Microsoft Security Bulletin MS12-039 - Importante

O factor atenuante refere-se a uma definição, uma configuração comum ou uma prática recomendada geral, que existe num estado predefinido, que poderia reduzir a gravidade da exploração de uma vulnerabilidade. Os seguintes factores atenuantes podem ser úteis para a sua situação:

• Um intruso que conseguisse explorar esta vulnerabilidade com êxito poderia obter os mesmos privilégios que o utilizador actual. Os utilizadores cujas contas estão configuradas com menos direitos de utilização no sistema podem correr menos riscos do que os utilizadores que trabalham com direitos de utilização de administrador.

A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.

Qual é a abrangência desta vulnerabilidade? 
Esta é uma vulnerabilidade de execução remota de código.

O que provoca a vulnerabilidade? 
A vulnerabilidade verifica-se quando se processam incorrectamente ficheiros de Tipo de Letra True Type (TTF).

Como poderia um intruso utilizar a vulnerabilidade? 
Um intruso que conseguisse explorar esta vulnerabilidade com êxito poderia obter os mesmos privilégios que o utilizador actual. Se o utilizador actual tiver sessão iniciada com direitos de utilizador administrativos, um intruso poderia obter controlo total sobre o sistema afectado. Um intruso poderia então instalar programas; ver, alterar ou eliminar dados; ou ainda criar novas contas com todos os privilégios. Os utilizadores cujas contas estão configuradas com menos direitos de utilização no sistema podem correr menos riscos do que os utilizadores que trabalham com direitos de utilização de administrador.

Como poderia um intruso explorar a vulnerabilidade? 
Um intruso poderia partilhar conteúdos que contivessem tipos de letra TrueType especialmente concebidos para o efeito. A vulnerabilidade poderia ser explorada quando um utilizador visualizasse os conteúdos partilhados que contivessem tipos de letra TrueType especialmente concebidos para o efeito.

Quais os sistemas mais susceptíveis a esta vulnerabilidade? 
Os sistemas afectados são principalmente estações de trabalho e servidores de terminal. Os servidores podem estar mais sujeitos a risco se os administradores permitirem que os utilizadores iniciem sessão nos servidores e executem programas. Contudo, os procedimentos recomendados desencorajam essa acção.

O que faz a actualização? 
A actualização resolve a vulnerabilidade corrigindo a forma como os ficheiros TTF especialmente concebidos para o efeito são processados.

Quando este boletim de segurança foi publicado, esta vulnerabilidade já tinha sido divulgada publicamente? 
Sim. Esta vulnerabilidade foi divulgada publicamente. Foi-lhe atribuído o número de Vulnerabilidade e Exposição Comum CVE-2011-3402.

Quando este boletim de segurança foi publicado, a Microsoft já tinha recebido informações sobre a exploração desta vulnerabilidade? 
Embora esta vulnerabilidade já tenha sido explorada através de ataques limitados e específicos, os vectores de ataque explorados foram resolvidos em MS11-087, Vulnerabilidade nos Controladores de Modo de Kernel do Windows Poderiam Permitir Execução Remota de Código (2639417). A Microsoft ainda não tinha recebido informações que indicassem que os vectores de ataque resolvidos neste boletim tivessem sido utilizados publicamente para atacar clientes, quando este boletim de segurança foi publicado pela primeira vez.

O factor atenuante refere-se a uma definição, uma configuração comum ou uma prática recomendada geral, que existe num estado predefinido, que poderia reduzir a gravidade da exploração de uma vulnerabilidade. Os seguintes factores atenuantes podem ser úteis para a sua situação:

• Um intruso que conseguisse explorar esta vulnerabilidade com êxito poderia obter os mesmos privilégios que o utilizador actual. Os utilizadores cujas contas estão configuradas com menos direitos de utilização no sistema podem correr menos riscos do que os utilizadores que trabalham com direitos de utilização de administrador.

A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.

Qual é a abrangência desta vulnerabilidade? 
Esta é uma vulnerabilidade de execução remota de código.

O que provoca a vulnerabilidade? 
A vulnerabilidade verifica-se quando se processam incorrectamente ficheiros de Tipo de Letra True Type (TTF).

Como poderia um intruso utilizar a vulnerabilidade? 
Um intruso que conseguisse explorar esta vulnerabilidade com êxito poderia obter os mesmos privilégios que o utilizador actual. Se o utilizador actual tiver sessão iniciada com direitos de utilizador administrativos, um intruso poderia obter controlo total sobre o sistema afectado. Um intruso poderia então instalar programas; ver, alterar ou eliminar dados; ou ainda criar novas contas com todos os privilégios. Os utilizadores cujas contas estão configuradas com menos direitos de utilização no sistema podem correr menos riscos do que os utilizadores que trabalham com direitos de utilização de administrador.

