Microsoft Security Bulletin MS07-063 - Crítica

Vulnerabilidade no SMBv2 pode permitir a execução remota de código (942624)

Publicado: terça-feira, 11 de dezembro de 2007

Versão: 1.0

Informações Gerais

Sinopse

Esta atualização de segurança importante resolve uma vulnerabilidade relatada em particular no Server Message Block Versão 2 (SMBv2). A vulnerabilidade pode permitir que um invasor falsifique dados transferidos pelo SMBv2 que pode permitir a execução remota de código em configurações de domínio, comunicando-se com SMBv2.

Essa é uma atualização de segurança importante para todas as edições com suporte do Windows Vista. Para obter mais informação, consulte a subseção Software afetado e não afetado nesta seção.

Essa atualização de segurança resolve a vulnerabilidade, implementando a assinatura adequada usando o SMBv2. Para obter mais informações sobre a vulnerabilidade, consulte a subseção Perguntas freqüentes relacionada à entrada específica da vulnerabilidade na próxima seção, Informações sobre a vulnerabilidade.

Recomendação. A Microsoft recomenda que os clientes instalem a atualização o mais rápido possível.

Problemas conhecidos. Nenhuma

Software afetado e não afetado

O software a seguir foi testado para determinar quais versões ou edições foram afetadas. O ciclo de vida do suporte das outras versões ou edições já terminou ou elas não são afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de Vida do Suporte Microsoft.

Softwares afetados

Sistema operacional	Impacto máximo à segurança	Avaliação de gravidade agregada	Boletins substituídos por esta atualização
Windows Vista	Execução Remota de Código	Importante	Nenhuma
Windows Vista x64	Execução Remota de Código	Importante	Nenhuma

Softwares não afetados

Sistema operacional
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2
Windows XP Professional x64 Edition e Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 e Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition e Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 com SP1 para sistemas baseados no Itanium e Windows Server 2003 com SP2 para sistemas baseados no Itanium

Perguntas mais freqüentes relacionadas a esta atualização de segurança

Informações da vulnerabilidade

Classificação de gravidade e Identificadores de vulnerabilidade

Softwares afetados	Vulnerabilidade de assinatura no SMBv2 - CVE-2007-5351	Avaliação de gravidade agregada
Windows Vista	Importante Execução Remota de Código	Importante
Windows Vista x64 Edition	Importante Execução Remota de Código	Importante

Vulnerabilidade de assinatura no SMBv2 - CVE-2007-5351

Existe uma vulnerabilidade de execução remota de código no protocolo SMBv2 que pode permitir que um invasor anônimo remoto execute código com os privilégios do usuário conectado.

Para exibir essa vulnerabilidade como uma entrada padrão na lista Common Vulnerabilities and Exposures, consulte CVE-2007-5351.

Fatores atenuantes da vulnerabilidade de assinatura no SMBv2 - CVE-2007-5351

Soluções alternativas para a vulnerabilidade de assinatura no SMBv2 - CVE-2007-5351

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

Desabilitar o SMBv2
Para desabilitar o SMBv2, siga estas etapas:
Observação: O procedimento a seguir só é necessário se o usuário quiser usar a assinatura no SMB. Se ele não quiser (a condição padrão, exceto em um domínio Windows Server 2008), eles não precisam fazer nada.
1. Crie um arquivo .reg com o seguinte conteúdo:
  
  Windows Registry Editor Versão 5.00
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation]
  "DependOnService"=hex(7):42,00,6f,00,77,00,73,00,65,00,72,00,00,00,4d,00.52,
  00,78,00,53,00,6d,00,62,00,31,00,30,00,00,00,4e,00,53,00,49,00,00,00,00,00
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
  "Smb2"=dword:00000000
2. Execute o arquivo .reg clicando nele.
3. Abra um prompt de comando como Administrador.
4. Execute o comando a seguir:
  
  sc config mrxsmb20 start= disabled
5. Reinicie o computador.
Impacto da solução alternativa.Qualquer aprimoramento no desempenho feito no SMBv2 não estará disponível caso o SMBv2 seja desabilitado.
Como desfazer a solução alternativa.
Para habilitar o SMBv2, siga estas etapas:
1. Crie um arquivo .reg com o seguinte conteúdo:
  
