgado, mas se confirmado significa que a complexidade dos ataques passa a ser 2048 vezes menor e ao alcance de grandes organizações.

[Ataques de colisões permitem que dois conjuntos de dados tenham o mesmo valor de hash. No final do ano passado um ataque de colisão foi feito na prática contra uma infraestrutura de chaves públicas (PKI) usando MD5];

Este anúncio torna mais importante a mudança das infraestruturas de chaves públicas (ICP/PKI) e aplicações para o algoritmo SHA-2. O SHA-2 é o mais recente algoritmo de hash padronizado pelo NIST americano (que já iniciou o concurso para o SHA-3), e faz parte de uma família de algoritmos criptográficos conhecidos como Suite B, que inclui também o algoritmo simétrico AES e os algoritmos assimétricos ECDSA e ECDH:

Algoritmo	Secreto	Ultra Secreto
Encriptação: Advanced Encryption Standard (AES)	128 bits	256 bits
Assinatura Digital: Elliptic Curve Digital Signature Algorithm (ECDSA)	256 bit	384 bit
Troca de Chaves: Elliptic Curve Diffie-Hellman (ECDH)	256 bit	384 bit
Resumo (hash) : Secure Hash Algorithm (SHA)	SHA-256	SHA-384

Dentro da Microsoft pelas regras do processo SDL nenhum código novo pode utilizar MD5 ou mesmo SHA-1, sendo obrigatório o uso do SHA-2. O suporte a algoritmos da Suite B foi incluído no Windows Vista e Windows Server 2008, e o paper Installing a Suite B Only PKI contém um passo a passo de como configurar uma autoridade certificadora Windows Server 2008 para emitir certificados usando a Suite B.

O suporte a SHA-2 no Windows XP foi introduzido no Windows XP Service Pack 3, que fornece o suporte a SHA-2 para validação de certificados digitais. Para a obtenção de certificados digitais com SHA-2 é necessário ainda a instalação da atualização 968730. A mesma atualização permite o suporte a obtenção de certificados SHA-2  Windows Server 2003 SP2.

Boletim MS09-012 e Token Kidnapping

A Microsoft divulgou ontem 8 novos boletins de segurança, corrigindo 23 vulnerabilidades diferentes. Algumas das vulnerabilidades corrigidas já tinham tido divulgação pública e estavam sendo exploradas em ataques na Internet:

■  O boletim MS09-009 corrige uma vulnerabilidade crítica que permitia a execução remota de código no Microsoft Excel (CVE-2009-0238), reportada originalmente em 24 de fevereiro no advisory 968272.

■  O boletim MS09-010 corrige uma vulnerabilidade crítica que permitia a execução remota de código em versões antigas do Microsoft Word e do Wordpad (CVE-2008-4841), reportada originalmente em 9 de dezembro de 2008 no advisory 960906.

■  O boletim MS09-015 protege o sistema contra uma ameaça “blended”, que combina vulnerabilidades em dois softwares diferentes para fazer o ataque. No caso o ataque era feito através de uma vulnerabilidade no Apple Safari que permitia um atacante colocar sem aviso arquivos de sua escolha no desktop do usuário, e uma outra vulnerabilidade no Windows que fazia com que o arquivo pudesse ser executado sem conhecimento do usuário. Esta é uma vulnerabilidade moderada reportada originalmente em 30 de maio de 2008 no advisory 953818.

O foco deste post no entanto é no boletim MS09-012, que corrige uma outra vulnerabilidade publicamente divulgada chamada de Token Kidnapping. Publicada originalmente pelo argentino Cesar Cerrudo em março do ano passado (que depois divulgou um exploit chamado “churrasco”), esta vulnerabilidade permite que serviços rodando no sistema possam elevar os seus privilégios para o nível de administrador e vinha sido ativamente explorada na Internet, principalmente contra serviços de hosting de páginas web.