Como poderia um intruso explorar a vulnerabilidade? 
Um intruso poderia partilhar conteúdos que contivessem tipos de letra TrueType especialmente concebidos para o efeito. A vulnerabilidade poderia ser explorada quando um utilizador visualizasse os conteúdos partilhados que contivessem tipos de letra TrueType especialmente concebidos para o efeito.

Quais os sistemas mais susceptíveis a esta vulnerabilidade? 
As estações de trabalho estão mais susceptíveis a esta vulnerabilidade.

O que faz a actualização? 
A actualização resolve a vulnerabilidade corrigindo a forma como os ficheiros TTF especialmente concebidos para o efeito são processados.

Quando este boletim de segurança foi publicado, esta vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre esta vulnerabilidade através de divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi publicado, a Microsoft já tinha recebido informações sobre a exploração desta vulnerabilidade? 
Não. A Microsoft ainda não tinha recebido informações que indicassem que esta vulnerabilidade tivesse sido utilizada publicamente para atacar clientes, quando este boletim de segurança foi publicado pela primeira vez.

O factor atenuante refere-se a uma definição, uma configuração comum ou uma prática recomendada geral, que existe num estado predefinido, que poderia reduzir a gravidade da exploração de uma vulnerabilidade. Os seguintes factores atenuantes podem ser úteis para a sua situação:

• Para um ataque poder ser bem sucedido, um utilizador teria de visitar uma localização não fidedigna do sistema de ficheiros remoto ou partilha WebDAV e abrir um ficheiro legítimo (como um ficheiro .ocsmeet) a partir desta localização, que seria então carregado por uma aplicação vulnerável.
• O protocolo de partilha de ficheiros, Bloco de Mensagens de Servidor (SMB), é frequentemente desactivado na firewall de perímetro. Isto limita os possíveis vectores de ataque para esta vulnerabilidade.
• Um intruso que conseguisse explorar esta vulnerabilidade com êxito poderia obter os mesmos privilégios que o utilizador com sessão iniciada. Os utilizadores cujas contas estão configuradas com menos direitos de utilização no sistema podem correr menos riscos do que os utilizadores que trabalham com direitos de utilização de administrador.

Uma solução alternativa refere-se a uma definição ou alteração de configuração que não corrige a vulnerabilidade subjacente, mas que ajudaria a bloquear vectores de ataque conhecidos antes de aplicar a actualização. A Microsoft testou as seguintes soluções alternativas e indica se a solução alternativa reduz a funcionalidade:

• Desactivar o carregamento de bibliotecas a partir da WebDAV e de partilhas de rede remotas

  Nota Consulte o Artigo 2264107 da Base de Dados de Conhecimento da Microsoft para implementar uma ferramenta de solução alternativa que permite aos clientes desactivar o carregamento de bibliotecas a partir de partilhas na rede remota ou WebDAV. Esta ferramenta pode ser configurada para impedir o carregamento sem segurança com base no sistema global ou por aplicação.

  Os clientes que sejam informados da vulnerabilidade de uma aplicação pelo seu fornecedor podem utilizar esta ferramenta para ajudar a proteger contra tentativas de exploração desta questão.

  Nota Consulte o Artigo 2264107 da Base de Dados de Conhecimento da Microsoft para utilizar a solução automática de correcção da Microsoft para implementar a chave de registo a fim de bloquear o carregamento de bibliotecas para partilhas SMB e WebDAV. Tenha em conta que esta solução de correcção requer que instale primeiro a ferramenta de solução alternativa também descrita no Artigo 2264107 da Base de Dados de Conhecimento da Microsoft. Para ser eficaz, esta solução de correcção apenas implementa a chave de registo e requer a ferramenta de solução alternativa. Recomendamos que os administradores consultem detalhadamente o artigo da Base de Dados de Conhecimento antes de implementar esta solução de correcção.

• Desactivar o serviço WebClient

  A desactivação do serviço WebClient ajuda a proteger os sistemas afectados contra tentativas de explorar esta vulnerabilidade, bloqueando o vector de ataque remoto mais provável através do serviço de cliente WebDAV (Web Distributed Authoring and Versioning). Depois de aplicar esta solução alternativa, os intrusos remotos que consigam explorar esta vulnerabilidade com sucesso ainda poderão fazer com que o sistema execute programas instalados no computador do utilizador visado ou na rede local (LAN), mas os utilizadores receberão um pedido de confirmação antes de abrirem programas arbitrários da Internet.

