Microsoft Security Bulletin MS11-068 - Moderada

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• No cenário de ataque na Web, o invasor terá que hospedar um site contendo uma página da Web usada para explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios pode conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Em um cenário de ataque baseado no compartilhamento de rede, um invasor pode hospedar um arquivo especialmente criado em um compartilhamento de rede usado para explorar essa vulnerabilidade. Em todos os casos, entretanto, não há como o invasor forçar os usuários a visitarem um site ou um compartilhamento de rede. Em vez disso, um invasor teria que convencer os usuários a fazer isso, normalmente convencendo-os a clicar em um link em uma mensagem de e-mail ou do Instant Messenger.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Desabilitar o serviço WebClient

  Desabilitar o serviço WebClient ajuda a proteger sistemas afetados contra tentativas de explorar esta vulnerabilidade por meio do bloqueio, pelo serviço de cliente WebDAV, do vetor de ataque remoto mais provável. Após a aplicação desta solução alternativa, ainda é possível para invasores remotos que tenham explorado esta vulnerabilidade com sucesso fazer com que o sistema execute programas localizados no computador do usuário visado ou na rede local (LAN), mas os usuários serão solicitados a confirmar antes de abrirem programas arbitrários da Internet.

  Para desabilitar o serviço Cliente da Web, execute as seguintes etapas:

  1. Clique em Iniciar, Executar, digite Services.msc e clique em OK.
  2. Clique com o botão direito do mouse no serviço WebClient e selecione Propriedades.
  3. Mude o tipo de inicialização para Desabilitado. Se o serviço estiver em execução, clique em Parar.
  4. Clique em OK e saia do aplicativo de gerenciamento.

  Impacto da solução alternativa. Quando o serviço WebClient estiver desabilitado, as solicitações WebDAV não serão transmitidas. Além disso, quaisquer serviços que dependam explicitamente do serviço WebClient não serão iniciados, e uma mensagem de erro será registrada no log do sistema. Por exemplo, compartilhamentos WebDAV não ficarão acessíveis a partir do computador cliente.

  Como desfazer a solução alternativa.

  Para reabilitar o serviço WebClient, execute as seguintes etapas:

  1. Clique em Iniciar, Executar, digite Services.msc e clique em OK.
  2. Clique com o botão direito do mouse no serviço WebClient e selecione Propriedades.
  3. Altere o tipo de inicialização para Automática. Se o serviço não estiver em execução, clique em Iniciar.
  4. Clique em OK e saia do aplicativo de gerenciamento.
• Desabilite o Painel de Visualização e o Painel de Detalhes no Windows Explorer

  Desabilitar os painéis de visualização e detalhes no Windows Explorer impede que fontes OTF sejam exibidas no Windows Explorer. Embora esse procedimento impeça que arquivos mal-intencionados sejam exibidos no Windows Explorer, não impede que um usuário autenticado local execute um programa especialmente criado para explorar essa vulnerabilidade. Para desabilitar esses painéis no Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2, execute as seguintes etapas:

  1. Abra o Windows Explorer, clique em Organizar e, em seguida, em Layout.
  2. Limpe o painel de Detalhes e as opções de menu do painel de Visualização.
  3. Clique em Organizar e clique em Opções de pesquisa e pasta.
  4. Clique na guia Exibir.
  5. Em Configurações Avançadas, marque a caixa Sempre mostrar ícones, nunca miniaturas.
  6. Feche todas as instâncias abertas do Windows Explorer para que a alteração entre em vigor.

  Impacto da solução alternativa. O Windows Explorer não exibirá fontes OTF automaticamente.

  Para reabilitar os painéis de visualização e de detalhes do Windows Explorer no Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2:

  1. Abra o Windows Explorer, clique em Organizar e, em seguida, em Layout.
  2. Selecione as opções de menu do painel de Detalhes e do painel de Visualização.
  3. Clique em Organizar e clique em Opções de pesquisa e pasta.
  4. Clique na guia Exibir.
  5. Em Configurações Avançadas, desmarque a caixa Sempre mostrar ícones, nunca miniaturas.
  6. Feche todas as instâncias abertas do Windows Explorer para que a alteração entre em vigor.
• Bloquear as portas TCP 139 e 445 no firewall

  Essas portas são usadas para iniciar uma conexão com o componente afetado. O bloqueio das portas TCP 139 e 445 no firewall ajudará a proteger os sistemas atrás do firewall contra as tentativas de exploração dessa vulnerabilidade. A Microsoft recomenda que você bloqueie todas as comunicações de entrada não solicitadas da Internet para ajudar a impedir ataques que talvez usem outras portas. Para obter mais informações sobre portas, consulte o artigo da TechNet, Atribuições de portas TCP e UDP.