Apesar de não ter a mesma criticidade das outras vulnerabilidades, boletim MS09-012 foi provavelmente a atualização de segurança mais complicada e trabalhosa já desenvolvida pela Microsoft, e envolve mudanças significativas na arquitetura de serviços do Windows. O que torna a correção tão complexa é que esta não é uma vulnerabilidade de código, isto é, não existe nenhum erro na programação. Esta é uma falha de design, na arquitetura e especificação do Windows. Falhas de design só podem ser corrigidas mudando o design, e é isto o que este boletim fez.

Muito do trabalho envolvido foi causado pelo backport (implementação de uma funcionalidade de uma versão mais nova em uma versão mais antiga) da funcionalidade de SID de Serviço existente no Windows Vista e Windows Server 2008 para as versões anteriores do Windows. 

Este é o tipo de mudança que a Microsoft somente faz normalmente em um Service Pack ou em uma nova versão do produto, e a boletim requereu um esforço hercúleo de teste para garantir que nenhuma aplicação ou serviço fosse negativamente afetado. O MSRC rodou 600 mil diferente cenários de teste, incluindo 2500 testes de compatibilidade com aplicações de terceiros. Foi feito também um beta privado em computadores da Microsoft e de outras empresas para verificar também a compatibilidade com aplicativos desenvolvidos internamente.

Os detalhes técnicos deste boletim e as alterações feitas na arquitetura do Windows serão motivo de um outro (e mais longo) post neste blog. A Microsoft recomenda que todas as organizações validem e instalem esta correção nos seus sistemas, particularmente aqueles rodando o servidor Web Internet Information Server (IIS).

Importante: Se você ou a sua organização desenvolvem softwares que implementam serviços Windows ou componentes COM+ fora de processo (COM Server) rodando como LocalService ou NetworkService, ou implementam provedores WMI (WMI Providers), verique se a sua aplicação é vulnerável ao Token Kidnapping seguindo as instruções do artigo 956572, e em caso positivo implemente as chaves de registro recomendadas neste artigo.

Mais informações sobre o boletim MS09-012 no blog do Microsoft Security Research and Defense. Cesar Cerrudo escreveu também um post sobre a correção no blog da Microsoft Blue Hat.

Boletim de Segurança Abril/2009

 

A Microsoft está disponibilizando 8 novos boletins de segurança para vulnerabilidades recém-descobertas:

 

Número do Boletim	Título	Severidade Máxima	Impacto da Vulnerabilidade	Necessidade de Reinicialização	Softwares Afetados
MS09-009	Vulnerabilidades no Microsoft Office Excel Podem Causar Execução Remota de Código (968557)	Crítico	Execução Remota de Código	Pode exigir a reinicialização	Microsoft Office
MS09-010	Vulnerabilidades no WordPad e Conversores de Texto do Office Podem Permitir Execução Remota de Código (960477)	Crítico	Execução Remota de Código	Exige reinicialização	Microsoft Windows, Microsoft Office
MS09-011	Vulnerabilidade no Microsoft DirectShow Pode Permitir Execução Remota de Código (961373)	Crítico	Execução Remota de Código	Pode exigir a reinicialização	Microsoft Windows
MS09-012	Vulnerabilidades no Windows Podem Permitir Elevação de Privilégio (959454)	Importante	Elevação de Privilégio	Exige reinicialização	Microsoft Windows
MS09-013	Vulnerabilidades no Windows HTTP Services Podem Permitir Execução Remota de Código (960803)	Crítico	Execução Remota de Código	Exige reinicialização	Microsoft Windows
MS09-014	Atualização Acumulativa de Segurança para Internet Explorer (963027)	Crítico	Execução Remota de Código	Exige reinicialização	Microsoft Windows, Internet Explorer
MS09-015	Vulnerabilidade de Ameaça Mista no SearchPath Pode Permitir Elevação de Privilégio (959426)	Moderado	Elevação de Privilégio	Exige reinicialização	Microsoft Windows
MS09-016	Vulnerabilidades no Microsoft ISA Server e Forefront Threat Management Gateway (Medium Business Edition) Podem Causar Negação de Serviço (961759)	Importante	Negação de Serviço	Exige reinicialização	Microsoft Forefront Edge Security

 

Os resumos destes novos boletins estão disponíveis na seguinte página (digite em seu browser):

http://www.microsoft.com/brasil/technet/security/bulletin/MS09-Apr.mspx (em português)

http://www.microsoft.com/technet/security/bulletin/MS09-Apr.mspx (em inglês)

 

Microsoft Windows Malicious Software Removal Tool

A Microsoft está lançando uma versão atualizada do Microsoft Windows Malicious Software Removal Tool no Windows Server Update Services (WSUS), Windows Update (WU) e no Centro de Download. Observe que esta ferramenta NÃO será distribuída através do Software Update Services (SUS). Informações sobre o Microsoft Windows Malicious Software Removal Tool podem ser obtidas em (digite em seu browser): http://support.microsoft.com/?kbid=890830.