  Windows Registry Editor Versão 5.00
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation]
  "DependOnService"=hex(7):42,00,6f,00,77,00,73,00,65,00,72,00,00,00,4d,00.52,
  00,78,00,53,00,6d,00,62,00,31,00,30,00,00,00,4d,00,52,00,78,00,53,00,6d,00.62,
  00,32,00,30,00,00,00,4e,00,53,00,49,00,00,00,00,00
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
  "Smb2"=dword:00000001
2. Execute o arquivo .reg clicando duas vezes nele.
3. Abra um prompt de comando como Administrador.
4. Execute o comando a seguir:
  
  sc config mrxsmb20 start= demand
5. Reinicie o computador.

Perguntas freqüentes sobre a vulnerabilidade de assinatura no SMBv2 - CVE-2007-5351

Qual é o escopo da vulnerabilidade?
Essa é uma vulnerabilidade de execução remota de código. O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário local. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

O que provoca a vulnerabilidade?
O assinatura no SMBv2 não foi corretamente implementada de forma que pode permitir que um invasor modifique um pacote SMBv2 e recalcule a assinatura.

O que é SMBv2
SMB (Server Message Block) é o protocolo de compartilhamento de arquivos usado por padrão nos computadores com base em Windows. O SMB Versão 2.0 (SMBv2) é uma atualização desse protocolo, com suporte em computadores que executam o Windows Server 2008 e Windows Vista. O SMBv2 só pode ser usado se tanto o cliente quanto o servidor oferecerem suporte a ele. A versão do protocolo SMB a ser usada para operações de arquivo é decidida durante a fase de negociação. Durante a fase de negociação, um cliente Windows Vista avisa ao servidor que ele pode entender o novo protocolo SMBv2. Se o servidor (Windows Server 2008 ou outro) entender o SMBv2, então essa será a opção para a comunicação subseqüente. Caso contrário, o cliente e o servidor usarão SMB 1.0.

O que é a assinatura no SMBv2
O assinatura no SMBv2 é um recurso pelo qual toda a comunicação que usa o protocolo pode ser assinada digitalmente no nível de pacote. A assinatura digital dos pacotes permite que o destinatário dos pacotes confirme seu ponto de origem e sua autenticidade.

Para que um invasor pode usar a vulnerabilidade?
O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário local. Um invasor pode falsificar dados transferidos pelo SMBv2 que pode permitir a execução remota de código em configurações de domínio, comunicando-se com o SMBv2. Os usuários cujas contas são configuradas para ter menos direitos de usuário no sistema podem causar menos impacto do que os usuários que operam com direitos de usuários administrativos.

De que forma o invasor pode explorar a vulnerabilidade?
Um invasor pode modificar pacotes SMBv2 e personificar uma fonte confiável para executar operações mal-intencionadas

Quais são os sistemas que mais correm riscos com a vulnerabilidade?
Os sistemas Windows Vista que se comunicam usando a assinatura do SMBv2 são os que mais correm risco.

O que a atualização faz?
A atualização elimina a vulnerabilidade, implementando corretamente a assinatura em pacotes SMBv2.

Quando este boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente?
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio de divulgação responsável.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes e não testemunhou nenhum exemplo de publicação de código de verificação de conceito, quando este boletim de segurança foi lançado pela primeira vez.

Informações da atualização

Orientação e ferramentas de detecção e implantação

Gerencie as atualizações de software e segurança que você precisa instalar em servidores, computadores desktop e notebooks em sua organização. Para obter mais informações, consulte o Centro de Gerenciamento de Atualização do Technet. O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.

