Microsoft Security Bulletin MS10-095 - Importante

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• Para que um ataque seja bem-sucedido, o usuário precisa visitar um local no sistema de arquivos remoto não confiável ou um compartilhamento de WebDAV e abrir um documento desse local que seja então carregado por um aplicativo vulnerável.
• O protocolo de compartilhamento de arquivos SMB (Server Message Block) normalmente fica desabilitado no firewall de perímetro. Isso limita os possíveis vetores de ataque desta vulnerabilidade.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Desabilitar o carregamento de bibliotecas da rede remota ou de compartilhamentos WebDAV

  Observação Consulte o artigo 2264107 (em inglês) da Microsoft Knowledge Base para implantar uma ferramenta de solução alternativa que permite aos clientes desabilitar o carregamento de bibliotecas de rede remota ou de compartilhamentos WebDAV. Esta ferramenta pode ser configurada para impedir o carregamento não seguro globalmente no sistema ou por aplicativo.

  Os clientes que forem informados pelo fornecedor que seu aplicativo está vulnerável podem usar esta ferramenta para ajudar a se proteger contra tentativas de explorar este problema.

  Observação Consulte o artigo 2264107 (em inglês) da Microsoft Knowledge Base para usar a solução automatizada Microsoft Fix it para implantar a chave do Registro para bloquear o carregamento de bibliotecas para compartilhamentos WebDAV e SMB. Observe que esta solução Fix it também requer que você instale primeiro a ferramenta de solução alternativa descrita no artigo 2264107 (em inglês) da Microsoft Knowledge Base. Esta solução Fix it implantar somente a chave do Registro e requer a ferramenta de solução alternativa para ser eficiente. Recomendamos que os administradores revisem o artigo da Knowledge Base com atenção antes de implantar esta solução Fix it.

• Desabilitar o serviço WebClient

  Desabilitar o serviço WebClient ajuda a proteger sistemas afetados contra tentativas de explorar esta vulnerabilidade por meio do bloqueio, pelo serviço de cliente WebDAV, do vetor de ataque remoto mais provável. Após a aplicação desta solução alternativa, ainda é possível para invasores remotos que tenham explorado esta vulnerabilidade com sucesso fazer com que o sistema execute programas localizados no computador do usuário visado ou na rede local (LAN), mas os usuários serão solicitados a confirmar antes de abrirem programas arbitrários da Internet.

  Para desabilitar o serviço Cliente da Web, execute as seguintes etapas:

  1. Clique em Iniciar, Executar, digite Services.msc e clique em OK.
  2. Clique com o botão direito do mouse no serviço WebClient e selecione Propriedades.
  3. Mude o tipo de inicialização para Desabilitado. Se o serviço estiver em execução, clique em Parar.
  4. Clique em OK e saia do aplicativo de gerenciamento.

  Impacto da solução alternativa. Quando o serviço WebClient estiver desabilitado, as solicitações WebDAV não serão transmitidas. Além disso, quaisquer serviços que dependam explicitamente do serviço WebClient não serão iniciados, e uma mensagem de erro será registrada no log do sistema. Por exemplo, compartilhamentos WebDAV não ficarão acessíveis a partir do computador cliente.

  Como desfazer a solução alternativa.

  Para reabilitar o serviço WebClient, execute as seguintes etapas:

  1. Clique em Iniciar, Executar, digite Services.msc e clique em OK.
  2. Clique com o botão direito do mouse no serviço WebClient e selecione Propriedades.
  3. Altere o tipo de inicialização para Automática. Se o serviço não estiver em execução, clique em Iniciar.
  4. Clique em OK e saia do aplicativo de gerenciamento.
• Bloquear as portas TCP 139 e 445 no firewall

  Essas portas são usadas para iniciar uma conexão com o componente afetado. O bloqueio das portas TCP 139 e 445 no firewall ajudará a proteger os sistemas atrás do firewall contra as tentativas de exploração dessa vulnerabilidade. A Microsoft recomenda que você bloqueie todas as comunicações de entrada não solicitadas da Internet para ajudar a impedir ataques que talvez usem outras portas. Para obter mais informações sobre portas, consulte o artigo da TechNet, Atribuições de portas TCP e UDP.