 

Atualizações Não Relacionadas à Segurança de Alta Prioridade

Atualizações não relacionadas à segurança de alta prioridade no Microsoft Update (MU), Windows Update (WU) ou Windows Server Update Services (WSUS) estão detalhadas no seguinte artigo da Base de Conhecimento (digite em seu browser): http://support.microsoft.com/?id=894199.

 

 

 

A Microsoft realizará um Webcast (em inglês) para solucionar as questões dos clientes sobre estes boletins:

Título: Informações Sobre os Boletins de Segurança de Abril (Nível 200)

Data: Quarta-feira, 15 de Abril de 2009, 11:00 A.M. Horário Pacífico – 15:00hrs no Brasil

URL: http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=en-US&EventID=1032395126

 

Fornecemos a você informações precisas de forma estática (neste e-mail) e dinâmica (na Web). O conteúdo de segurança da Microsoft publicado na Web é atualizado ocasionalmente para refletir informações alteradas. Se os resultados forem inconsistentes entre a informação desta mensagem e a informação no conteúdo de segurança do site da Microsoft, a informação do site deve ser considerada a autoritativa/correta.

Se você ainda tiver alguma dúvida sobre este alerta, por favor, entre em contato com seu Gerente de Contas Técnico ou Consultor de Desenvolvimento de Aplicações.

 

Atenciosamente,

Equipe de Segurança Microsoft

A Ameaça dos Falsos Softwares de Segurança

O mais recente Relatório de Inteligência de Segurança da Microsoft mostrou que a incidência de falsos softwares de segurança (citados no relatório em inglês como “rogue security software”) aumentou significativamente nos últimos meses.

Estes são programas que se passam por softwares legítimos oferecendo proteção contra virus, spiware e outras ameaças, mas que na verdade oferecem pouca ou na maioria dos casos nenhuma proteção.

Estes softwares ainda usam técnicas de engenharia social para iludir as pessoas a pensarem que tem problemas de segurança e comprem o produto oferecido. A imagem abaixo mostra um exemplo: o software simula um alerta de segurança da Microsoft, incluindo o fundo escurecido usado pelo UAC do Vista (neste caso na verdade uma imagem JPEG), para dizer para o usuário que o seu computador está infectado com virus na verdade inexistentes.

Esta imagem é do Win32/FakeSecSen, que é detectado e removido pelo Ferramenta de Remoção de Softwares Mal-intencionados (MSRT) da Microsoft, e atualmente em oitavo lugar na lista de softwares mais detectados pela ferramenta. O Win32/FakeSecSen ilustra bem as táticas normalmente comumente usadas por este tipo de fraude:

■ Nome genérico como “Antivirus 2009”, que levam a vítima a pensar que se trata de um software legítimo.

■ Simulação de componentes ou funcionalidades familiares ao usuário, como na imagem abaixo o falso Centro de Segurança do Windows Vista mostrado pelo Win32/FakeXPA, sétimo lugar na lista de softwares mais detectados pela MSRT.

■ Uso do medo e da inconveniência como arma de venda. O Win32/FakeSecSen usa janelas pop-up que ficam flutuando sobre outras janelas, e que não vão embora mesmo que o usuário tente fechálas. Algumas variantes do Win32/FakeXPA vão além e ainda simulam uma tela azul e reboot do sistema.

Incidência

Além do ganho financeiro obtido pela “venda” do falso software de segurança, em vários casos estes programas ainda instalam softwares maliciosos para controle do sistema e envio de spam.