  Impacto da solução alternativa. Vários serviços Windows usam as portas afetadas. O bloqueio da conectividade nas portas pode impedir o funcionamento de vários aplicativos ou serviços. Alguns dos aplicativos ou serviços que podem ser afetados estão listados abaixo:

  • Aplicativos que usam SMB (CIFS)
  • Aplicativos que usam processadores de mensagens ou pipes nomeados (RPC em SMB)
  • Servidor (Compartilhamento de arquivos e impressoras)
  • Diretiva de Grupo
  • Logon de rede
  • Sistema de arquivos distribuídos (DFS)
  • Licenciamento de Terminal Server
  • Spooler de impressão
  • Pesquisador de Computadores
  • Localizador de chamada de procedimento remoto
  • Serviço de fax
  • Serviço de Indexação
  • Alertas e logs de desempenho
  • Systems Management Server
  • Serviço de registro de licença

  Como desfazer a solução alternativa. Desbloqueie as portas TCP 139 e 445 no firewall. Para obter mais informações sobre portas, consulte o artigo da TechNet, Atribuições de portas TCP e UDP.

Qual é o escopo da vulnerabilidade?  
Essa é uma vulnerabilidade de negação de serviço (site em inglês). O invasor que explorar essa vulnerabilidade com êxito pode fazer com que o sistema afetado seja reiniciado. Observe que essa vulnerabilidade não permite que um invasor execute códigos nem eleve os direitos de usuário.

O que provoca a vulnerabilidade?  
A vulnerabilidade é causada quando o kernel do Windows analisa indevidamente as informações de metadados em arquivos.

O que é o kernel do Windows?  
O kernel do Windows é o núcleo do sistema operacional. O kernel fornece serviços no nível do sistema como gerenciamento de dispositivos e de memória, aloca tempo do processador para os processos e gerencia o tratamento de erros.

Para que um invasor pode usar a vulnerabilidade?  
Um invasor que tenha explorado esta vulnerabilidade com êxito pode fazer com que o sistema afetado reinicie.

De que forma o invasor pode explorar a vulnerabilidade?  
Em um cenário de ataque baseado na Web, um invasor terá que hospedar um site que aponte para um arquivo especialmente criado em um compartilhamento de rede. Então, quando o usuário navega até o site, o caminho de controle afetado é disparado pelos painéis de Visualização e Detalhes no Windows Explorer. O arquivo especialmente criado poderia então explorar a vulnerabilidade e causar a reinicialização do sistema afetado. Não há como um invasor forçar usuários a visitar o site especialmente criado. Em vez disso, o invasor terá que convencê-los a visitar o site, normalmente fazendo com que cliquem em um link que leve para esse site.

Em um cenário de ataque baseado em compartilhamento de rede, um invasor poderia hospedar um arquivo especialmente criado em um compartilhamento de rede. Então, quando o usuário navega até o compartilhamento no Windows Explorer, o caminho de controle afetado é acionado por meio dos painéis de Detalhes e de Visualização. O arquivo especialmente criado poderia então explorar a vulnerabilidade e causar a reinicialização do sistema afetado.

Quais são os principais sistemas que correm riscos com a vulnerabilidade?  
Principalmente as estações de trabalho e os servidores de terminal estão correndo risco. Os servidores correm mais riscos se os administradores permitirem que os usuários façam logon em servidores e executem programas. Entretanto, as práticas recomendadas não recomendam esse procedimento.

O que a atualização faz?  
A atualização elimina a vulnerabilidade, corrigindo a maneira como o kernel do Windows analisa informações de metadados em arquivos.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente?  
Não. A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?  
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.