Microsoft Security Bulletin MS14-064 - Crítica

Vulnerabilidades no OLE do Windows podem permitir a execução remota de código (3011443)

Publicado em: 11 de novembro de 2014

Versão: 1.0

Resumo executivo

Esta atualização de segurança elimina duas vulnerabilidades relatadas em particular no Microsoft Windows Object Linking and Embedding (OLE). A mais grave dessas vulnerabilidades pode permitir a execução remota de código se um usuário exibir uma página da Web especialmente criada usando o Internet Explorer. O invasor que explorar com êxito as vulnerabilidades poderá executar código arbitrário no contexto do usuário atual. Se o usuário atual estiver conectado com direitos administrativos, um invasor poderá instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos de usuário completos. Os clientes cujas contas estão configuradas para ter menos direitos de usuário no sistema podem ser menos afetados do que os usuários que operam com direitos de usuário administrativo.

Esta atualização de segurança é classificada como Crítica para todas as edições com suporte do Microsoft Windows. Para obter mais informações, consulte a seção Softwares afetados.

A atualização de segurança elimina as vulnerabilidades modificando como os sistemas operacionais afetados validam o uso da memória quando objetos OLE são acessados e modificando como o Internet Explorer manipula objetos na memória. Para obter mais informações sobre as vulnerabilidades, consulte a subseção Perguntas frequentes sobre a vulnerabilidade específica. 

Esta atualização de segurança também elimina a vulnerabilidade descrita pela primeira vez no Comunicado de Segurança da Microsoft 3010060.

Para obter mais informações sobre este documento, consulte o artigo 3011443 da Base de Dados de Conhecimento Microsoft.

Softwares afetados

As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.

^[1] Esta actualização está disponível apenas através do Windows Update .

Observação O Windows Technical Preview e o Windows Server Technical Preview são afetados. Os clientes que executam esses sistemas operacionais são incentivados a aplicar a atualização, que está disponível por meio do Windows Update. 

Classificações de gravidade e identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de novembro.

Vulnerabilidade de execução remota de código da matriz de automação OLE do Windows - CVE-2014-6332

Existe uma vulnerabilidade de execução remota de código quando o Internet Explorer acessa incorretamente objetos na memória. A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes. Esta atualização elimina a vulnerabilidade modificando a maneira como os sistemas operacionais afetados validam o uso de memória quando objetos OLE são acessados e modificando a maneira como o Internet Explorer manipula objetos na memória.

Fatores atenuantes

Os seguintes fatores atenuantes podem ser úteis em sua situação:

• Um intruso que conseguisse explorar esta vulnerabilidade com êxito poderia obter os mesmos direitos de utilizador que o utilizador actual. Os clientes cujas contas estão configuradas para ter menos direitos de usuário no sistema podem ser menos afetados do que aqueles que operam com direitos de usuário administrativo.
• Num cenário de ataque baseado na Web, um intruso poderia alojar um Web site especialmente concebido para explorar esta vulnerabilidade através do Internet Explorer e, em seguida, convencer um utilizador a visualizar o Web site. O invasor também pode tirar proveito de sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário ou anúncios. Esses sites podem conter conteúdo especialmente criado que pode explorar essa vulnerabilidade. Em todos os casos, no entanto, um invasor não teria como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, um invasor teria que convencer os usuários a agir, geralmente fazendo com que eles cliquem em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que leva os usuários ao site do invasor, ou fazendo com que eles abram um anexo enviado por email.

Soluções Alternativas

A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.

Perguntas frequentes

Para que um invasor pode usar a vulnerabilidade?
O invasor que explorar com êxito essa vulnerabilidade poderá executar código arbitrário no contexto do usuário atual. Se o usuário atual estiver conectado com direitos administrativos, um invasor poderá instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos de usuário completos. Os clientes cujas contas estão configuradas para ter menos direitos de usuário no sistema podem ser menos afetados do que os usuários que operam com direitos de usuário administrativo.

Como um invasor pode explorar a vulnerabilidade?
Um intruso poderia alojar um Web site especialmente concebido para o efeito, concebido para explorar esta vulnerabilidade através do Internet Explorer e, em seguida, convencer um utilizador a visualizar o Web site. O invasor também pode tirar proveito de sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário ou anúncios. Esses sites podem conter conteúdo especialmente criado que pode explorar essa vulnerabilidade. Em todos os casos, no entanto, um invasor não teria como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, um invasor teria que convencer os usuários a agir, geralmente fazendo com que eles cliquem em um link em uma mensagem de email ou em uma mensagem do Instant Messenger que leva os usuários ao site do invasor, ou fazendo com que eles abram um anexo enviado por email.