Este tipo de ameaça está cada vez mais popular na Internet. Das quinze famílias de softwares mal-intencionados mais detectadas pelo MSRT, quatro são falsos softwares de segurança, incluindo a primeira do ranking Win32/Renos.

Ações Legais

Além de incluir estes softwares na ferramenta de remoção, que é atualiza mensalmente e distribuída automaticamente via Windows Update, a Microsoft também tomou medidas legais contra estes fraudadores.

Trabalhando em conjunto com a procuradoria do estado americano de Washington, foram abertos já dezessete processos legais contra fabricantes destes softwares. Um deles já resultou em uma multa total de 1 milhão de dólares contra um dos fabricantes.

O governo federal americano através da FTC abriu agora um processo federal contra as pessoas por trás do Win32/WinFixer, incluindo suspeitos no exterior.

O Que Você Deve Fazer

Para evitar a ameaça dos falsos softwares de segurança você deve tomar os cuidados normais ao utilizar o seu PC: mantê-lo em dia com todas as atualizações de segurança da Microsoft, usar um software antivirus atualizado, e ter o seu firewall pessoal habilitado.

Recuse qualquer oferta não solicitada de softwares, principalmente de softwares de segurança. Se você foi informado ou suspeita que o seu computador está infectado, use um software de segurança reconhecido para fazer uma varredura.

O blog do Microsoft Malware Protection Center contém mais informações sobre o Win32/FakeSecSen, Win32/FakeXPA e Win32/AntivirusXP, entre outros falsos softwares de segurança.

Microsoft apresenta a sexta edição do “Relatório de Inteligência de Segurança (SIR)”, com dados sobre crimes cibernéticos contra usuários brasileiros

A Microsoft divulgou hoje a sexta edição do seu Relatório de Inteligência e Segurança trazendo informações e orientações ao mercado sobre o cenário de ameaças referente ao segundo semestre de 2008. Os dados atualizados, provenientes de milhões de computadores ao redor do mundo, medem vários tipos de ataques como, por exemplo: de formatos de arquivos, phishing (formas de captação de dados de forma fraudulenta) e diferentes tipos de softwares maliciosos (malwares) que afetam computadores pessoais e corporativos. Pela segunda vez, o estudo conta com dados relacionados aos ataques com softwares maliciosos realizados contra usuários brasileiros.

O estudo utilizou informações coletadas pela própria Microsoft e também publicadas em sites internacionais relacionadas às vulnerabilidades, segurança e suporte, sendo que o resultado indica uma queda de 12,6% no número total de computadores brasileiros que reportaram a presença de algum tipo de malware ou softwares potencialmente indesejados.

A exemplo do que já ocorrera no ano passado, as ameaças utilizadas para roubo de identidade (logins e senhas) de bancos, os trojans Win32\bancos e Win32\banker, continuam liderando o “ranking” das principais ameaças detectadas ao estarem presentes em mais de 43% das máquinas nacionais que apresentaram algum tipo de infecção – um total estimado de 843 mil máquinas. A outra categoria de ameaça digital com prevalência significativa são os worms, que representaram 32% de todas as ameaças – ou aproximadamente 267 mil computadores.

Entre as famílias, das 10 principais ameaças identificadas no Brasil, nove são malwares (trojans e worms) e a outra é um software potencialmente indesejado (adware). No ranking mundial de ataques de malwares, que é liderado pela Sérvia, o Brasil ocupa a 3ª colocação.

Mundo

Outro fato relevante é que a quantidade de vulnerabilidades relacionadas aos sistemas operacionais continua a diminuir no mundo, sendo que cerca de 90% delas em geral afetaram os aplicativos.

Ataques que utilizam como vetor formato de arquivos comuns tem recebido mais atenção por parte dos invasores. Os ataques ao Adobe Portable Document Format (.pdf), por exemplo, aumentaram abruptamente no último semestre. Somente os ataques registrados em julho do ano passado representaram o dobro de todos os registrados no primeiro semestre. As vulnerabilidades utilizadas para estes ataques já possuíam atualizações de segurança disponibilizadas pela Adobe. Este técnica também utilizou vulnerabilidades que já estavam corrigidas há mais de dois anos nos formatos Office 2000, Office XP e Office 2003, e que não afetam o Office 2007, demonstrando a importância em utilizar os recursos de atualizações automáticas de segurança para todos os aplicativos presentes no computador.

