Consultoria de Segurança
Comunicado de Segurança da Microsoft 922437
Código de exploração publicado que afeta o serviço de servidor
Publicado: terça-feira, 11 de agosto de 2006 | Atualizado: August 13, 2006
A Microsoft está ciente de relatórios públicos sobre um ataque conhecido como Win32/Graweg explorando a vulnerabilidade abordada pela atualização de segurança MS06-040. A investigação inicial da Microsoft sobre o Win32/Graweg verificou que ele afeta apenas os usuários que executam o Windows 2000 que não aplicaram a atualização detalhada no boletim MS06-040. A Microsoft ativou seu processo de resposta de emergência e continua investigando esse problema.
Os parceiros da Microsoft Security Response Alliance, bem como nossas próprias equipes internas, determinaram que não há impacto generalizado no cliente e classificaram o Win32/Graweg como uma ameaça baixa. No momento, não parece ser um worm auto-replicante em toda a internet.
A Microsoft continua a recomendar que os clientes apliquem as atualizações de agosto o mais rápido possível, com urgência adicional e consideração dada à atualização detalhada no boletim MS06-040. Os clientes podem garantir que as atualizações estão sendo instaladas habilitando o recurso Atualizações Automáticas no Windows ou usando sua infraestrutura de implantação em sua empresa ou pequena empresa.
Os clientes que acreditam que estão infectados ou não têm certeza se estão infectados pelo Win32/Graweg devem visitar Safety.live.com e escolher "Verificação de proteção". Além disso, o Windows Live OneCare da Microsoft fornece detecção contra Win32/Graweg e suas variantes conhecidas.
Os clientes que acreditam ter sido atacados devem entrar em contato com o escritório local do FBI ou relatar sua situação a www.ic3.gov. Clientes fora dos EUA devem entrar em contato com a agência nacional de aplicação da lei em seu país Os clientes que acreditam que são afetados podem entrar em contato com os Serviços de Suporte ao Produto. Entre em contato com os Serviços de Suporte ao Produto na América do Norte para obter ajuda com problemas de atualização de segurança ou vírus gratuitamente usando a linha PC Safety (1866-PCSAFETY) e clientes internacionais usando qualquer método encontrado neste local: https:.
Fatores atenuantes:
- Os clientes que instalaram a atualização de segurança MS06-040 não são afetados por esta vulnerabilidade.
- Embora a instalação da atualização seja a ação recomendada, os clientes que aplicaram as atenuações identificadas no boletim MS06-040 terão minimizado sua exposição e potencial capacidade de exploração contra um ataque.
Informações Gerais
Visão geral
Objetivo do Comunicado: Notificação da disponibilidade de uma atualização de segurança para ajudar a proteger contra essa ameaça potencial.
Status do comunicado: Como esse problema já foi resolvido como parte do boletim de segurança MS06-040 , nenhuma atualização adicional é necessária.
Recomendação: Instale a atualização de segurança MS06-040 para ajudar a proteger contra esta vulnerabilidade.
| Referências | Identificação |
|---|---|
| Referência CVE | CVE-2006-3439 |
| Boletim de Segurança | MS06-040 |
Este comunicado aborda o seguinte software.
| Software relacionado |
| Microsoft Windows 2000 Service Pack 4 |
| Microsoft Windows XP Service Pack 1 |
Perguntas frequentes
Qual o escopo da assessoria?
A Microsoft está ciente da publicação pública de código de exploração direcionado à vulnerabilidade identificada na Atualização de Segurança da Microsoft MS06-040. Isso afeta o software listado na seção "Visão geral"
Esta é uma vulnerabilidade de segurança que exige que a Microsoft emita uma atualização de segurança?
Não. Os clientes que instalaram a atualização de segurança MS06-040 não são afetados por esta vulnerabilidade. Nenhuma atualização adicional é necessária.
O que causa a vulnerabilidade?
Um buffer não verificado no serviço Servidor.
Como um invasor pode explorar a vulnerabilidade?
Um invasor pode tentar explorar a vulnerabilidade criando uma mensagem especialmente criada e enviando a mensagem para um sistema afetado. A mensagem pode fazer com que o sistema afetado execute o código.
