Microsoft Security Bulletin MS15-082 - Importante
Vulnerabilidades no RDP podem permitir a execução remota de código (3080348)
Publicado: terça-feira, 11 de agosto de 2015 | Atualizado: December 23, 2015
Versão: 1.1
Resumo executivo
Esta atualização de segurança resolve vulnerabilidades no Microsoft Windows. A mais grave das vulnerabilidades pode permitir a execução remota de código se um invasor primeiro colocar um arquivo de biblioteca de vínculo dinâmico (DLL) especialmente criado no diretório de trabalho atual do usuário de destino e, em seguida, convencer o usuário a abrir um arquivo RDP (Remote Desktop Protocol) ou iniciar um programa projetado para carregar um arquivo DLL confiável, mas em vez disso carregar o arquivo DLL especialmente criado do invasor. Um invasor que explorar com êxito as vulnerabilidades poderá assumir o controle total de um sistema afetado. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais.
Esta atualização de segurança é classificada como Importante para todas as versões com suporte do Microsoft Window, exceto o Windows 10, que não é afetado. Para obter mais informações, consulte a seção Softwares afetados.
A atualização de segurança elimina a vulnerabilidade corrigindo como o Host da Sessão da Área de Trabalho Remota (RDSH) valida certificados e corrigindo como o RDP carrega determinados binários. Para obter mais informações sobre a vulnerabilidade, consulte a seção Informações sobre a vulnerabilidade.
Para obter mais informações sobre essa atualização, consulte o artigo 3080348 da Base de Dados de Conhecimento Microsoft.
Softwares afetados
As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.
| Sistema operacional | Impacto máximo na segurança | Classificação de gravidade agregada | Atualizações substituídas* |
|---|---|---|---|
| Windows Vista | |||
| Windows Vista Service Pack 2 (3075220) | Falsificação | Importante | 2813345 em MS13-029 |
| Windows Vista Service Pack 2 (3075221)[1] | Falsificação | Importante | 2813347 no boletim MS13-029 |
| Windows Vista x64 Edition Service Pack 2 (3075220) | Falsificação | Importante | 2813345 em MS13-029 |
| Windows Vista x64 Edition Service Pack 2 (3075221)[1] | Falsificação | Importante | 2813347 no boletim MS13-029 |
| Windows Server 2008 | |||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (3075220) | Falsificação | Importante | 2813345 em MS13-029 |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (3075220) | Falsificação | Importante | 2813345 em MS13-029 |
| Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 (3075220) | Falsificação | Importante | 2813345 em MS13-029 |
| Windows 7 | |||
| Windows 7 para sistemas de 32 bits Service Pack 1 (3075220) | Falsificação | Importante | 2813347 no boletim MS13-029 |
| Windows 7 para sistemas de 32 bits Service Pack 1 (3075222)[2] | Execução remota de código | Importante | Nenhum |
| Windows 7 para sistemas de 32 bits Service Pack 1 (3075226)[3] | Execução remota de código | Importante | 3070738 no boletim MS15-069 |
| Windows 7 para sistemas baseados em x64 Service Pack 1 (3075220) | Falsificação | Importante | 2813347 no boletim MS13-029 |
| Windows 7 para sistemas baseados em x64 Service Pack 1 (3075222)[2] | Execução remota de código | Importante | Nenhum |
| Windows 7 para sistemas baseados em x64 Service Pack 1 (3075226)[3] | Execução remota de código | Importante | 3070738 no boletim MS15-069 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (3075220) | Falsificação | Importante | 2813347 no boletim MS13-029 |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (3075222)[2] | Execução remota de código | Importante | Nenhum |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (3075226)[3] | Execução remota de código | Importante | 3070738 no boletim MS15-069 |
| Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 (3075220) | Falsificação | Importante | 2813347 no boletim MS13-029 |
| Windows 8 e Windows 8.1 | |||
| Windows 8 para sistemas de 32 bits (3075220) | Falsificação | Importante | Nenhum |
| Windows 8 para sistemas baseados em x64 (3075220) | Falsificação | Importante | Nenhum |
| Windows 8.1 para sistemas de 32 bits (3075220) | Falsificação | Importante | Nenhum |
| Windows 8.1 para sistemas baseados em x64 (3075220) | Falsificação | Importante | Nenhum |
| Windows Server 2012 e Windows Server 2012 R2 | |||
| Windows Server 2012 (3075220) | Falsificação | Importante | Nenhum |
| Windows Server 2012 R2 (3075220) | Falsificação | Importante | Nenhum |
| Windows RT e Windows RT 8.1 | |||
| Windows RT[4] (3075220) | Falsificação | Importante | Nenhum |
| Windows RT 8.1[4] (3075220) | Falsificação | Importante | Nenhum |
| Opção de instalação Server Core | |||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação Server Core) (3075220) | Falsificação | Importante | Nenhum |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação Server Core) (3075220) | Falsificação | Importante | Nenhum |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) (3075220) | Falsificação | Importante | Nenhum |
| Windows Server 2012 (instalação Server Core) (3075220) | Falsificação | Importante | Nenhum |
| Windows Server 2012 R2 (instalação Server Core) (3075220) | Falsificação | Importante | Nenhum |
[1]Os clientes que executam o RDP 7.0 em edições com suporte do Windows Vista só precisam instalar o 3075221 de atualização. Consulte as Perguntas frequentes sobre atualização para obter mais informações.
