Microsoft Security Bulletin MS12-012 - Importante

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• Para que um ataque seja bem-sucedido, o usuário deve visitar um local de sistema de arquivos remotos não confiáveis ou compartilhamento WebDAV e abrir um arquivo legítimo (como .icm ou .icc).
• O protocolo de compartilhamento de arquivos SMB frequentemente fica desabilitado no firewall de perímetro. Isso limita os possíveis vetores de ataque dessa vulnerabilidade.
• O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário conectado. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Instale a Experiência de área de trabalho no Windows Server 2008 e Windows Server 2008 R2

  Os sistemas com o recurso Experiência de área de trabalho instalado não são afetados por esta vulnerabilidade.

  Para obter mais informações, incluindo instruções sobre como instalar e remover este recurso, consulte o artigo de Technet, Visão geral da experiência da área de trabalho.

• Desabilitar o carregamento de bibliotecas da rede remota ou de compartilhamentos WebDAV

  Observação Consulte o artigo 2264107 (em inglês) da Microsoft Knowledge Base para implantar uma ferramenta de solução alternativa que permite aos clientes desabilitar o carregamento de bibliotecas de rede remota ou de compartilhamentos WebDAV. Esta ferramenta pode ser configurada para impedir o carregamento não seguro globalmente no sistema ou por aplicativo.

  Os clientes que forem informados pelo fornecedor que seu aplicativo está vulnerável podem usar esta ferramenta para ajudar a se proteger contra tentativas de explorar este problema.

  Observação Consulte o artigo 2264107 (em inglês) da Microsoft Knowledge Base para usar a solução automatizada Microsoft Fix it para implantar a chave do Registro para bloquear o carregamento de bibliotecas para compartilhamentos WebDAV e SMB. Observe que esta solução Fix it também requer que você instale primeiro a ferramenta de solução alternativa descrita no artigo 2264107 (em inglês) da Microsoft Knowledge Base. Esta solução Fix it implantar somente a chave do Registro e requer a ferramenta de solução alternativa para ser eficiente. Recomendamos que os administradores revisem o artigo da Knowledge Base com atenção antes de implantar esta solução Fix it.

• Desabilitar o serviço
• WebClient

• Desabilitar o serviço WebClient ajuda a proteger sistemas afetados contra tentativas de explorar esta vulnerabilidade por meio do bloqueio, pelo serviço de cliente WebDAV, do vetor de ataque remoto mais provável. Após a aplicação desta solução alternativa, ainda é possível para invasores remotos que tenham explorado esta vulnerabilidade com sucesso fazer com que o sistema execute programas localizados no computador do usuário visado ou na rede local (LAN), mas os usuários serão solicitados a confirmar antes de abrirem programas arbitrários da Internet.

  Para desabilitar o serviço Cliente da Web, siga estas etapas:

  1. Clique em Iniciar, Executar, digite Services.msc e clique em OK.
  2. Clique com o botão direito do mouse no serviço WebClient e selecione Propriedades.
  3. Mude o tipo de inicialização para Desabilitado. Se o serviço estiver em execução, clique em Parar.
  4. Clique em OK e saia do aplicativo de gerenciamento.

  Impacto da solução alternativa. Quando o serviço WebClient estiver desabilitado, as solicitações WebDAV não serão transmitidas. Além disso, quaisquer serviços que dependam explicitamente do serviço WebClient não serão iniciados, e uma mensagem de erro será registrada no log do sistema. Por exemplo, compartilhamentos WebDAV não ficarão acessíveis a partir do computador cliente.

  Como desfazer a solução alternativa.

  Para voltar a habilitar o serviço WebClient, siga estas etapas:

  1. Clique em Iniciar, Executar, digite Services.msc e clique em OK.
  2. Clique com o botão direito do mouse no serviço WebClient e selecione Propriedades.
  3. Altere o tipo de inicialização para Automática. Se o serviço não estiver em execução, clique em Iniciar.
  4. Clique em OK e saia do aplicativo de gerenciamento.
• Bloquear as portas TCP 139 e 445 no firewall

  Essas portas são usadas para iniciar uma conexão com o componente afetado. O bloqueio das portas TCP 139 e 445 no firewall ajudará a proteger os sistemas atrás do firewall contra as tentativas de exploração dessa vulnerabilidade. A Microsoft recomenda que você bloqueie todas as comunicações de entrada não solicitadas da Internet para ajudar a impedir ataques que talvez usem outras portas. Para obter mais informações sobre portas, consulte o artigo da TechNet, Atribuições de portas TCP e UDP.