  Impacto da solução alternativa. Vários serviços Windows usam as portas afetadas. O bloqueio da conectividade nas portas pode impedir o funcionamento de vários aplicativos ou serviços. Alguns dos aplicativos ou serviços que podem ser afetados estão listados abaixo:

  • Aplicativos que usam SMB (CIFS)
  • Aplicativos que usam processadores de mensagens ou pipes nomeados (RPC em SMB)
  • Servidor (Compartilhamento de arquivos e impressoras)
  • Diretiva de Grupo
  • Logon de rede
  • Sistema de arquivos distribuídos (DFS)
  • Licenciamento de Terminal Server
  • Spooler de impressão
  • Pesquisador de Computadores
  • Localizador de chamada de procedimento remoto
  • Serviço de fax
  • Serviço de Indexação
  • Alertas e logs de desempenho
  • Systems Management Server
  • Serviço de registro de licença

  Como desfazer a solução alternativa. Desbloqueie as portas TCP 139 e 445 no firewall. Para obter mais informações sobre as portas, consulte TCP and UDP Port Assignments.

Qual é o escopo da vulnerabilidade?  
Essa é uma vulnerabilidade de execução remota de código. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

O que provoca a vulnerabilidade?  
Esta vulnerabilidade é causada quando o Windows tenta validar se um DLL específico usado pelo Windows BranchCache existe no sistema. Quando o DLL padrão não existir no sistema, esse binário será procurado primeiro em locais seguros na estrutura de pastas do Windows. No entanto, quando não for localizado, o aplicativo tentará localizar o arquivo no local de onde ele é aberto, que pode ser um local não seguro como um compartilhamento de rede. Um arquivo especialmente criado colocado em um local alternativo pode fazer com que o Windows execute um código escolhido pelo invasor no contexto do usuário conectado.

A biblioteca específica carregada pelo Windows BranchCache só está incluída nas versões do Windows que são lançadas com suporte para o BranchCache. Essas plataformas são o Windows 7 Enterprise e Ultimate e o Windows Server 2008 R2. Outras versões do Windows 7 não têm esse binário em um local relevante no sistema e, portanto, não são vulneráveis por padrão. Todas as versões do Windows 7 e Windows Server 2008 R2 podem ser vulneráveis se a DLL do BranchCache não existir no local padrão.

O que é o Windows BranchCache?  
BranchCache é uma tecnologia de otimização de largura de banda de Rede de Longa Distância (WAN) que está incluída em algumas versões do Windows Server 2008 R2 e sistemas operacionais Windows 7. Para otimizar a largura de banda da WAN, o BranchCache copia o conteúdo dos servidores de conteúdo da matriz e o armazena no cache de locais nas filiais, permitindo que computadores clientes em filiais acessem o conteúdo localmente e não pela WAN. Para obter mais informações, consulte Windows Server 2008 R2 e BranchCache.

Para que um invasor pode usar a vulnerabilidade?  
Um invasor que explorar com êxito essa vulnerabilidade pode executar o código arbitrário como o usuário conectado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Se um usuário estiver conectado com direitos administrativos, o invasor poderá assumir o controle total do sistema afetado. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

De que forma o invasor pode explorar a vulnerabilidade?  
Um invasor poderia convencer um usuário a abrir um arquivo legítimo de um tipo aberto por aplicativos específicos do Windows, tal como. eml e. rss (Windows Live Mail) e. wpost (Microsoft Live Writer), que é localizado no mesmo diretório de rede que um arquivo de biblioteca de vínculo dinâmico (DLL) especialmente criada. Em seguida, ao abrir o arquivo legítimo, o BranchCache pode tentar carregar o arquivo DLL e executar o código contido nele.

Em um cenário de ataque de email, um invasor pode explorar a vulnerabilidade enviando um anexo .eml, .rss, ou .wpost legítimo a um usuário, e convencer o usuário a colocar o anexo em um diretório que contenha um arquivo DLL especialmente criado e a abrir o arquivo legítimo. Em seguida, ao abrir o arquivo legítimo, o Windows Live Mail ou o Microsoft Live Writer pode tentar carregar o arquivo DLL e executar qualquer código contido nele.

Em um cenário de rede, um invasor pode colocar um arquivo legítimo e um DLL especialmente criado em um UNC ou local WebDAV e então convencer o usuário a abrir o arquivo legítimo.

Quais são os principais sistemas que correm riscos com a vulnerabilidade?  
Esta vulnerabilidade afeta principalmente as estações de trabalhos nas quais os usuários podem ser esperados a abrir anexos de locais de rede não confiáveis. Os servidores também correm riscos se os administradores permitirem que os usuários façam logon em servidores e executem programas. Entretanto, as práticas recomendadas não recomendam esse procedimento.

O que a atualização faz?  
A atualização aborda a vulnerabilidade corrigindo a maneira como o Windows BranchCache carrega bibliotecas externas.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente?  
Não. A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?  
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.