Já a quantidade total de softwares mal-intencionados e indesejados removidos de computadores em todo o mundo diminuiu aproximadamente 3% no segundo semestre de 2008 em relação ao primeiro semestre. No ano, as ameaças foram 12% inferiores em relação ao número de 2007. No que diz respeito ao número de vulnerabilidades de alta gravidade, o número foi 16% inferior em relação ao ano anterior.

Outro dado significativo é o das ameaças por e-mail. Segundo o estudo, mais de 97% das mensagens de e-mail enviadas pela Internet são indesejadas: têm anexos mal-intencionados ou são ataques de phishing ou spam. O spam continua sendo dominado por anúncios de produtos, que respondem por 72,2% de todo o spam.

Recomendações

Com base nos principais levantamentos do estudo, a Microsoft recomenda que os usuários utilizem essas informações para melhorar as práticas de segurança. Entre as ações indicadas estão:

■ Verificar e aplicar regularmente as atualizações de software, preferencialmente utilizando atualizações automáticas.

■ Ter um firewall sempre ativo.

■ Instalar e manter programas atualizados de antivírus e antispyware que ofereçam maior proteção contra programas de software mal-intencionados e potencialmente indesejados.

■ Ter cuidado ao abrir links e anexos originados de e-mails e mensagens instantâneas. Fazer isso mesmo quando a fonte for conhecida e confiável.

Mais Informações

Para consultar o Relatório de Inteligência de Segurança da companhia e outros dados relacionados ao tema, em inglês, basta acessar o link a seguir: http://www.microsoft.com/sir. Os interessados em ter informações mais específicas, em português, de como proteger o seu computador também podem obtê-las por meio dos seguintes sites:

http://www.microsoft.com/brasil/protect/computer/spyware/default.mspx

http://www.microsoft.com/brasil/athome/security/viruses/virus101.mspx

http://www.microsoft.com/brasil/athome/security/spyware/default.mspx

http://www.microsoft.com/brasil/protect/yourself/phishing/identify.mspx

Orientações gerais para usuários de todos os perfis são oferecidas por meio do projeto Navegue Protegido (http://www.navegueprotegido.org), criado pela Microsoft Brasil para incentivar a conscientização sobre as melhores práticas para se navegar na Internet de forma segura. O projeto conta com o apoio institucional do Instituto Ayrton Senna, da Fundação Abrinq e ONG Associação Cidade Escola Aprendiz, que juntamente com a Microsoft Brasil, têm o objetivo de ensinar usuários comuns de PC a identificar sites não seguros e, ainda, orientar pais, professores e crianças a aumentar sua segurança e privacidade na Web, além de disseminar as práticas mais seguras para compras online e operações bancárias.

Como Reportar Falhas de Seguranca para a Microsoft

Após o nosso post sobre os agradecimentos no boletim MS09-007 nós recebemos vários e-mails (e alguns comentários no blog) querendo saber como reportar vulnerabilidades de segurança para a Microsoft, e também como a Microsoft trata estes relatos. Aqui estão algumas informações sobre como funciona o processo, e caso você tenha mais dúvidas por favor fique a vontate para usar os comentários deste blog para perguntar.

Falhas de Segurança

Antes de mais nada, o que a Microsoft considera como vulnerabilidades de segurança? A nossa definição oficial está em http://technet.microsoft.com/en-us/library/cc751383.aspx (em inglês), e diz:

Uma vulnerabilidade de segurança é uma falha em um produto que torna impraticável impedir que um atacante obtenha privilégios no sistema do usuário, controle a sua operação, comprometa dados do sistema ou obtenha algum tipo de confiança, mesmo quando o produto é usado corretamente.

Esta definição inclui ataques de elevação de privilégios, execução remota de código, negação de serviço, vazamento de informações, alteração indevida de dados e falsificação de identidades, entre outros.

