Microsoft Security Bulletin MS10-042 - Crítica

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• No cenário de ataque na Web, o invasor terá que hospedar um site contendo uma página da Web usada para explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios pode conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a visitarem os sites. Em vez disso, o invasor teria que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um email ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
• A vulnerabilidade não pode ser explorada automaticamente por email. Para que um ataque seja bem-sucedido, é preciso que o usuário clique em um link listado em uma mensagem de email.
• O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário local. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Remover o registro do protocolo HCP

Observação Consulte o Artigo 2229593 (em inglês) da Microsoft Knowledge Base para usar a solução automatizada Microsoft Fix it para habilitar ou desabilitar esta solução alternativa.

Observação O uso incorreto do Editor do Registro pode causar problemas sérios e exigir a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. Você é responsável pelo uso do Editor do Registro. Para obter informações sobre como editar o Registro, consulte o tópico da Ajuda "Alterar chaves e valores" do Editor do Registro (Regedit.exe) ou exiba os tópicos da Ajuda "Adicionar e excluir informações no Registro" e "Editar informações do Registro" no Regedt32.exe.

Cancelar o registro do protocolo HCP evitará que este problema seja explorado em sistemas afetados.

Usando o método interativo

1. Clique em Iniciar, em Executar, digite Regedit na caixa Abrir e clique em OK.
2. Localize e clique na seguinte chave do Registro:
   
   HKEY_CLASSES_ROOT\HCP
3. Clique no menu Arquivo e selecione Exportar.
4. Na caixa de diálogo Exportar Arquivo do Registro, digite HCP_Procotol_Backup.reg e clique em Salvar.
   
   Observação Isso criará um backup desta chave do Registro na pasta Meus Documentos por padrão.
5. Pressione a tecla Delete no teclado para excluir a chave do Registro. Quando solicitado a excluir a chave do Registro pela caixa de diálogo Confirmar Exclusão da Chave, clique Sim.

Usando um script de implantação gerenciado

1. Crie uma cópia de backup das chaves do Registro usando um script de implantação gerenciado que contenha os seguintes comandos:
   
   Regedit.exe /e HCP_Protocol_Backup.reg HKEY_CLASSES_ROOT\HCP
2. Depois, salve o seguinte em um arquivo com uma extensão .REG como, por exemplo, Disable_HCP_Protocol.reg:
   
   Windows Registry Editor Versão 5.00
   
   [-HKEY_CLASSES_ROOT\HCP]
3. Execute o script de Registro acima na máquina de destino com o comando a seguir de um prompt de comando elevado:
   
   Regedit.exe /s Disable_HCP_Protocol.reg

Impacto da solução alternativa: a remoção do registro do protocolo HCP quebrará todos os links de ajuda locais e legítimos que utilizam hcp://. Por exemplo, os links do Painel de Controle talvez deixem de funcionar.

Como desfazer a solução alternativa

Usando o método interativo

1. Clique em Iniciar, Executar, digite Regedit na caixa Abrir e clique em OK.
2. Clique no menu Arquivo e selecione Importar.
3. Na caixa de diálogo Importar Arquivo do Registro, selecione HCP_Procotol_Backup.reg e clique em Abrir.

Usando um script de implantação gerenciado

• Restaure o estado original executando o seguinte comando:
  
  Regedit.exe /s HCP_Protocol_Backup.reg

Qual é o escopo da vulnerabilidade?  
Essa é uma vulnerabilidade de execução remota de código. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

O que provoca a vulnerabilidade?  
O Centro de Ajuda e Suporte do Windows não valida URLs corretamente ao usar o protocolo HCP.

O que é o Centro de Ajuda e Suporte?  
O HSC (Help and Support Center, Centro de Ajuda e Suporte) é um recurso do Windows que oferece ajuda sobre uma variedade de tópicos. O HSC permite, por exemplo, que os usuários conheçam recursos do Windows, baixem e instalem atualizações de software, determinem se um dispositivo de hardware específico é compatível com o Windows, obtenham assistência da Microsoft etc. Usuários e programas podem executar links de URL do Centro de Ajuda e Suporte usando o prefixo "hcp://" em um link de URL.

O que é o protocolo HCP?  
Semelhante ao protocolo HTTP, usado para executar links de URL para abrir um navegador da Web, o protocolo HCP pode ser usado para executar links de URL para abrir o recurso do Centro de ajuda e suporte.

Os aplicativos de terceiros são diretamente afetados por este problema?  
Não. No entanto, este problema pode ser explorado usando transações da Web, independentemente do tipo de navegador. Em um cenário de ataque baseado na Web, um invasor teria de hospedar uma página da Web que contivesse um URI especialmente criado. Qualquer aplicativo capaz de lidar com o protocolo HCP pode ser usado como vetor para explorar este problema.

Por que esta vulnerabilidade foi classificada com uma gravidade mais baixa no Windows Server 2003?  
A vulnerabilidade existe no Windows Server 2003, mas não encontramos um método para explorar a vulnerabilidade remotamente em servidores que executam o Windows Server 2003. Não obstante, esta atualização elimina a vulnerabilidade para o Windows Server 2003 a fim de remover a ameaça descrita de um vetor remoto.

O que é um URI?  
Um URI (identificador de recurso uniforme) é uma cadeia de caracteres usada para atuar em ou identificar recursos da Internet ou em uma rede. Um URL é um exemplo típico de um URI que faz referência a um recurso como um site. Para obter mais informações sobre URIs, consulte RFC-2396.

Para que um invasor pode usar a vulnerabilidade?  
Se um usuário tiver feito logon com direitos administrativos, o invasor que explorar com êxito essa vulnerabilidade poderá ter o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

De que forma o invasor pode explorar a vulnerabilidade?  
O invasor pode hospedar um site especialmente projetado para explorar essa vulnerabilidade através de um navegador da Web e convencer um usuário a exibir o site. Isso também inclui sites comprometidos e sites que aceitam ou hospedam anúncios ou conteúdo fornecido pelo usuário. Esses sites podem ter conteúdo especialmente criado para explorar essa vulnerabilidade. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a visitarem os sites. Em vez disso, um invasor tem que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um email ou por um pedido pelo Instant Messenger que leva o usuário ao site do invasor. Também é possível exibir conteúdo da Web próprio para a finalidade usando anúncios de banner ou outros métodos para implantar conteúdo da Web nos sistemas afetados.

Quais são os sistemas que mais correm riscos com a vulnerabilidade?  
Os sistemas Windows XP são os que mais correm risco com essa vulnerabilidade. Os sistemas Windows Server 2003 também correm risco, mas não conseguimos encontrar um meio de explorar este problema remotamente no Windows Server 2003.

O que a atualização faz?  
Esta atualização elimina a vulnerabilidade modificando a maneira como os dados são validados quando passados para o Centro de Ajuda e Suporte do Windows.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente?  
Sim. Essa vulnerabilidade foi divulgada publicamente. Ela recebeu o número CVE-2010-1885 da lista Common Vulnerability and Exposure. A vulnerabilidade foi descrita pela primeira vez no Comunicado de Segurança da Microsoft 2219475.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?  
Sim. A Microsoft está ciente dos ataques ativos que tentam explorar a vulnerabilidade. Com base nas amostras analisadas, no momento os sistemas Windows Server 2003 não correm risco com estes ataques.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Observação Para versões com suporte do Windows XP Professional x64 Edition, esta atualização de segurança é igual à atualização de segurança das versões com suporte do Windows Server 2003 x64 Edition.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.