[2]Os clientes que executam o RDP 8.0 em edições com suporte do Windows 7 ou Windows Server 2008 R2 precisam apenas instalar o 3075222 de atualização. Consulte as Perguntas frequentes sobre atualização para obter mais informações.
[3]Os clientes que executam o RDP 8.1 em edições com suporte do Windows 7 ou Windows Server 2008 R2 precisam apenas instalar o 3075226 de atualização. Consulte as Perguntas frequentes sobre atualização para obter mais informações.
[4] Esta actualização está disponível apenas através do Windows Update .
*A coluna Atualizações substituídas mostra apenas a atualização mais recente em uma cadeia de atualizações substituídas. Para obter uma lista abrangente de atualizações substituídas, vá para o Catálogo do Microsoft Update, procure o número KB da atualização e exiba os detalhes da atualização (as informações sobre atualizações substituídas estão na guia Detalhes do Pacote ).
Perguntas frequentes sobre atualizações
Estou executando o Windows Vista. Por que não estão sendo oferecidas as duas atualizações listadas na tabela Softwares afetados para o Windows Vista?
A atualização que você precisa instalar depende se você tem o RDP 7.0 instalado no seu computador:
- Se você não tiver o RDP 7.0 instalado, precisará apenas instalar o 3075220 de atualização para estar totalmente protegido contra as vulnerabilidades descritas neste boletim.
- Se você tiver o RDP 7.0 instalado, precisará apenas instalar o 3075221 de atualização para estar totalmente protegido contra as vulnerabilidades descritas neste boletim.
Para obter mais informações sobre o RDP 7.0, consulte o artigo 969084 da Base de Dados de Conhecimento Microsoft.
Estou executando o Windows 7 ou Windows Server 2008 R2. Por que não estão sendo oferecidas todas as três atualizações listadas na tabela Softwares afetados para essas edições do Windows?
A atualização que você precisa instalar depende de qual versão do RDP você instalou no seu computador:
- Se você não tiver nenhuma versão do RDP instalada, precisará apenas instalar o 3075220 de atualização para estar totalmente protegido contra as vulnerabilidades descritas neste boletim.
- Se você tiver o RDP 8.0 instalado, precisará apenas instalar o 3075222 de atualização para estar totalmente protegido contra as vulnerabilidades descritas neste boletim.
- Se você tiver o RDP 8.1 instalado, precisará apenas instalar o 3075226 de atualização para estar totalmente protegido contra as vulnerabilidades descritas neste boletim.
Para obter mais informações sobre o RDP 8.0, consulte o artigo 2592687 da Base de Dados de Conhecimento Microsoft.
Para obter mais informações sobre o RDP 8.1, consulte o artigo 2830477 da Base de Dados de Conhecimento Microsoft.
Classificações de gravidade e identificadores de vulnerabilidade
As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de agosto.
