Consultoria de Segurança
Comunicado de Segurança da Microsoft 2264072
Elevação de privilégio usando o Windows Service Isolation Bypass
Publicado em: 10 de agosto de 2010
Versão: 1.0
Informações Gerais
Resumo executivo
A Microsoft está ciente do potencial de ataques que aproveitam o recurso Isolamento de Serviço do Windows para obter elevação de privilégio. Este comunicado discute possíveis cenários de ataque e fornece ações sugeridas que podem ajudar a proteger contra esse problema. Este comunicado também oferece uma atualização não relacionada à segurança para um dos possíveis cenários de ataque por meio do TAPI (Interfaces de Programação de Aplicativos) de Telefonia do Windows.
Esse problema afeta cenários em que código não confiável está sendo executado em um processo de propriedade da conta NetworkService. Nesses cenários, é possível que um invasor eleve de processos em execução como a conta NetworkService para processos em execução como a conta LocalSystem em um servidor de destino. Um invasor que com êxito elevado a processos em execução como a conta LocalSystem pode executar código arbitrário e assumir o controle total de um sistema afetado. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais.
Embora, na maioria das situações, o código não confiável não esteja sendo executado sob a identidade NetworkService, os seguintes cenários foram identificados como possíveis exceções:
- Os sistemas que executam o IIS (Serviços de Informações da Internet) em uma configuração não padrão correm um risco maior, especialmente se o IIS estiver sendo executado no Windows Server 2003 e no Windows Server 2008, porque a identidade do processo de trabalho padrão nesses sistemas é NetworkService.
- Os sistemas que executam o SQL Server em que os usuários recebem privilégios administrativos do SQL Server correm um risco maior.
- Os sistemas que executam o Windows Telephony Application Programming Interfaces (TAPI) correm um risco maior.
Para obter informações mais detalhadas sobre os cenários acima, consulte a seção Perguntas frequentes. Para o cenário TAPI, a Microsoft está fornecendo uma atualização não relacionada à segurança. Para obter mais informações sobre a atualização não relacionada à segurança, consulte a seção Perguntas frequentes especificamente sobre a vulnerabilidade de TAPI (interfaces de programação de aplicativos) de telefonia do Windows - CVE-2010-1886.
Além disso, estamos trabalhando ativamente com parceiros em nosso Microsoft Active Protections Program (MAPP) para fornecer informações que eles possam usar para fornecer proteções mais amplas aos clientes.
Detalhes do Comunicado
Referências de edições
Para obter mais informações sobre esse problema, consulte as seguintes referências:
| Referências | Identificação |
|---|---|
| Referência CVE | CVE-2010-1886 |
| Artigo da Base de Dados de Conhecimento Microsoft | 2264072 |
| Artigo da Base de Dados de Conhecimento Microsoft para atualização não relacionada à segurança TAPI | 982316 |
Software afetado e não afetado
Este comunicado aborda o seguinte software.
| Softwares afetados |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edição Service Pack 2 |
| Windows Server 2003 com SP2 para sistemas baseados em Itanium |
| Windows Vista Service Pack 1 e Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 |
| Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 |
| Windows 7 para sistemas de 32 bits |
| Windows 7 para sistemas baseados em x64 |
| Windows Server 2008 R2 para sistemas baseados em x64 |
| Windows Server 2008 R2 for Itanium-Based Systems |
Perguntas frequentes
Qual o escopo da assessoria?
O comunicado de segurança aborda o potencial de ataques que aproveitam o recurso Isolamento de Serviço do Windows, ajudando a esclarecer o uso adequado e os limites do recurso Isolamento de Serviço do Windows e fornecendo soluções alternativas.
Este comunicado de segurança também fornece notificação de uma atualização opcional não relacionada à segurança disponível para download no Centro de Download da Microsoft para abordar um vetor de ataque por meio de TAPI (Interfaces de Programação de Aplicativos) de Telefonia do Windows.
Esta é uma vulnerabilidade de segurança que exige que a Microsoft emita uma atualização de segurança?
Não. O recurso Isolamento de Serviço do Windows é uma configuração opcional que alguns clientes podem optar por implantar. Esse recurso não é apropriado para todos os clientes. O Isolamento de Serviço do Windows é um recurso de defesa profunda e não um limite de segurança adequado e não deve ser interpretado como tal.
O que é o recurso Isolamento de Serviço do Windows?