As atualizações de segurança estão disponíveis no Microsoft Update, Windows Update e Office Update. As atualizações de segurança também estão disponíveis no Centro de Download da Microsoft. Você poderá encontrá-las com mais facilidade executando uma pesquisa com a palavra-chave "atualização de segurança".

Por fim, as atualizações de segurança podem ser baixadas do Microsoft Update Catalog. O Microsoft Update Catalog fornece um catálogo pesquisável de conteúdo disponibilizado por meio do Windows Update e Microsoft Update, incluindo atualizações de segurança, drivers e service packs. Ao pesquisar usando o número do boletim de segurança (como "MS07-036"), é possível adicionar todas as atualizações aplicáveis em sua cesta (incluindo idiomas diferentes para uma atualização) e baixá-las na pasta de sua escolha. Para obter mais informações sobre o Microsoft Update Catalog, consulte as Perguntas Freqüentes sobre Microsoft Update Catalog.

Orientação para detecção e implantação

A Microsoft está oferecendo uma orientação de detecção e implantação para as atualizações de segurança deste mês. Essa orientação também ajudará os profissionais de TI a entender como eles podem usar as várias ferramentas para ajudar a implantar a atualização de segurança, tal como o Windows Update, Microsoft Update, Atualização do Office, as ferramentas MBSA (Microsoft Baseline Security Analyzer), Office Detection Tool, Microsoft Systems Management Server (SMS) e a Ferramenta Extended Security Update Inventory Tool. Para obter mais informações, consulte o artigo 910723 da Microsoft Knowledge Base.

Microsoft Baseline Security Analyzer

O MBSA (Microsoft Baseline Security Analyzer) permite aos administradores pesquisar, em sistemas locais e remotos, atualizações de segurança ausentes e problemas de configuração de segurança comuns. Para obter mais informações sobre o MBSA, visite Microsoft Baseline Security Analyzer.

A tabela a seguir fornece o resumo de detecção do MBSA para esta atualização de segurança.

Software	MBSA 2.0.1
Microsoft Vista	Veja Observação para Windows Vista a seguir
Microsoft Vista x64 Edition	Veja Observação para Windows Vista a seguir

Observação para o Windows Vista A Microsoft não oferece suporte à instalação do MBSA 2.0.1 em computadores que executam o Windows Vista, mas você pode instalar o MBSA 2.0.1 em um sistema operacional compatível e, então, verificar remotamente o computador baseado no Windows Vista. Para obter informações adicionais sobre o suporte do MBSA ao Windows Vista, visite o site do MBSA: Consulte também o artigo 931943 (em inglês) da Microsoft Knowledge Base: Suporte do MBSA (Microsoft Baseline Security Analyzer) para Windows Vista.

Para obter mais informações sobre o MBSA 2.0.1, consulte Perguntas freqüentes sobre o MBSA 2.0 (em inglês).

Windows Server Update Services

Usando o WSUS (Windows Server Update Services), os administradores podem implantar as mais recentes atualizações importantes e de segurança dos sistemas operacionais Windows 2000 e posterior, Office XP e posterior, Exchange Server 2003 e SQL Server 2000 nos sistemas operacionais Windows 2000 e posterior. Para obter mais informações sobre como implantar esta atualização de segurança usando o recurso Windows Server Update Services, visite o site do Windows Server Update Services.

Systems Management Server

A tabela a seguir fornece o resumo de detecção de SMS para esta atualização de segurança.

Produto	SMS 2.0	SMS 2003
Microsoft Vista	Não	Veja Observação para Windows Vista a seguir
Microsoft Vista x64 Edition	Não	Veja Observação para Windows Vista a seguir

Para o SMS 2.0, o SMS SUS Feature Pack, que inclui a ferramenta Inventário da Atualização de Segurança (SUIT), pode ser usado pelo SMS para detectar atualizações de segurança. Consulte também Downloads para Systems Management Server 2.0.