  Para desactivar o serviço WebClient, siga estes passos:

  1. Clique em Iniciar, clique em Executar, escreva Services.msc e a seguir clique em OK.
  2. Clique com o botão do lado direito do rato no serviço WebClient e seleccione Propriedades.
  3. Altere o tipo de arranque para Desactivado. Se o serviço estiver a ser executado, clique em Parar.
  4. Clique em OK e saia da aplicação de gestão.

  Impacto da solução alternativa. Quando o serviço WebClient estiver desactivado, os pedidos WebDAV (Web Distributed Authoring and Versioning) não são transmitidos. Além disso, quaisquer serviços que dependam explicitamente do serviço WebClient não serão iniciados e será enviada uma mensagem de erro para o registo do sistema. Por exemplo, as partilhas do WebDAV ficarão inacessíveis a partir do computador do cliente.

  Como anular esta solução alternativa.

  Para reactivar o serviço WebClient, siga estes passos:

  1. Clique em Iniciar, clique em Executar, escreva Services.msc e a seguir clique em OK.
  2. Clique com o botão do lado direito do rato no serviço WebClient e seleccione Propriedades.
  3. Altere o tipo de arranque para Automático. Se o serviço não estiver a ser executado, clique em Iniciar.
  4. Clique em OK e saia da aplicação de gestão.
• Bloqueio das portas TCP 139 e 445 na firewall

  Estas portas são utilizadas para iniciar uma ligação com o componente afectado. O bloqueio das portas TCP 139 e 445 na firewall ajudará a impedir que os sistemas protegidos por essa firewall sejam atacados por tentativas de explorar esta vulnerabilidade. A Microsoft recomenda que bloqueie todas as comunicações de entrada não solicitadas a partir da Internet para ajudar a impedir ataques que possam utilizar outras portas. Para obter mais informações sobre portas, consulte o artigo Technet sobre Atribuição de portas TCP e UDP.

  Impacto da solução alternativa. Vários serviços do Windows utilizam as portas afectadas. Bloquear a ligação às portas pode fazer com que diversas aplicações ou serviços não funcionem. Algumas das aplicações ou serviços que podem ser afectados encontram-se listados a seguir:

  • Aplicações que utilizam o SMB (CIFS)
  • Aplicações que utilizam mailslots ou encaminhamentos com nome (named pipes) (RPC sobre SMB)
  • Servidor (Partilha de Ficheiros e Impressoras)
  • Política de Grupos
  • Net Logon
  • Sistema de Ficheiros Distribuídos (DFS)
  • Terminal Server Licensing
  • Spooler de Impressão
  • Browser de Computador
  • Localizador de Chamada de Procedimento Remoto
  • Serviço de Fax
  • Serviço de Indexação
  • Alertas e Registos de Desempenho
  • Systems Management Server
  • Serviço de Registo de Licenças

  Como anular esta solução alternativa. Desbloqueio das portas TCP 139 e 445 na firewall. Para obter mais informações sobre portas, consulte Atribuição de portas TCP e UDP.

Qual é a abrangência desta vulnerabilidade? 
Esta é uma vulnerabilidade de execução remota de código.

O que provoca a vulnerabilidade? 
A vulnerabilidade é provocada quando o Microsoft Lync restringe incorrectamente o caminho utilizado para carregar bibliotecas externas.

Como poderia um intruso utilizar a vulnerabilidade? 
Um intruso que conseguisse explorar esta vulnerabilidade com êxito poderia executar código arbitrário fazendo-se passar pelo utilizador actual. Se o utilizador actual tiver sessão iniciada com direitos de utilizador administrativos, um intruso poderia obter controlo total sobre o sistema afectado. Um intruso poderia então instalar programas; ver, alterar ou eliminar dados; ou ainda criar novas contas com todos os privilégios. Os utilizadores cujas contas estão configuradas com menos direitos de utilização no sistema podem correr menos riscos do que os utilizadores que trabalham com direitos de utilização de administrador.

Como poderia um intruso explorar a vulnerabilidade? 
Um intruso poderia convencer um utilizador a abrir um ficheiro legítimo relacionado com Microsoft Lync (por exemplo, um ficheiro .ocsmeet) localizado no mesmo directório de rede que um ficheiro de biblioteca de hiperligação dinâmica (DLL) especialmente concebido. Nessa altura, ao abrir o ficheiro legítimo, o Microsoft Lync poderia tentar carregar o ficheiro DLL e executar qualquer código aí contido.

Num cenário de ataque através de correio electrónico, um intruso poderia explorar a vulnerabilidade enviando um ficheiro legítimo relacionado com o Microsoft Lync (tal como um ficheiro .ocsmeet) a um utilizador e convencê-lo a colocar o anexo num directório que contivesse um ficheiro DLL especialmente concebido para o efeito e a abrir o ficheiro legítimo. Nessa altura, ao abrir o ficheiro legítimo, o Microsoft Lync poderia tentar carregar o ficheiro DLL e executar qualquer código aí contido.