O recurso Isolamento de Serviço do Windows não corrige uma vulnerabilidade de segurança, mas é um recurso de defesa profunda que pode ser útil para alguns clientes. Por exemplo, o isolamento de serviço permite o acesso a objetos específicos sem a necessidade de executar uma conta de alto privilégio ou enfraquecer a proteção de segurança do objeto. Ao usar uma entrada de controle de acesso que contenha uma SID de serviço, um serviço SQL Server pode restringir o acesso aos recursos. Para obter mais informações sobre esse recurso e como configurá-lo adequadamente, consulte o Artigo 2264072 (em inglês) da Microsoft Knowledge Base.
O que é o privilégio "representar um cliente após autenticação"?
Atribuir esse privilégio a um usuário permite que programas em execução em nome desse usuário representem um cliente. Exigir esse direito de usuário para esse tipo de representação impede que um usuário não autorizado convença um cliente a se conectar (por exemplo, por RPC (chamada de procedimento remoto) ou pipes nomeados) a um serviço que ele criou e, em seguida, representar esse cliente, o que pode elevar as permissões do usuário não autorizado a níveis administrativos ou do sistema.
O que é a Conta NetworkService?
A conta NetworkService é uma conta local predefinida usada pelo gerenciador de controle de serviço. Ele tem privilégios especiais no computador local e atua como o computador na rede. Um serviço executado no contexto da conta NetworkService apresenta as credenciais do computador para servidores remotos. Para obter mais informações, consulte o artigo do MSDN, NetworkService Account.
Como o IIS é afetado por esse problema?
Os sistemas que executam código fornecido pelo usuário no IIS (Serviços de Informações da Internet) podem ser afetados. Por exemplo, filtros ISAPI, extensões ISAPI e código ASP.NET em execução em confiança total podem ser afetados por esta vulnerabilidade.
Os servidores IIS correm um risco reduzido para os ataques descritos neste comunicado nos seguintes cenários:
- As instalações padrão do IIS 5.1, IIS 6.0 e IIS 7.0 bloqueiam o vetor de ataque de usuários anônimos porque, na configuração padrão, carregamentos anônimos não são permitidos.
- Todos os vetores de ataque conhecidos por meio do IIS são bloqueados onde ASP.NET está configurado para ser executado com um nível de confiança inferior à confiança total.
Para ser bem-sucedido em um servidor Web, um invasor primeiro teria que adicionar conteúdo da Web especialmente criado a um site do IIS. Um invasor pode usar o acesso a esse conteúdo da Web especialmente criado para elevar a processos em execução como LocalSystem.
Normalmente, usuários não confiáveis não têm permissão para adicionar conteúdo da Web a um site do IIS. No entanto, alguns hosts da Web correm mais risco de ataques porque oferecem explicitamente hospedagem para conteúdo da Web de terceiros.
O IIS no Windows Server 2003 e no Windows Server 2008 pode estar mais em risco para esse problema, já que a identidade do processo de trabalho padrão é NetworkService.
Como um invasor pode explorar o problema em um servidor IIS?
Um invasor pode carregar uma página da Web especialmente criada em um site e usar o acesso a essa página para elevar a processos em execução como LocalSystem. Isso também pode incluir o carregamento de conteúdo especialmente criado para sites que aceitam ou hospedam conteúdo fornecido pelo usuário ou anúncios. Também pode ser possível exibir conteúdo da Web especialmente criado usando anúncios de banner ou usando outros métodos para entregar conteúdo da Web aos sistemas afetados.
Como o SQL Server é afetado por esse problema?
Os sistemas que executam o SQL Server podem ser afetados se um usuário receber privilégios administrativos do SQL Server (o que permitiria que o usuário carregasse e executasse código). Um usuário com privilégios administrativos do SQL Server pode executar código especialmente criado que é usado para aproveitar o ataque. No entanto, esse privilégio não é concedido por padrão.
Como um invasor pode explorar o problema em um servidor SQL?
Um usuário com privilégios administrativos do SQL Server pode executar código especialmente criado usado para aproveitar o ataque ao SQL Server afetado.
Como a TAPI é afetada por esse problema?
Para obter informações sobre como o TAPI (Windows Telephony Application Programming Interfaces) é afetado por esse problema, consulte a próxima seção, Perguntas frequentes especificamente sobre a vulnerabilidade de TAPI (Windows Telephony Application Programming Interfaces) - CVE-2010-1886.
Para que um invasor pode usar esse problema?
Um invasor que explorar com êxito esse problema poderá executar código especialmente criado no contexto da conta LocalSystem. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou crie novas contas com direitos totais do LocalSystem.
Quais são os sistemas que mais correm risco com esse problema?
Todos os sistemas que executam o software listado na seção Visão geral estão em risco, mas o Windows XP Professional Service Pack 3 e todas as edições com suporte do Windows Server 2003 e do Windows Server 2008 que executam o IIS correm um risco maior.