Quais são os sistemas que mais correm risco com a vulnerabilidade?
Os sistemas em que o Internet Explorer é usado com frequência, como estações de trabalho ou servidores de terminal, correm mais risco com essa vulnerabilidade.

Vulnerabilidade de execução remota de código OLE do Windows - CVE-2014-6352

Existe uma vulnerabilidade de execução remota de código no contexto do usuário atual que é causada quando um usuário baixa ou recebe e, em seguida, abre um arquivo do Microsoft Office especialmente criado que contém objetos OLE. A Microsoft recebeu pela primeira vez informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades. Esta vulnerabilidade foi descrita pela primeira vez no Comunicado de Segurança da Microsoft 3010060. A Microsoft está ciente de ataques limitados que tentam explorar essa vulnerabilidade. Esta atualização elimina a vulnerabilidade, modificando a maneira como os sistemas operacionais afetados validam o uso de memória quando objetos OLE são acessados.

Fatores atenuantes

Os seguintes fatores atenuantes podem ser úteis em sua situação:

• Em ataques observados, o Controle de Conta de Usuário (UAC) exibe um prompt de consentimento ou um prompt de elevação, dependendo dos privilégios do usuário atual, antes que um arquivo contendo a exploração seja executado. O UAC é habilitado por padrão no Windows Vista e em versões mais recentes do Microsoft Windows.
• Um intruso que conseguisse explorar esta vulnerabilidade com êxito poderia obter os mesmos direitos de utilizador que o utilizador actual. Os clientes cujas contas estão configuradas para ter menos direitos de usuário no sistema podem ser menos afetados do que aqueles que operam com direitos de usuário administrativo.
• Num cenário de ataque baseado na Web, um intruso poderia alojar uma página Web que contivesse um ficheiro do Office especialmente concebido para o efeito utilizado para tentar explorar esta vulnerabilidade. Em todos os casos, no entanto, um invasor não teria como forçar os usuários a visitar esses sites. Em vez disso, um invasor teria que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em uma mensagem de email ou mensagem do Instant Messenger que leva os usuários ao site do invasor.
• Arquivos da Internet e de outros locais potencialmente inseguros podem conter vírus, worms ou outros tipos de malware que podem danificar seu computador. Para ajudar a proteger o computador, os arquivos desses locais potencialmente inseguros são abertos no Modo de Exibição Protegido. Usando o Modo de Exibição Protegido, você pode ler um arquivo e ver seu conteúdo, reduzindo os riscos. O Modo de Exibição Protegido está habilitado por padrão.

Soluções Alternativas

As seguintes soluções alternativas podem ser úteis em sua situação:

• Aplique a solução Microsoft Fix it, "OLE packager Shim Workaround", que impede a exploração da vulnerabilidade
  Consulte o Artigo 3010060 da Base de Dados de Conhecimento Microsoft para usar a solução automatizada Microsoft Fix it para habilitar ou desabilitar essa solução alternativa.    | Nota: | |-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | A solução Fix it está disponível para o Microsoft PowerPoint em edições de 32 bits e baseadas em x64 do Microsoft Windows, com exceção das edições de 64 bits do PowerPoint em edições baseadas em x64 do Windows 8 e Windows 8.1.  |

• Não abra arquivos do Microsoft PowerPoint ou outros arquivos de fontes não confiáveis
  Não abra arquivos do Microsoft PowerPoint que você recebe de fontes não confiáveis ou que você recebe inesperadamente de fontes confiáveis. Esta vulnerabilidade pode ser explorada quando um utilizador abre um ficheiro especialmente concebido para o efeito. 

• Habilitar o Controle de Conta de Usuário (UAC)
  Observação O Controle de Conta de Usuário está habilitado por padrão.

