Microsoft Security Bulletin MS12-014 - Importante

A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação:

• O protocolo de compartilhamento de arquivos SMB frequentemente fica desabilitado no firewall de perímetro. Isso limita os possíveis vetores de ataque dessa vulnerabilidade.
• Para que um ataque seja bem-sucedido, o usuário deve visitar um local de sistema de arquivos remotos não confiáveis ou compartilhamento WebDAV e abrir um arquivo de mída (como .avi).

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

• Desabilitar o carregamento de bibliotecas da rede remota ou de compartilhamentos WebDAV

  Observação Consulte o artigo 2264107 (em inglês) da Microsoft Knowledge Base para implantar uma ferramenta de solução alternativa que permite aos clientes desabilitar o carregamento de bibliotecas de rede remota ou de compartilhamentos WebDAV. Esta ferramenta pode ser configurada para impedir o carregamento não seguro globalmente no sistema ou por aplicativo.

  Os clientes que forem informados pelo fornecedor que seu aplicativo está vulnerável podem usar esta ferramenta para ajudar a se proteger contra tentativas de explorar este problema.

  Observação Consulte o artigo 2264107 (em inglês) da Microsoft Knowledge Base para usar a solução automatizada Microsoft Fix it para implantar a chave do Registro para bloquear o carregamento de bibliotecas para compartilhamentos WebDAV e SMB. Observe que esta solução Fix it também requer que você instale primeiro a ferramenta de solução alternativa descrita no artigo 2264107 (em inglês) da Microsoft Knowledge Base. Esta solução Fix it implantar somente a chave do Registro e requer a ferramenta de solução alternativa para ser eficiente. Recomendamos que os administradores revisem o artigo da Knowledge Base com atenção antes de implantar esta solução Fix it.

• Desabilitar o serviço
• WebClient

• Desabilitar o serviço WebClient ajuda a proteger sistemas afetados contra tentativas de explorar esta vulnerabilidade por meio do bloqueio, pelo serviço de cliente WebDAV, do vetor de ataque remoto mais provável. Após a aplicação desta solução alternativa, ainda é possível para invasores remotos que tenham explorado esta vulnerabilidade com sucesso fazer com que o sistema execute programas localizados no computador do usuário visado ou na rede local (LAN), mas os usuários serão solicitados a confirmar antes de abrirem programas arbitrários da Internet.

  Para desabilitar o serviço Cliente da Web, siga estas etapas:

  1. Clique em Iniciar, Executar, digite Services.msc e clique em OK.
  2. Clique com o botão direito do mouse no serviço WebClient e selecione Propriedades.
  3. Mude o tipo de inicialização para Desabilitado. Se o serviço estiver em execução, clique em Parar.
  4. Clique em OK e saia do aplicativo de gerenciamento.

  Impacto da solução alternativa. Quando o serviço WebClient estiver desabilitado, as solicitações WebDAV não serão transmitidas. Além disso, quaisquer serviços que dependam explicitamente do serviço WebClient não serão iniciados, e uma mensagem de erro será registrada no log do sistema. Por exemplo, compartilhamentos WebDAV não ficarão acessíveis a partir do computador cliente.

  Como desfazer a solução alternativa.

  Para voltar a habilitar o serviço WebClient, siga estas etapas:

  1. Clique em Iniciar, Executar, digite Services.msc e clique em OK.
  2. Clique com o botão direito do mouse no serviço WebClient e selecione Propriedades.
  3. Altere o tipo de inicialização para Automática. Se o serviço não estiver em execução, clique em Iniciar.
  4. Clique em OK e saia do aplicativo de gerenciamento.
• Bloquear as portas TCP 139 e 445 no firewall

  Essas portas são usadas para iniciar uma conexão com o componente afetado. O bloqueio das portas TCP 139 e 445 no firewall ajudará a proteger os sistemas atrás do firewall contra as tentativas de exploração dessa vulnerabilidade. A Microsoft recomenda que você bloqueie todas as comunicações de entrada não solicitadas da Internet para ajudar a impedir ataques que talvez usem outras portas. Para obter mais informações sobre portas, consulte o artigo da TechNet, Atribuições de portas TCP e UDP.