Além disso, os servidores Web do IIS que permitem que os usuários carreguem código correm maior risco. Isso pode incluir provedores de hospedagem na Web ou ambientes semelhantes.
Os sistemas do SQL Server estarão em risco se usuários não confiáveis receberem acesso privilegiado à conta.
Estou usando uma versão mais antiga do software discutido neste comunicado de segurança. O que devo fazer?
Os softwares afetados listados neste comunicado foram testados para determinar quais versões são afetadas. Outras versões já passaram do ciclo de vida de suporte. Para obter mais informações sobre o ciclo de vida do produto, visite o site do Ciclo de Vida do Suporte da Microsoft.
Deve ser uma prioridade para os clientes que têm versões mais antigas do software migrar para versões com suporte para evitar a exposição potencial a vulnerabilidades. Para determinar o ciclo de vida de suporte para sua versão de software, consulte Selecionar um produto para obter informações sobre o ciclo de vida. Para obter mais informações sobre service packs para essas versões de software, consulte Service Packs com suporte no ciclo de vida.
Os clientes que precisam de suporte personalizado para software mais antigo devem entrar em contato com o representante da equipe de contas da Microsoft, o gerente técnico de contas ou o representante de parceiro da Microsoft apropriado para obter opções de suporte personalizadas. Os clientes sem um Contrato Alliance, Premier ou Autorizado podem entrar em contato com o escritório de vendas local da Microsoft. Para obter informações de contacto, visite o Web site Microsoft Worldwide Information , seleccione o país na lista de informações de contacto e, em seguida, clique em Ir para ver uma lista de números de telefone. Quando ligar, peça para falar com o gerente de vendas do Suporte Premier local. Para obter mais informações, consulte as Perguntas frequentes sobre a Política de Ciclo de Vida do Suporte da Microsoft.
Perguntas frequentes especificamente sobre a vulnerabilidade de TAPI (interfaces de programação de aplicativos de telefonia) do Windows - CVE-2010-1886
Onde posso encontrar a atualização não relacionada à segurança para esta vulnerabilidade?
A atualização está disponível para download somente no Centro de Download da Microsoft. Para obter mais informações sobre a atualização, incluindo links para download e as alterações de comportamento, consulte o Artigo 982316 (em inglês) da Microsoft Knowledge Base.
O que é a TAPI (Windows Telephony Application Programming Interface)?
O servidor TAPI (TAPISRV) é o repositório central de dados de telefonia em um computador do usuário. Esse processo de serviço rastreia recursos de telefonia local e remota, aplicativos registrados para lidar com solicitações de Telefonia Assistida e funções assíncronas pendentes, além de permitir uma interface consistente com provedores de serviços de telefonia (TSPs). Para obter mais informações e um diagrama que ilustra a relação do servidor TAPI com outros componentes e uma visão geral de suas funções, consulte Modelo de programação de telefonia da Microsoft.
O que causa essa ameaça?
A vulnerabilidade se deve ao recurso de transação TAPI (Windows Telephony Application Programming Interfaces), que permite que o token NetworkService seja obtido e usado ao fazer uma chamada RPC.
Esta é uma vulnerabilidade de segurança que exige que a Microsoft emita uma atualização de segurança?
Não. Esta atualização implementa uma alteração de defesa profunda que alguns clientes podem optar por implantar. Os clientes que não executam o IIS ou o SQL, ou aqueles que implementaram as soluções alternativas listadas abaixo, devem avaliar essa atualização de defesa profunda antes de aplicá-la.
Este é um comunicado de segurança sobre uma atualização não relacionada à segurança. Isso não é uma contradição?
Os avisos de segurança abordam alterações de segurança que podem não exigir um boletim de segurança, mas ainda podem afetar a segurança geral do cliente. Os avisos de segurança são uma maneira de a Microsoft comunicar informações relacionadas à segurança aos clientes sobre problemas que podem não ser classificados como vulnerabilidades e podem não exigir um boletim de segurança ou sobre problemas para os quais nenhum boletim de segurança foi lançado. Nesse caso, estamos comunicando a disponibilidade de uma atualização que afeta sua capacidade de executar atualizações subsequentes, incluindo atualizações de segurança. Portanto, este comunicado não aborda uma vulnerabilidade de segurança específica; em vez disso, ele aborda sua segurança geral.
Por que a Microsoft está emitindo uma atualização para esse componente?
Embora esta não seja uma vulnerabilidade que exija a emissão de uma atualização de segurança, um invasor pode elevar de NetworkService para LocalSystem usando o serviço TAPI, que é executado como sistema. Um invasor já deve estar executando com privilégios elevados para explorar esse problema. Esse isolamento de serviço foi implementado apenas como uma medida de defesa em profundidade e não constitui um limite de segurança.
