Consultoria de Segurança
Comunicado de Segurança da Microsoft 2506014
Atualização para o Carregador do Sistema Operacional Windows
Publicado em: 12 de abril de 2011
Versão: 1.0
Informações Gerais
Resumo executivo
A Microsoft está anunciando a disponibilidade de uma atualização para winload.exe para resolver um problema na imposição de assinatura de driver. Embora este não seja um problema que exigiria uma atualização de segurança, esta atualização aborda um método pelo qual drivers não assinados podem ser carregados por winload.exe. Esta técnica é frequentemente utilizada por malware para permanecer residente em um sistema após a infecção inicial.
O problema afeta e a atualização está disponível para edições baseadas em x64 do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Para obter mais informações sobre esta versão, consulte o artigo 2506014 da Base de Dados de Conhecimento Microsoft.
Detalhes do Comunicado
Referências de edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Artigo da Base de Dados de Conhecimento Microsoft | 2506014 |
Software afetado e não afetado
Este comunicado aborda o seguinte software.
| Softwares afetados |
|---|
| Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2 |
| Windows 7 para sistemas baseados em x64 e Windows 7 para sistemas baseados em x64 Service Pack 1 |
| Windows Server 2008 R2 para sistemas baseados em x64 e Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 |
| Software não afetado |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edição Service Pack 2 |
| Windows Server 2003 com SP2 para sistemas baseados em Itanium |
| Windows Vista Service Pack 1 e Windows Vista Service Pack 2 |
| Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2 |
| Windows Server 2008 para sistemas baseados no Itanium e Windows Server 2008 para sistemas baseados no Itanium Service Pack 2 |
| Windows 7 para sistemas de 32 bits e Windows 7 para sistemas de 32 bits Service Pack 1 |
| Windows Server 2008 R2 para sistemas baseados no Itanium e Windows Server 2008 R2 para sistemas baseados no Itanium Service Pack 1 |
Perguntas frequentes
Qual o escopo da assessoria?
Este comunicado fornece esclarecimentos e notificação sobre a disponibilidade de uma atualização não relacionada à segurança para resolver um problema na imposição de assinatura de driver. A atualização aborda um método pelo qual drivers não assinados podem ser carregados por winload.exe. Essa técnica é frequentemente utilizada por malwares, como rootkits, para permanecer residente em um sistema após a infecção inicial. O problema afeta o software listado na tabela Softwares afetados acima.
O que faz com que esse problema ocorra?
Durante o processo de inicialização, winload.exe determina o estado assinado dos binários do sistema. Certas inadequações nesse processo permitem que binários não assinados sejam carregados. Quando isso ocorre, o Windows não consegue garantir a integridade de determinados componentes principais do sistema operacional.
O que é o Windows OS Loader (winload.exe)?
O Windows OS Loader (winload.exe) carrega o Kernel do Windows e suas dependências, bem como os drivers de inicialização inicial. Esse componente também contém código que consulta o BIOS de um sistema para recuperar informações básicas de dispositivo e configuração. Este aplicativo faz parte do sistema operacional e carrega uma versão específica do Windows. Ele usa o firmware para carregar o kernel do sistema operacional e inicializar drivers de dispositivo críticos a partir de um disco rígido local.
O que é assinatura de motorista?
A assinatura de driver associa uma assinatura digital a um pacote de driver. A instalação de dispositivos Windows usa assinaturas digitais para verificar a integridade dos pacotes de driver e para verificar a identidade do fornecedor (editor de software) que fornece os pacotes de driver. Além disso, a diretiva de assinatura de código de modo kernel para edições baseadas em x64 do Windows Vista e versões posteriores do Windows especifica que um driver de modo kernel deve ser assinado para que o driver seja carregado. Para obter mais informações sobre assinatura de driver, consulte o artigo do MSDN, Driver Signing.
O que é um rootkit?
Um rootkit é um programa cujo objetivo principal é executar certas funções que não podem ser facilmente detectadas ou desfeitas por um administrador do sistema, como ocultar-se ou outro malware.
Esta atualização remove um rootkit de um sistema infectado?
Não. A atualização impede um método conhecido que os rootkits usam para se esconder de programas antimalware. Mesmo depois que a atualização for instalada, um sistema infectado com um rootkit ainda precisará ser limpo por outros meios.