  Impacto da solução alternativa. Vários serviços Windows usam as portas afetadas. O bloqueio da conectividade nas portas pode impedir o funcionamento de vários aplicativos ou serviços. Alguns dos aplicativos ou serviços que podem ser afetados estão listados abaixo:

  • Aplicativos que usam SMB (CIFS)
  • Aplicativos que usam processadores de mensagens ou pipes nomeados (RPC em SMB)
  • Servidor (Compartilhamento de arquivos e impressoras)
  • Diretiva de Grupo
  • Logon de rede
  • Sistema de arquivos distribuídos (DFS)
  • Licenciamento de Terminal Server
  • Spooler de impressão
  • Pesquisador de Computadores
  • Localizador de chamada de procedimento remoto
  • Serviço de fax
  • Serviço de Indexação
  • Alertas e logs de desempenho
  • Systems Management Server
  • Serviço de registro de licença

  Como desfazer a solução alternativa. Desbloqueie as portas TCP 139 e 445 no firewall. Para obter mais informações sobre as portas, consulte TCP and UDP Port Assignments.

Qual é o escopo da vulnerabilidade? 
Essa é uma vulnerabilidade de execução remota de código. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

O que provoca a vulnerabilidade? 
A vulnerabilidade é o resultado do Painel de controle colorido, restringindo inadequadamente o caminho usado ao carregar bibliotecas externas.

O que é o recurso Experiência de área de trabalho no Windows Server 2008? 
Há uma variedade de recursos de área de trabalho, como o Painel de controle colorido, que não está instalado por padrão no Windows Server 2008. Em vez disso, você pode instalá-los de uma vez instalando o recurso Experiência de área de trabalho no Windows Server 2008. Para obter mais informações, consulte o artigo da Technet, Visão geral da Experiência de área de trabalho.

Para que um invasor pode usar a vulnerabilidade? 
Um invasor que explorar com êxito essa vulnerabilidade pode executar o código arbitrário como o usuário conectado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Se um usuário estiver conectado com direitos administrativos, o invasor poderá assumir o controle total do sistema afetado. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

De que forma o invasor pode explorar a vulnerabilidade? 
Um invasor pode convencer um usuário a abrir um arquivo legítimo (como .icm ou .icc) localizado no mesmo diretório de rede que um arquivo DLL especialmente criado. Em seguida, ao abrir o arquivo legítimo, o Painel de controle colorido pode tentar carregar o arquivo DLL e executar qualquer código contido nele.

Em um cenário de ataque por email, o invasor pode explorar a vulnerabilidade enviando um arquivo legítimo (como .icm ou .icc) a um usuário e convencendo-o a colocar o anexo em um diretório que contém um arquivo DLL especialmente criado e a abrir o arquivo legítimo. Em seguida, ao abrir o arquivo legítimo, o Painel de controle colorido pode tentar carregar o arquivo DLL e executar qualquer código contido nele.

Em um cenário de ataque à rede, um invasor pode colocar um arquivo legítimo (como .icm ou .icc) e um arquivo DLL especialmente criado em uma rede compartilhada, em um UNC ou em um local WebDAV, e então convencer o usuário a abrir o arquivo.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
Os servidores, nos quais os usuários podem ser esperados a abrir arquivos de locais de rede não confiáveis, são os que mais correm risco.

O que a atualização faz? 
A atualização elimina a vulnerabilidade, corrigindo a maneira como o Painel de controle colorido carrega as bibliotecas externas.

Esta vulnerabilidade está relacionada ao Comunicado de Segurança da Microsoft 2269637? 
Sim, esta vulnerabilidade está relacionada à classe de vulnerabilidades, descrita no Comunicado de Segurança da Microsoft 2269637, que afeta como os aplicativos carregam as bibliotecas externas. Esta atualização de segurança elimina uma instância em particular deste tipo de vulnerabilidade.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Sim. Essa vulnerabilidade foi divulgada publicamente. Ela recebeu o número CVE-2010-5082 da lista Common Vulnerability and Exposure.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft viu exemplos de código de verificação de conceito divulgados publicamente, mas não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes quando este boletim de segurança foi originalmente lançado.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.