Aviso de Segurança da Microsoft (2506014)

Qual é a abrangência deste aviso?  
Este aviso esclarece e notifica relativamente à disponibilidade de uma actualização não relacionada com segurança para resolver uma questão na aplicação da assinatura de controladores. A actualização resolve um método através do qual poderiam ser carregados controladores sem assinatura pelo ficheiro winload.exe. Esta técnica é frequentemente utilizada por malware, tal como rootkits, para permanecer num sistema depois da infecção inicial. A questão afecta o software listado acima na tabela de Software Afectado.

O que provoca a ocorrência desta questão?  
Durante o processo de arranque, o ficheiro winload.exe determina o estado da assinatura dos binários do sistema. Algumas desadequações neste processo permitem que sejam carregados binários sem assinatura. Quando isto ocorre, o Windows não pode garantir a integridade de determinados componentes centrais do sistema operativo.

O que é o Carregador do Sistema Operativo Windows (winload.exe)?  
O Carregador do Sistema Operativo Windows (winload.exe) carrega o kernel do Windows e respectivas dependências, assim como os controladores de início de arranque. Este componente contém também código que requer que o BIOS de um sistema recupere informações básicas de configuração e de dispositivos. Esta aplicação faz parte do sistema operativo e carrega uma versão específica do Windows. Utiliza o firmware para carregar o kernel do sistema operativo e inicializar controladores de dispositivos críticos a partir de um disco rígido local.

O que é a assinatura de controladores?  
A assinatura de controladores associa uma assinatura digital a um pacote de controladores. A instalação de dispositivos do Windows utiliza assinaturas digitais para verificar a integridade dos pacotes de controladores e verificar a identidade do fornecedor (fabricante de software) que fornece os pacotes de controladores. Além disso, a política de assinatura de código do modo de kernel para edições baseadas em x64 do Windows Vista e versões posteriores do Windows especifica que um controlador do modo de kernel deve dispor de assinatura para ser carregado. Para mais informações sobre assinaturas de controladores, consulte o artigo MSDN sobre Assinatura de Controladores.

O que é um rootkit?  
Um rootkit é um programa cuja finalidade principal é executar determinadas funções que não podem ser facilmente detectadas nem podem ser anuladas por um administrador de sistema, tais como funções de ocultação ou outro malware.

Esta actualização remove rootkits de um sistema infectado?  
Não. A actualização evita que um método conhecido utilizado por rootkits se esconda dos programas anti-malware. Mesmo depois de a actualização estar instalada, um sistema infectado com um rootkit teria ainda de ser limpo através de outros meios.

Como posso determinar se o meu sistema está infectado com um rootkit?
Depois de a actualização estar aplicada, um programa anti-malware instalado deverá detectar o rootkit e informá-lo da sua presença.

Como desinstalo um rootkit?
A remoção manual não é recomendada para a maioria dos rootkits. Utilize a Ferramenta de Remoção de Software Malicioso da Microsoft, o Microsoft Security Essentials, o analista de segurança do Windows Live OneCare, ou outras ferramentas actualizadas de análise e remoção para detectar e remover esta ameaça e outro software indesejado do seu computador. Para mais informações sobre produtos de segurança da Microsoft, consulte http://www.microsoft.com/protect/products/computer/default.mspx.

Esta actualização evitará a ocorrência de infecções futuras?
Não. Esta actualização aumenta a dificuldade de os rootkits se esconderem, mas uma vez que não resolve uma vulnerabilidade de segurança, não impediria a ocorrência de uma futura infecção de malware.

Por que está esta actualização apenas disponível para sistemas baseados em x64?
A assinatura de controladores não é um requisito para as edições de 32 bits das versões listadas do sistema operativo Windows. Os sistemas baseados em Itanium não são afectados por esta questão.

Sou um programador que fornece binários assinados. Esta actualização fará com que tenha de assinar novamente todos os meus binários?
Não. Esta actualização não requer qualquer alteração ao binários assinados existentes.

Como é que a Microsoft vai listar esta actualização no Web site do Windows Update?
A actualização para o kernel do Windows está classificada como uma actualização de prioridade elevada no Web site do Windows Update. No site do Windows Update, estará listada na categoria de Actualizações de "Prioridade Elevada" para clientes que ainda não tenham recebido a actualização e que estejam a executar o software listado acima.

Esta actualização vai ser distribuída através das Actualizações Automáticas?
Sim, esta actualização é distribuída através das Actualizações Automáticas para os sistemas listados acima na tabela de Software Afectado.

Esta actualização requer um boletim?
Não, esta questão não requer um boletim de segurança da Microsoft nem uma actualização de segurança. Para que um programa execute código conforme se descreve acima, o programa deve estar já a ser executado com um determinado nível de privilégios. A actualização faz alterações para ajudar a assegurar que apenas os programas pretendidos que foram assinados por uma autoridade de certificação válida podem ser executados com o ficheiro winload.exe durante a fase de arranque.

Este é um aviso de segurança sobre uma actualização não relacionada com segurança. Isto não é contraditório?  
Os avisos de segurança tratam de alterações de segurança que podem não requerer um boletim de segurança, mas podem ainda assim afectar a segurança geral dos sistemas dos clientes. Os avisos de segurança são uma forma de a Microsoft comunicar informações relacionadas com segurança aos clientes, em relação a questões que não podem ser classificadas como vulnerabilidades e podem não requerer um boletim de segurança, ou sobre questões para as quais não foi lançado um boletim de segurança. Neste caso, estamos a comunicar a disponibilidade de uma actualização que afecta a sua capacidade de realizar actualizações posteriores, incluindo actualizações de segurança. Como tal, este aviso não resolve uma vulnerabilidade de segurança específica; trata, em vez disso, da sua segurança global.

Consultar os Artigos da Base de Dados de Conhecimento da Microsoft que estão associados a este aviso

Aconselhamos os nossos clientes a instalarem estas actualizações. Os clientes que estiverem interessados em saber mais sobre estas actualizações devem consultar o Artigo 2506014 da Base de Dados de Conhecimento da Microsoft.

Para mais informações sobre a terminologia que é usada neste aviso, tal como actualização, consulte o Artigo 824684 da Base de Dados de Conhecimento da Microsoft.

Proteja o seu computador

Continuamos a aconselhar os clientes a seguirem os nossos conselhos para protegerem os seus computadores e activarem uma firewall, aplicarem actualizações de software e instalarem software antivírus. Os clientes poderão saber mais sobre estes passos em Proteja o Seu PC.

Manter o Windows actualizado

Todos os utilizadores do Windows devem aplicar as actualizações de segurança da Microsoft mais recentes para ajudar a garantir que os seus computadores estão o mais protegidos possível. Se não tiver a certeza se o seu software está actualizado, visite o Windows Update, procure actualizações disponíveis para o seu computador e instale todas as actualizações de prioridade elevada que lhe são oferecidas. Se tiver as Actualizações Automáticas activadas, as actualizações ser-lhe-ão entregues quando são lançadas, mas tem de se certificar de que as instala.