Para o SMS 2003, a ferramenta Inventário do SMS 2003 para Microsoft Updates pode ser usada pelo SMS para detectar as atualizações de segurança oferecidas pelo Microsoft Update e que tenham suporte do Windows Server Update Services. Para obter mais informações sobre a ITMU do SMS 2003, consulte Inventory Tool do SMS 2003 para Microsoft Updates. O SMS 2003 também pode usar a ferramenta Office Inventory da Microsoft para detectar as atualizações necessárias dos aplicativos do Microsoft Office. Para obter mais informações sobre a ferramenta Office Inventory e outras ferramentas de varredura, consulte SMS 2003 Software Update Scanning Tools. Consulte também Downloads para Systems Management Server 2003.

Observação para o Windows Vista O Microsoft Systems Management Server 2003 com Service Pack 3 inclui suporte para o gerenciamento do Windows Vista.

Para obter mais informações sobre o SMS, visite o site do SMS.

Para obter informações detalhadas, consulte o artigo 910723 (em inglês) da Microsoft Knowledge Base. Lista de resumo de detecção mensal e os artigos de diretrizes de implantação.

Informações de atualização de segurança


Inclusão em Service Packs futuros	A atualização desse problema será incluída em um service pack ou conjunto de atualizações futuro.
Implantação
Instalar sem intervenção do usuário	Windows Vista: Windows6.0-kb942624-x86-enu /quiet
	Windows Vista: Windows6.0-kb942624-x64-enu /quiet
Instalar sem reinicializar	Windows Vista: Windows6.0-kb942624-x86-enu /norestart
	Windows Vista: Windows6.0-kb942624-x64-enu /norestart
Mais informações	Consulte a subseção Orientação e ferramentas de detecção e implantação
Necessidade de Reinicialização
Reinicialização necessária	Sim, é necessário reinicializar o sistema depois de aplicar essa atualização de segurança.
Hotpatching	Esta atualização de segurança não oferece suporte a HotPatching. Para obter mais informações sobre HotPatching, consulte o artigo 897341 (em inglês) da Microsoft Knowledge Base.
Informações sobre remoção	Windows Vista: Use a ferramenta Adicionar ou Remover Programas no Painel de Controle ou o utilitário wusa.exe.
Informações sobre o arquivo	Consulte a subseção Informações sobre o arquivo, a seguir, para obter o manifesto de arquivo completo.

Nome do arquivo	Versão	Data	Hora	Tamanho	Pasta
mrxsmb20.sys	6.0.6000.16586	26 de outubro de 2007	01:40	58.368	Windows6.0-KB942624-x86\x86_microsoft-windows-smb20-minirdr_31bf3856ad364e35_6.0.6000.16586_none_88a4376b8cdaca70
mrxsmb20.sys	6.0.6000.20709	26 de outubro de 2007	01:55	58.368	Windows6.0-KB942624-x86\x86_microsoft-windows-smb20-minirdr_31bf3856ad364e35_6.0.6000.20709_none_8987565aa5b4d3de
mrxsmb.sys	6.0.6000.16586	26 de outubro de 2007	01:40	101.888	Windows6.0-KB942624-x86\x86_microsoft-windows-smbminirdr_31bf3856ad364e35_6.0.6000.16586_none_7d5aaf055432589d
mrxsmb.sys	6.0.6000.20709	26 de outubro de 2007	01:55	102.400	Windows6.0-KB942624-x86\x86_microsoft-windows-smbminirdr_31bf3856ad364e35_6.0.6000.20709_none_7e3dcdf46d0c620b
srvnet.sys	6.0.6000.16586	26 de outubro de 2007	01:40	84.992	Windows6.0-KB942624-x86\x86_microsoft-windows-smbserver-common_31bf3856ad364e35_6.0.6000.16586_none_019f7004133c0031
srvnet.sys	6.0.6000.20709	26 de outubro de 2007	01:56	84.992	Windows6.0-KB942624-x86\x86_microsoft-windows-smbserver-common_31bf3856ad364e35_6.0.6000.20709_none_02828ef32c16099f
srv2.sys	6.0.6000.16586	26 de outubro de 2007	01:40	130.048	Windows6.0-KB942624-x86\x86_microsoft-windows-smbserver-v2_31bf3856ad364e35_6.0.6000.16586_none_d7b5db3ef9909d40
srv2.sys	6.0.6000.20709	26 de outubro de 2007	01:56	130,560	Windows6.0-KB942624-x86\x86_microsoft-windows-smbserver-v2_31bf3856ad364e35_6.0.6000.20709_none_d898fa2e126aa6ae