É importante mencionar o que não é considerado uma vulnerabilidade. Primeiro, ele tem que ser uma falha no produto – se não é uma falha (isto é, o funcionamento é o esperado) ou se não é no produto (por exemplo, faz parte da especificação de um protocolo) então não são considerados vulnerabilidades de segurança.

Por exemplo, o fato do FTP transmitir senhas em claro na rede não é uma vulnerabilidade de segurança neste contexto, já que esta é a especificação do protocolo e o funcionamento esperado do produto. No entanto, se o Internet Explorer transmitir senhas em claro em uma conexão SSL, então isto seria uma vulnerabilidade de segurança.

Também não é considerada uma vulnerabilidade de segurança algo que esteja previsto nas 10 leis imutáveis da segurança. Por exemplo, se um atacante tem acesso físico ao sistema ele vai poder obter privilégios neste sistema, e o produto nada pode fazer quanto a isso. Isto não seria uma vulnerabilidade de segurança neste contexto.

Em caso de dúvida envie o seu relato para a Microsoft, e nós podemos verificar se ele se enquadra ou não na definição de vulnerabilidade.

Reportando Uma Nova Falha

Para relatar uma falha de segurança em um dos produtos da Microsoft, envie um e-mail para secure@microsoft.com. Este é o endereço do Microsoft Security Response Center (MSRC), o nosso centro de resposta a incidentes, e é monitorado 24x7. Neste e-mail procure dar o máximo de informações sobre a vulnerabilidade, se possível incluindo:

• Tipo de falha (buffer overflow, SQL injection, cross-site scripting, etc.)
• Produto e versão que contém a falha
• Service packs, atualizações de segurança, e outras atualizações instaladas no produto que você está usando
• Qualquer configuração especial necessária para reproduzir o problema
• Instruções passo-a-passo de como reproduzir o problema em uma nova instalação
• Prova de conceito ou exploit
• Impacto do problema, incluindo como um atacante poderia se beneficiar desta falha

Estas informação são desejáveis mas não necessárias – você não precisa ter tudo isto em mãos para reportar uma falha. Isto vai nos ajudar a reproduzir o problema e tornar o processo de resposta mais rápido. Nosso SLA é responder para você em menos de 24 horas.

Se você preferir encriptar a comunicação do problema, use a chave PGP do Microsoft Security Response Center.

Agradecimentos

A Microsoft tem uma política instituída desde 2000 de agradecer às pessoas e organizações que colaboraram conosco para proteger os nossos clientes,  reportando vulnerabilidades de segurança em nossos produtos e dando a oportunidade de que uma correção seja divulgada antes que criminosos possam usá-las em ataques. Estas pessoas e organizações tem um agradecimento especial em nossos boletins de segurança.

Ao receber um relato de vulnerabilidade, a Microsoft trabalha com o máximo de velocidade possível para reproduzir o problema, desenvolver uma correção para todos os produtos afetados, localizar esta correção para todos os idiomas suportados, testar estas correções e divulgar no próximo ciclo mensal de correções.

Alguns pesquisadores ao reportar uma vulnerabilidade exigem que uma correção esteja disponível em x dias (15, 30, etc.) – a Microsoft não tem como se comprometer com quaisquer prazos. A nossa garantia é a de que vamos trabalhar o mais rapidamemte possível.

Outros pesquisadores preferem divulgar as vulnerabilidades imediatamente para o público, sem comunicação prévia com o fornecedor, sob a premissa que isto vai fazer com que a vulnerabilidade seja corrigida mais rapidamente. Na prática isto simplemente coloca usuários em risco, já que o desenvolvimento de uma ferramenta de ataque é invariavelmente mais rápido do que o desenvolvimento e divulgação de uma correção. Apesar de discordar, a Microsoft respeita a posição destes pesquisadores e procura trabalhar com eles para obter informações e desenvolver correções para estes problemas.

A Microsoft não paga nem oferece recompensas financeiras para obter informações sobre vulnerabilidades.

Mais Informações

O nosso site TechNet Brasil possui um estudo de caso sobre o worm Sasser mostrando como o MSRC atuou para responder a este incidente. O MSRC mantém um blog oficial (em inglês).