Num cenário de ataque através da rede, um intruso poderia colocar um ficheiro legítimo relacionado com o Microsoft Lync e um DLL especialmente concebido para o efeito numa partilha de rede, UNC ou WebDAV e convencer o utilizador a abrir o ficheiro.

Quais os sistemas mais susceptíveis a esta vulnerabilidade? 
Os sistemas em que o Microsoft Lync é utilizado, incluindo as estações de trabalho e servidores de terminal, estão mais susceptíveis. Os servidores podem estar mais sujeitos a risco se os administradores permitirem que os utilizadores iniciem sessão nos servidores e executem programas. Contudo, os procedimentos recomendados desencorajam essa acção.

O que faz a actualização? 
A actualização resolve esta vulnerabilidade corrigindo a forma como o Microsoft Lync carrega bibliotecas externas.

Esta vulnerabilidade está relacionada com o Aviso de Segurança da Microsoft 2269637?
Sim, esta vulnerabilidade está relacionada com a classe de vulnerabilidades descrita no Aviso 2269637 da Base de Dados de Conhecimento da Microsoft, que afecta o modo como as aplicações carregam bibliotecas externas.

Quando este boletim de segurança foi publicado, esta vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre esta vulnerabilidade através de divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi publicado, a Microsoft já tinha recebido informações sobre a exploração desta vulnerabilidade? 
Não. A Microsoft ainda não tinha recebido informações que indicassem que esta vulnerabilidade tivesse sido utilizada publicamente para atacar clientes, quando este boletim de segurança foi publicado pela primeira vez.

A Microsoft não identificou quaisquer factores atenuantes para esta vulnerabilidade.

A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.

Qual é a abrangência desta vulnerabilidade? 
Trata-se de uma vulnerabilidade ao nível da divulgação de informações. Um intruso que conseguisse tirar partido desta vulnerabilidade com sucesso poderia realizar ataques de execução de scripts entre sites contra utilizadores do Lync ou Microsoft Communicator. Um intruso poderia então executar potencialmente scripts em nome de um utilizador vitimizado.

O que provoca a vulnerabilidade? 
A vulnerabilidade é provocada pela forma como o SafeHTML sanitiza HTML.

Esta vulnerabilidade está relacionada com CVE-2012-1858 no boletim MS12-037, Actualização de Segurança Cumulativa para o Internet Explorer? 
Sim, a Vulnerabilidade de Sanitização de HTML, CVE-2012-1858, também afecta o Internet Explorer.

Como poderia um intruso utilizar a vulnerabilidade? 
Um intruso que conseguisse tirar partido desta vulnerabilidade com sucesso poderia realizar ataques de execução de scripts entre sites contra utilizadores do Lync ou Microsoft Communicator. Um intruso poderia então executar potencialmente scripts em nome de um utilizador vitimizado.

Como poderia um intruso explorar a vulnerabilidade? 
Para explorar esta vulnerabilidade, um intruso teria de ter a capacidade de enviar um script especialmente concebido para o efeito para uma janela de chat do Lync ou Microsoft Communicator. Devido à vulnerabilidade, em situações específicas, o script especialmente concebido para o efeito não é sanitizado de forma correcta, o que poderia levar subsequentemente à execução de um script fornecido pelo intruso no contexto de segurança de um utilizador que visualizasse o conteúdo malicioso.

Em ataques de processamento de scripts entre sites, esta vulnerabilidade requer que um utilizador receba uma mensagem de chat especialmente concebida para o efeito para que possa ocorrer qualquer acção maliciosa.

Quais os sistemas mais susceptíveis a esta vulnerabilidade? 
Os sistemas em que o Lync ou o Microsoft Communicator sejam frequentemente utilizados, como estações de trabalho ou servidores de terminal, estão mais susceptíveis a esta vulnerabilidade.

O que faz a actualização? 
A actualização resolve a vulnerabilidade modificando a forma como o SafeHTML sanitiza o conteúdo HTML.

Quando este boletim de segurança foi publicado, esta vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre esta vulnerabilidade através de divulgação coordenada de vulnerabilidades.

Quando este boletim de segurança foi publicado, a Microsoft já tinha recebido informações sobre a exploração desta vulnerabilidade? 
Não. A Microsoft ainda não tinha recebido informações que indicassem que esta vulnerabilidade tivesse sido utilizada publicamente para atacar clientes, quando este boletim de segurança foi publicado pela primeira vez.

Tabela de referência

A tabela seguinte contém a informação sobre a actualização de segurança para este software. Pode encontrar informações adicionais na subsecção Informações de Implementação, nesta secção.