Nome do arquivo	Versão	Data	Hora	Tamanho	CPU	Pasta
mrxsmb20.sys	6.0.6000.16586	26 de outubro de 2007	01:59	79.360	x64	Windows6.0-KB942624-x64\amd64_microsoft-windows-smb20-minirdr_31bf3856ad364e35_6.0.6000.16586_none_e4c2d2ef45383ba6
mrxsmb20.sys	6.0.6000.20709	26 de outubro de 2007	01:52	79.360	x64	Windows6.0-KB942624-x64\amd64_microsoft-windows-smb20-minirdr_31bf3856ad364e35_6.0.6000.20709_none_e5a5f1de5e124514
mrxsmb.sys	6.0.6000.16586	26 de outubro de 2007	02:00	133.632	x64	Windows6.0-KB942624-x64\amd64_microsoft-windows-smbminirdr_31bf3856ad364e35_6.0.6000.16586_none_d9794a890c8fc9d3
mrxsmb.sys	6.0.6000.20709	26 de outubro de 2007	01:52	134.144	x64	Windows6.0-KB942624-x64\amd64_microsoft-windows-smbminirdr_31bf3856ad364e35_6.0.6000.20709_none_da5c69782569d341
srvnet.sys	6.0.6000.16586	26 de outubro de 2007	02:01	118.272	x64	Windows6.0-KB942624-x64\amd64_microsoft-windows-smbserver-common_31bf3856ad364e35_6.0.6000.16586_none_5dbe0b87cb997167
srvnet.sys	6.0.6000.20709	26 de outubro de 2007	01:53	118.272	x64	Windows6.0-KB942624-x64\amd64_microsoft-windows-smbserver-common_31bf3856ad364e35_6.0.6000.20709_none_5ea12a76e4737ad5
srv2.sys	6.0.6000.16586	26 de outubro de 2007	02:01	162.304	x64	Windows6.0-KB942624-x64\amd64_microsoft-windows-smbserver-v2_31bf3856ad364e35_6.0.6000.16586_none_33d476c2b1ee0e76
srv2.sys	6.0.6000.20709	26 de outubro de 2007	01:53	164.352	x64	Windows6.0-KB942624-x64\amd64_microsoft-windows-smbserver-v2_31bf3856ad364e35_6.0.6000.20709_none_34b795b1cac817e4

Opções de instalação da atualização de segurança para as quais há suporte
Opção	Descrição
/?, /h, /help	Exibe ajuda sobre as opções compatíveis.
/quiet	Suprime a exibição de status ou mensagens de erro.
/norestart	Quando combinado com /quiet, o sistema não é reiniciado após a instalação, mesmo que uma reinicialização seja necessária à conclusão da instalação.

Outras informações

Suporte

Os clientes nos EUA e Canadá podem receber suporte técnico dos Serviços de suporte ao produto Microsoft pelo telefone 1-866-PCSAFETY. As ligações para obter suporte associado a atualizações de segurança são gratuitas.
Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. O suporte associado a atualizações de segurança é gratuito. Para obter mais informações sobre como entrar em contato com a Microsoft a fim de obter suporte a problemas, visite o site de Suporte Internacional.

Aviso de isenção de responsabilidade

As informações fornecidas na Microsoft Knowledge Base são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, conseqüenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

V1.0 (11 de dezembro de 2007): Boletim publicado.