Advisory de Segurança Sobre Vulnerabilidade no PowerPoint

A Microsoft publicou ontem (2 de Abril) o Security Advisory 969136 sobre uma vulnerabilidade no Microsoft Office PowerPoint 2003. Esta vulnerabilidade permite que um atacante possa criar um arquivo PowerPoint que executa código malicioso quando aberto por um usuário, e está sendo já usada de forma limitada na Internet.

A vulnerabilidade afeta o formatos de arquivo binários do Office (como os de extensão PPT), eexiste no Office 2000, Office XP, Office 2003 e no Office 2004 para Mac. O Microsoft Office 2007 não é vulnerável. Arquivos no formato OpenXML (como os de extensão PPTX) também não são afetados.

Para que o ataque aconteça, o usuário tem que abrir o documento PowerPoint malicioso. No caso de e-mails, isto significa que o usuário tem que selecionar e abrir o documento anexado. Simplesmente ler o e-mail não permite o ataque.

A Microsoft está investigando o problema e trabalhando em uma solução, que pode vir dentro do ciclo mensal de atualizações ou se necessário em uma atualização fora de ciclo. Enquanto esta solução não está disponível, a Microsoft recomenda que usuários das versões afetadas do Office não abram arquivos PowerPoint que venham de fontes não confiáveis, ou que venham de forma inesperada de fontes confiáveis.  (Atualização já disponível - leia nota abaixo).

A Microsoft também recomenda que todos os usuários mantenham os seus software antivírus ativos e atualizados. Para os usuários do Microsoft OneCare e Microsoft Forefront foram já acrescentadas as assinaturas para os arquivos PowerPoint comprometidos sob o nome Win32/Apptom.gen.

Mais informações sobre esta vulnerabilidade estão disponíveis (em inglês) nos blogs do Microsoft Malware Protection Center e do Microsoft Security Research and Defense.

UPDATE: Esta vulnerabilidade foi corrigida em 12/05/2009 pelo boletim MS09-017.

1o de Abril

Além de “dia da mentira” (ou “dia dos bobos” em alguns lugares), hoje é também o dia em que o worm Conficker.D se começa a procurar o seu “mestre”. Devido ao número relativamente pequeno de máquinas infectadas com esta variante nós da Microsoft não esperamos que nada fora do normal aconteça hoje, mas estamos monitorando a situação e prontos para agir em caso de problemas.

Cobertura da Mídia

Incidentes como este tem um grande potencial de mídia e a imprensa tem coberto o fato com grande atenção, o que é bastante positivo, em especial quanto as recomendações para manter o seu computador e o seu antivirus sempre atualizado.

Um ponto no entanto parece ter ficado confuso em algumas coberturas, que afirmaram que o vírus [sic] iria começar a se espalhar hoje. Um comentarista chegou a recomendar que as pessoas não ligassem o seu computador! Na verdade o Conficker.D já está se espalhando desde o início de março (e as outras variantes desde antes disso), e ligar ou desligar o seu computador hoje não vai mudar em nada isso.

O que está acontecendo agora então? Até agora o worm apenas se espalhou, sem fazer nenhuma outra ação. A partir de hoje os computadores infectados com o Conficker.D começam a procurar o seu “mestre” para obter as instruções do que fazer.

E que instruções são essas? Nós não sabemos, mas dificilmente será algo como “formate e destrua o seu PC”. Os worms atuais são feitos com finalidades puramente financeiras, e o mais provável é que sejam usados para enviar spam, distribuir softwares piratas ou roubar informações financeiras.

Estas instruções são obtidas contactando um dos mais de 50 mil domínios gerados aleatoriamente pelo worm, e uma das ações que estão sendo feitas pelo Conficker Working Group junto com o ICANN e as autoridades de registro de domínio é a retirada destes domínios de circulação. Até agora esta ação tem se mostrado efetiva e ao que parece os worms não estão conseguindo obter as suas instruções. 

E se o Windows não for original

A principal forma de contaminação do Conficker tem sido a vulnerabilidade corrigida pelo boletim MS08-067, e a Microsoft recomenda que todos instalem esta (e todas as outras) atualizações de segurança. Mas e se a instalação do Windows não for original?