  1. Siga um destes procedimentos para abrir o Painel de Controle:
     1. Clique em Iniciar e em Painel de Controle.
     2. Pressione a tecla do logotipo do Windows + s, digite Painel de Controle e abra o aplicativo Painel de Controle .
  2. No Painel de Controle, clique em Contas de Usuário (ou Contas de Usuário e Proteção para a Família).
  3. Na janela Contas de Usuário , clique em Contas de Usuário.
  4. Na janela de tarefas Contas de Usuário, clique em Ativar ou desativar o Controle de Conta de Usuário (ou Alterar configurações de Controle de Conta de Usuário).
  5. Se o UAC estiver configurado atualmente no Modo de Aprovação de Administrador, uma mensagem do UAC será exibida; clique em Continuar.
  6. Clique na caixa de seleção "Usar o Controle de Conta de Usuário (UAC) para ajudar a proteger seu computador" e, em seguida, clique em OK.
  7. Realize um dos seguintes procedimentos:
     1. Clique em Reiniciar agora para aplicar a alteração imediatamente.
     2. Clique em Reiniciar mais tarde.
  8. Feche a janela de tarefas Contas de Usuário .  

• Implantar o Enhanced Mitigation Experience Toolkit 5.0 e configurar a Redução da Superfície de Ataque
  O recurso de Redução de Superfície de Ataque no EMET 5.0 pode ajudar a bloquear ataques atuais. Você precisa adicionar configuração ao padrão para ser protegido. 

  1. Crie um novo arquivo com o conteúdo abaixo:

         <emet version="5.0.5324.31801">
     

2.  Save this file as **EMET\_CVE-2014-6352.xml**.
3.  From the EMET user interface, click **Import** from the **File** ribbon.
4.  Select the **EMET\_CVE-2014-6352.xml** file and click **Open**.
5.  Alternatively, run this command from a Command Prompt with elevated privileges to import the saved script "EMET\_CVE-2014-6532.xml" into EMET: 

    ```
        EMET_Conf.exe  --import EMET_CVE-2014-6352.xml
    ```

Perguntas frequentes

Existem problemas de segurança adicionais resolvidos nesta atualização?
Embora a causa raiz da vulnerabilidade descrita neste boletim de segurança seja abordada com a atualização de segurança fornecida, correções de defesa profunda são fornecidas para o Microsoft PowerPoint para mitigar o ataque descrito inicialmente no Comunicado de Segurança da Microsoft 3010060. Essas correções podem ser encontradas em versões com suporte do Microsoft PowerPoint respeitosamente em artigos da Base de dados de Conhecimento da Microsoft, 2597972, 2878251 e 2889936.

Para que um invasor pode usar a vulnerabilidade?
O invasor que explorar com êxito essa vulnerabilidade poderá executar código arbitrário no contexto do usuário atual. Se o usuário atual estiver conectado com direitos administrativos, um invasor poderá instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos de usuário completos. Os clientes cujas contas estão configuradas para ter menos direitos de usuário no sistema podem ser menos afetados do que os usuários que operam com direitos de usuário administrativo.

Como um invasor pode explorar a vulnerabilidade?
A interação do usuário é necessária para explorar essa vulnerabilidade. Para que um ataque seja bem-sucedido enviando uma mensagem de email para um usuário conectado localmente, o usuário deve abrir um anexo que contenha um objeto OLE especialmente criado. Muitos tipos diferentes de documentos anexados podem conter os objetos OLE afetados. Todos os tipos de arquivo do Office, bem como muitos outros tipos de arquivo de terceiros, podem conter um objeto OLE mal-intencionado.

Em um cenário de ataque por email, um invasor pode explorar a vulnerabilidade enviando um arquivo especialmente criado para o usuário e persuadindo-o a abrir o arquivo.

Num cenário de ataque baseado na Web, um intruso teria de alojar um Web site que contivesse um ficheiro do PowerPoint utilizado para tentar explorar esta vulnerabilidade. Além disso, sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário podem conter conteúdo especialmente criado que pode explorar essa vulnerabilidade. Um invasor não teria como forçar os usuários a visitar um site mal-intencionado. Em vez disso, um invasor teria que persuadi-los a visitar o site, geralmente fazendo com que eles cliquem em um link que os leve ao site do invasor.

Quais são os sistemas que mais correm risco com a vulnerabilidade?
Os servidores e clientes do Microsoft Windows que abrem arquivos de dados do Microsoft Office especialmente criados que contêm objetos OLE são os que correm mais risco.

Implantação de atualização de segurança

Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado no Resumo Executivo.

Agradecimentos

A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

• V1.0 (11 de novembro de 2014): Boletim publicado.

Página gerada em 14/01/2015 11:18Z-08:00.