O que é o serviço Servidor?
O serviço Servidor fornece suporte a RPC, suporte a impressão de arquivos e compartilhamento de pipe nomeado pela rede. O serviço Servidor permite o compartilhamento de seus recursos locais (como discos e impressoras) para que outros usuários na rede possam acessá-los. Ele também permite a comunicação de pipe nomeado entre aplicativos em execução em outros computadores e seu computador, que é usado para RPC.
Para que um invasor pode usar essa função?
O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total do sistema afetado.
Existem problemas conhecidos com a instalação da Atualização de Segurança da Microsoft MS06-040 que protege contra essa ameaça?
Não. A Microsoft continua a incentivar os clientes a instalar a atualização imediatamente.
Ações sugeridas
Se você instalou a atualização lançada com o Boletim de Segurança MS06-040, já está protegido contra o ataque identificado no código de prova de conceito publicado publicamente. Se você não tiver instalado a atualização, os clientes devem aplicar as atenuações identificadas no boletim MS06-040.
Mantenha o Windows atualizado
Todos os usuários do Windows devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o site Microsoft Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver as Atualizações Automáticas habilitadas, as atualizações serão entregues a você quando forem lançadas, mas você precisará se certificar de instalá-las.
Bloquear as portas TCP 139 e 445 no firewall
Essa porta é usada para iniciar uma conexão com o protocolo afetado. Bloqueá-los no firewall, tanto de entrada quanto de saída, ajudará a impedir que os sistemas que estão atrás desse firewall tentem explorar essa vulnerabilidade. Recomendamos que você bloqueie todas as comunicações de entrada não solicitadas da Internet para ajudar a evitar ataques que possam usar outras portas. Para obter mais informações sobre portas, visite o seguinte site.
Habilitar filtragem avançada de TCP/IP em sistemas
Você pode habilitar a filtragem TCP/IP avançada para bloquear todo o tráfego de entrada não solicitado. Para obter mais informações sobre como configurar a filtragem TCP/IP, consulte o artigo 309798 da Base de Dados de Conhecimento Microsoft.
Bloquear as portas afetadas usando IPsec nos sistemas afetados
Use o protocolo IPsec para ajudar a proteger as comunicações de rede. Informações detalhadas sobre IPsec e sobre como aplicar filtros estão disponíveis no Artigo 313190 (em inglês) e no Artigo 813878 (em inglês) da Microsoft Knowledge Base.
Proteja seu PC
Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu PC de habilitar um firewall, obter atualizações de software e instalar software antivírus. Os clientes podem saber mais sobre essas etapas visitando o site Proteja seu PC.
Para obter mais informações sobre como se manter seguro na Internet, os clientes podem visitar a Home Page de Segurança daMicrosoft.
Os clientes que acreditam ter sido atacados devem entrar em contato com o escritório local do FBI ou postar sua reclamação no site do Internet Fraud Complaint Center. Clientes fora dos EUA devem entrar em contato com a agência nacional de aplicação da lei em seu país. Todos os clientes devem aplicar as atualizações de segurança mais recentes lançadas pela Microsoft para ajudar a garantir que seus sistemas estejam protegidos contra tentativas de exploração. Os clientes que ativaram as Atualizações Automáticas receberão automaticamente todas as atualizações do Windows. Para obter mais informações sobre atualizações de segurança, visite o site de segurança da Microsoft.
Outras Informações
Recursos:
- Você pode fornecer comentários preenchendo o formulário visitando o seguinte site.
- Os clientes nos EUA e no Canadá podem receber suporte técnico do Atendimento Microsoft. Para obter mais informações sobre as opções de suporte disponíveis, consulte o site de Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite o site de suporte internacional.
- O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de Isenção de Responsabilidade:
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões:
- 11 de agosto de 2006: Comunicado publicado.
- 13 de agosto de 2006: Comunicado atualizado para detalhar a atividade relacionada ao Win32/Graweg.
Construído em 2014-04-18T13:49:36Z-07:00</https:>