A Microsoft obviamente recomenda que você legalize a instalação do seu Windows para evitar uma série de problemas que podem ocorrer. De qualquer forma, a Microsoft distribui as atualizações críticas de segurança mesmo para PCs ilegais. O acesso é bloqueado ao site Windows Update, mas você pode configurar o recurso de Atualizações Automáticas para receber estas atualizações. O que é aliás recomendado para todos os PCs, piratas ou não.

 

Tela de configuração do recurso de Atualizações Automáticas.

Como Desabilitar o AutoRun

O AutoRun é uma funcionalidade do Windows que permite que um programa seja automaticamente executado quando uma mídia (CD-ROM, DVD, drive USB, ou mesmo um compartilhamento de rede) é lida ou conectada ao computador.

Este recurso existe desde o Windows 95, e funciona procurando um arquivo de nome Autorun.inf na nova mídia. Caso este arquivo seja encontrado, ele pode especificar uma aplicação para ser executada e vários outros parâmetros, como opções adicionais para o uso da mídia.

A intenção do AutoRun é facilitar a vida do usuário – por exemplo, ao inserir um DVD com um jogo ele automaticamente inicia, ou ao inserir o CD do Office o programa de instalação aparece sozinho. No entanto recentemente vários malwares (como o worm Conficker.B) utilizam o recurso de AutoRun para se propagar e infectar novos PCs. O Conficker.B por exemplo cria arquivos Autorun.inf e se copia para todos os drives USB removíveis conectados no PC, forçando que o worm seja executado automaticamente quando o dispositivo for conectado em um outro PC.

O Conficker.B ainda utiliza um truque engenharia social para aumentar a taxa de infecção, criando via AutoRun uma opção no menu de contexto chamada “Open folder to view files” que na verdade também executa o worm (ver figura abaixo).

A opção acima foi acrescentada pelo worm Conficker.B usando o Autorun.inf.

Para evitar uma contaminação por este canal você pode optar por desabilitar o AutoRun no seu sistema. Note que isto vai trazer maior segurança mas irá obrigar você a eventualmente ter que iniciar manualmente alguns instaladores e programas que antes seriam iniciados automaticamente (a instação automática de drivers não é afetada).

Atualizações Necessárias

Antes de começar, verifique se o seu PC possui as atualizações necessárias para poder desabilitar totalmente o AutoRun:

• Para Windows Vista e Windows Server 2008, verifique se a atualização de segurança MS08-038 está instalada. Esta atualização é distribuída automaticamente via Windows Update.
• Para Windows 2000, Windows XP e Windows Server 2003 verifique se a atualização 967715 está instalada. Esta atualização também está disponível via Windows Update.

Desabilitando o AutoRun

O AutoRun pode ser desabilitado através de Políticas de Grupo (Group Policies) caso você esteja em um ambiente empresarial com Active Directory, ou diretamente no seu registro de sistema para o caso de PCs domésticos.

Através do Registro

Use o utilitário regedit para alterar o seu registro de sistema e desligar totalmente o AutoRun.

1. Clique Iniciar, clique Executar, clique regedit e clique OK.

2. Localize e abra a seguinte chave de registro:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutorun

3. Clique com o botão direito sobre NoDriveTypeAutoRun, e selecione Modificar.

4. No campo Dados do Valor digite 0xFF e clique OK.

5. Feche o regedit e reinicie o computador.

Através do Políticas de Grupo

Se você está em um ambiente com Active Directory, você pode usar as Group Policies para desabilitar o AutoRun automaticamente em um grupo de PCs. Note que a política só entrará em vigor após o PC ser reinicializado.

1. Use o Group Policy Management Console para criar uma nova política ou editar uma já existente.

2. Em  Computer Configuration, expanda Administrative Templates, expanda Windows Components, e em seguida selecione Autoplay Policies.

3. No painel Details, abra com um duplo clique a opção Turn off Autoplay.

4. Selecione Enabled, e deplois selecione All drives na janela Turn off Autoplay para desabilitar o AutoRun em todos os drives.

5. Feche a janela de edição da política de grupo.