Como posso determinar se meu sistema está infectado com um rootkit?
Uma vez que a atualização é aplicada, um programa anti-malware instalado deve ser capaz de detectar o rootkit e informá-lo de sua presença.
Como desinstalar um rootkit?
A remoção manual não é recomendada para a maioria dos rootkits. Use a Ferramenta de Remoção de Software Mal-Intencionado da Microsoft, o Microsoft Security Essentials, o scanner de segurança do Windows Live OneCare ou outra ferramenta de varredura e remoção atualizada para detectar e remover essa ameaça e outros softwares indesejados do seu computador. Para obter mais informações sobre produtos de segurança da Microsoft, consulte https:.
Esta atualização impedirá que futuras infecções ocorram?
Não. Esta atualização aumenta a dificuldade de ocultação dos rootkits, mas como não aborda uma vulnerabilidade de segurança, não impediria que uma futura infecção por malware ocorresse.
Por que esta atualização só está disponível para sistemas baseados em x64?
A assinatura de driver não é um requisito das edições de 32 bits das versões listadas do sistema operacional Windows. Os sistemas baseados em Itanium não são afetados por esse problema.
Eu sou um desenvolvedor que envia binários assinados. Esta atualização exigirá que eu assine novamente todos os meus binários?
Não. Esta actualização não requer quaisquer alterações aos binários assinados existentes.
Como a Microsoft listará essa atualização no site Windows Update?
A atualização para o kernel do Windows é uma atualização de alta prioridade no site Windows Update. No site do Windows Update, ele será listado na categoria Atualizações de "Alta Prioridade" para clientes que ainda não receberam a atualização e estão executando o software listado acima.
Esta atualização será distribuída pelas Atualizações Automáticas?
Sim, esta atualização é distribuída pelas Atualizações Automáticas para os sistemas listados na tabela de Softwares afetados acima.
Esta é uma atualização que requer um boletim?
Não, este não é um problema que requer um boletim de segurança da Microsoft e uma atualização de segurança. Para que um programa execute o código conforme descrito acima, o programa já deve estar sendo executado em nível privilegiado. A atualização faz alterações para ajudar a garantir que apenas os programas pretendidos que foram assinados por uma autoridade de certificação válida possam ser executados em winload.exe durante a fase de inicialização.
Este é um comunicado de segurança sobre uma atualização não relacionada à segurança. Isso não é uma contradição?
Os avisos de segurança abordam alterações de segurança que podem não exigir um boletim de segurança, mas ainda podem afetar a segurança geral do cliente. Os avisos de segurança são uma maneira de a Microsoft comunicar informações relacionadas à segurança aos clientes sobre problemas que podem não ser classificados como vulnerabilidades e podem não exigir um boletim de segurança ou sobre problemas para os quais nenhum boletim de segurança foi lançado. Nesse caso, estamos comunicando a disponibilidade de uma atualização que afeta sua capacidade de executar atualizações subsequentes, incluindo atualizações de segurança. Portanto, este comunicado não aborda uma vulnerabilidade de segurança específica; em vez disso, ele aborda sua segurança geral.
Ações sugeridas
Revise os artigos da Base de Dados de Conhecimento Microsoft associados a este comunicado
Recomendamos que os clientes instalem essas atualizações. Os clientes interessados em saber mais sobre essas atualizações devem consultar o Artigo 2506014 (em inglês) da Microsoft Knowledge Base.
Para obter mais informações sobre a terminologia que aparece neste comunicado, como "atualização", consulte o Artigo 824684 da Base de Dados de Conhecimento Microsoft.
Proteja seu computador
Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu computador de habilitar um firewall, obter atualizações de software e instalar software antivírus. Os clientes podem saber mais sobre essas etapas visitando Proteja seu computador.
Mantenha o Windows atualizado
Todos os usuários do Windows devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Windows Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver as Atualizações Automáticas habilitadas, as atualizações serão entregues a você quando forem lançadas, mas você precisará se certificar de instalá-las.
Outras Informações
Programa de Proteção Ativa da Microsoft (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal da atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis a partir de provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (12 de abril de 2011): Comunicado publicado.
Construído em 2014-04-18T13:49:36Z-07:00</https:>