  Impacto da solução alternativa. Vários serviços Windows usam as portas afetadas. O bloqueio da conectividade nas portas pode impedir o funcionamento de vários aplicativos ou serviços. Alguns dos aplicativos ou serviços que podem ser afetados estão listados abaixo:

  • Aplicativos que usam SMB (CIFS)
  • Aplicativos que usam processadores de mensagens ou pipes nomeados (RPC em SMB)
  • Servidor (Compartilhamento de arquivos e impressoras)
  • Diretiva de Grupo
  • Logon de rede
  • Sistema de arquivos distribuídos (DFS)
  • Licenciamento de Terminal Server
  • Spooler de impressão
  • Pesquisador de Computadores
  • Localizador de chamada de procedimento remoto
  • Serviço de fax
  • Serviço de Indexação
  • Alertas e logs de desempenho
  • Systems Management Server
  • Serviço de registro de licença

  Como desfazer a solução alternativa. Desbloqueie as portas TCP 139 e 445 no firewall. Para obter mais informações sobre as portas, consulte TCP and UDP Port Assignments.

Qual é o escopo da vulnerabilidade? 
Essa é uma vulnerabilidade de execução remota de código. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

O que provoca a vulnerabilidade? 
A vulnerabilidade é causada quando o Codec da Indeo restringe incorretamente o caminho usado para o carregamento de bibliotecas externas.

O que é o Codec da Indeo? 
O Codec da Indeo é um codec que descompacta arquivos de mídia digital para uso em aplicativos como o Windows Media Player. Para obter mais informações sobre codecs, consulte Codecs: Perguntas frequentes.

O que é um arquivo de mídia AVI? 
AVI (Audio Video Interleave) é um formato de recipiente multimídia, definido pela Microsoft, que usa RIFF (Resource Interchange File Format). AVI é definido pela Microsoft. O formato de arquivo AVI é o formato mais comum para dados de áudio e vídeo em um computador.

O conteúdo de áudio ou de vídeo compactado com uma grande variedade de codecs pode ser armazenado em um arquivo de recipiente .avi e reproduzido no Windows Media Player se os codecs apropriados forem instalados no computador.

Para que um invasor pode usar a vulnerabilidade? 
Um invasor que explorar com êxito essa vulnerabilidade pode executar o código arbitrário como o usuário conectado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Se um usuário estiver conectado com direitos administrativos, o invasor poderá assumir o controle total do sistema afetado. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

De que forma o invasor pode explorar a vulnerabilidade? 
Um invasor pode convencer um usuário a abrir um arquivo de mídia legítimo (como um arquivo .avi) localizado no mesmo diretório de rede que um arquivo .DLL especialmente criado. Em seguida, ao abrir o arquivo, o Codec da Indeo pode tentar carregar o arquivo DLL e executar qualquer código contido nele.

Em um cenário de ataque por email, o invasor pode explorar a vulnerabilidade enviando um arquivo legítimo (como .avi) a um usuário e convencendo-o a colocar o anexo em um diretório que contém um arquivo DLL especialmente criado e a abrir o arquivo legítimo. Em seguida, ao abrir o arquivo, o Codec da Indeo pode tentar carregar o arquivo DLL e executar qualquer código contido nele.

Em um cenário de ataque à rede, um invasor pode colocar um arquivo legítimo (como .avi) e um arquivo DLL especialmente criado em uma rede compartilhada, em um UNC ou em um local WebDAV, e então convencer o usuário a abrir o arquivo.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
As estações de trabalhos, nas quais os usuários podem ser esperados a abrir arquivos de locais de rede não confiáveis, são os que mais correm risco.

O que a atualização faz? 
A atualização aborda a vulnerabilidade corrigindo a maneira como o Codec da Indeo carrega bibliotecas externas.

Esta vulnerabilidade está relacionada ao Comunicado de Segurança da Microsoft 2269637? 
Sim, esta vulnerabilidade está relacionada à classe de vulnerabilidades, descrita no Comunicado de Segurança da Microsoft 2269637, que afeta como os aplicativos carregam as bibliotecas externas. Esta atualização de segurança elimina uma instância em particular deste tipo de vulnerabilidade.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Sim. Essa vulnerabilidade foi divulgada publicamente. Ela recebeu o número CVE-2010-3138 da lista Common Vulnerability and Exposure.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft viu exemplos de código de verificação de conceito divulgados publicamente, mas não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes quando este boletim de segurança foi originalmente lançado.

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software. Você pode encontrar informações adicionais na subseção Informações de implantação, nesta seção.