Quais são os sistemas que mais correm risco com essa vulnerabilidade?
Os sistemas que executam o Windows Telephony Application Programming Interfaces (TAPI) são os que correm mais risco. Isso pode incluir todos os sistemas que executam o software listado na seção Visão geral . Além disso, o Windows XP Professional Service Pack 3 e todas as edições com suporte do Windows Server 2003 e do Windows Server 2008 que executam o IIS, os servidores Web IIS que permitem que os usuários carreguem código e os sistemas do SQL Server em que usuários não confiáveis recebem acesso privilegiado à conta correm um risco maior. Isso pode incluir provedores de hospedagem na Web ou ambientes semelhantes.
Para que um invasor pode usar essa vulnerabilidade?
O invasor que explorar com êxito essa vulnerabilidade poderá executar código especialmente criado com privilégios no nível do sistema. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais. Um invasor já deve ter permissões para executar código como NetworkService para explorar com êxito esse problema.
Fatores atenuantes e ações sugeridas
Fatores atenuantes
Mitigação refere-se a uma configuração, configuração comum ou prática recomendada geral, existente em um estado padrão, que pode reduzir a gravidade da exploração de uma vulnerabilidade. Os seguintes fatores atenuantes podem ser úteis em sua situação:
- O invasor deve ser capaz de executar código como a conta NetworkService no sistema de destino para explorar essa vulnerabilidade.
- Os servidores IIS que usam as configurações padrão não são afetados por esse problema.
Soluções Alternativas
Solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige o problema subjacente, mas que ajudaria a bloquear vetores de ataque conhecidos antes que uma atualização de segurança esteja disponível. A Microsoft testou as seguintes soluções alternativas e estados na discussão se uma solução alternativa reduz a funcionalidade:
Configurar o WPI para pools de aplicativos no IIS
Para o IIS 6.0, execute as seguintes etapas:
- No Gerenciador do IIS, expanda o computador local, expanda Pools de Aplicativos, clique com o botão direito do mouse no pool de aplicativos e selecione Propriedades.
- Clique na guia Identidade e clique em Configurável. Nas caixas de texto Nome de usuário e Senha , digite o nome de usuário e a senha da conta sob a qual você deseja que o processo de trabalho opere.
- Adicione a conta de usuário escolhida ao grupo IIS_WPG.
Para o IIS 7.0 e superior, execute as seguintes etapas:
- Em um prompt de comando elevado, altere para o diretório %systemroot%\system32\inetsrv.
- Execute o comando APPCMD.exe usando a sintaxe a seguir, onde string é o nome do pool de aplicativos; **userName:**string é o nome de usuário da conta atribuída ao pool de aplicativos; e **password:**string é a senha da conta.
appcmd set config /section:applicationPools / [name='string'].processModel.identityType:SpecificUser / [name='string'].processModel.userName:string /
[nome='string'].processModel.password:string
Aplicar a atualização não relacionada à segurança para CVE-2010-1886
Aplique a atualização não relacionada à segurança para a vulnerabilidade de TAPI (Windows Telephony Application Programming Interfaces) (CVE-2010-1886) disponível para download somente no Centro de Download da Microsoft. Para obter mais informações sobre a atualização, incluindo links para download e as alterações de comportamento, consulte o Artigo 982316 (em inglês) da Microsoft Knowledge Base.
Ações adicionais sugeridas
Proteja seu PC
Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu computador de habilitar um firewall, obter atualizações de software e instalar software antivírus. Os clientes podem saber mais sobre essas etapas visitando Proteja seu computador.
Para obter mais informações sobre como se manter seguro na Internet, visite a Central de Segurança da Microsoft.
Mantenha o Windows atualizado
Todos os usuários do Windows devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Windows Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver as Atualizações Automáticas habilitadas, as atualizações serão entregues a você quando forem lançadas, mas você precisará se certificar de instalá-las.
Outras Informações
Agradecimentos
A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:
- Cesar Cerrudo da Argeniss por trabalhar conosco na vulnerabilidade de TAPI (Windows Telephony Application Programming Interfaces) (CVE-2010-1886)
Programa de Proteção Ativa da Microsoft (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal da atualização de segurança. Os provedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis a partir de provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).
Feedback
- Você pode fornecer comentários preenchendo o formulário de Ajuda e Suporte da Microsoft, Atendimento ao Cliente Fale Conosco.
Suporte
- Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
- O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de isenção de responsabilidade
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (10 de agosto de 2010): Comunicado publicado.
Construído em 2014-04-18T13:49:36Z-07:00