| Classificação de gravidade da vulnerabilidade e impacto máximo na segurança por software afetado | |||
|---|---|---|---|
| Softwares afetados | Vulnerabilidade de falsificação do host da sessão da área de trabalho remota - CVE-2015-2472 | Vulnerabilidade de execução remota de código de plantio de DLL do protocolo de área de trabalho remota - CVE-2015-2473 | Classificação de gravidade agregada |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3075220) | Falsificação importante | Não aplicável | Importante |
| Windows Vista Service Pack 2 (3075221) | Falsificação importante | Não aplicável | Importante |
| Windows Vista x64 Edition Service Pack 2 (3075220) | Falsificação importante | Não aplicável | Importante |
| Windows Vista x64 Edition Service Pack 2 (3075221) | Falsificação importante | Não aplicável | Importante |
| Windows Server 2008 | |||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (3075220) | Falsificação importante | Não aplicável | Importante |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (3075220) | Falsificação importante | Não aplicável | Importante |
| Windows Server 2008 para sistemas baseados em Itanium Service Pack 2 (3075220) | Falsificação importante | Não aplicável | Importante |
| Windows 7 | |||
| Windows 7 para sistemas de 32 bits Service Pack 1 (3075220) | Falsificação importante | Não aplicável | Importante |
| Windows 7 para sistemas de 32 bits Service Pack 1 (3075222) | Falsificação importante | Execução remota de código importante | Importante |
| Windows 7 para sistemas de 32 bits Service Pack 1 (3075226) | Falsificação importante | Execução remota de código importante | Importante |
| Windows 7 para sistemas baseados em x64 Service Pack 1 (3075220) | Falsificação importante | Não aplicável | Importante |
| Windows 7 para sistemas baseados em x64 Service Pack 1 (3075222) | Falsificação importante | Execução remota de código importante | Importante |
| Windows 7 para sistemas baseados em x64 Service Pack 1 (3075226) | Falsificação importante | Execução remota de código importante | Importante |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (3075220) | Falsificação importante | Não aplicável | Importante |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (3075222) | Falsificação importante | Execução remota de código importante | Importante |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (3075226) | Falsificação importante | Execução remota de código importante | Importante |
| Windows Server 2008 R2 para sistemas baseados em Itanium Service Pack 1 (3075220) | Falsificação importante | Não aplicável | Importante |
| Windows 8 e Windows 8.1 | |||
| Windows 8 para sistemas de 32 bits (3075220) | Falsificação importante | Não aplicável | Importante |
| Windows 8 para sistemas baseados em x64 (3075220) | Falsificação importante | Não aplicável | Importante |
| Windows 8.1 para sistemas de 32 bits (3075220) | Falsificação importante | Não aplicável | Importante |
| Windows 8.1 para sistemas baseados em x64 (3075220) | Falsificação importante | Não aplicável | Importante |
| Windows Server 2012 e Windows Server 2012 R2 | |||
| Windows Server 2012 (3075220) | Falsificação importante | Não aplicável | Importante |
| Windows Server 2012 R2 (3075220) | Falsificação importante | Não aplicável | Importante |
| Windows RT e Windows RT 8.1 | |||
| Windows RT (3075220) | Falsificação importante | Não aplicável | Importante |
| Windows RT 8.1 (3075220) | Falsificação importante | Não aplicável | Importante |
| Opção de instalação Server Core | |||
| Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação Server Core) (3075220) | Falsificação importante | Não aplicável | Importante |
| Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação Server Core) (3075220) | Falsificação importante | Não aplicável | Importante |
| Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core) (3075220) | Falsificação importante | Não aplicável | Importante |
| Windows Server 2012 (instalação Server Core) (3075220) | Falsificação importante | Não aplicável | Importante |
| Windows Server 2012 R2 (instalação Server Core) (3075220) | Falsificação importante | Não aplicável | Importante |
Informações de vulnerabilidade
Vulnerabilidade de falsificação do host da sessão da área de trabalho remota - CVE-2015-2472
Existe uma vulnerabilidade de falsificação quando o Host da Sessão de Área de Trabalho Remota (RDSH) valida incorretamente certificados durante a autenticação. O invasor que explorar com êxito essa vulnerabilidade poderá representar a sessão do cliente.
Para explorar a vulnerabilidade, em um ataque man-in-the-middle (MiTM), um invasor pode gerar um certificado não confiável que corresponda ao nome do emissor e ao número de série dos certificados confiáveis. A atualização elimina a vulnerabilidade corrigindo como o RDSH valida certificados.
A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes.
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Vulnerabilidade de execução remota de código de plantio de DLL do protocolo de área de trabalho remota - CVE-2015-2473
Existe uma vulnerabilidade de execução remota de código quando o cliente do Protocolo de Área de Trabalho Remota do Microsoft Windows manipula incorretamente o carregamento de determinados arquivos DLL especialmente criados. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais.
Para explorar esta vulnerabilidade, um intruso teria primeiro de colocar um ficheiro DLL especialmente concebido para o efeito no directório de trabalho actual do utilizador de destino e, em seguida, convencer o utilizador a abrir um ficheiro RDP especialmente concebido para o efeito. Em um cenário de ataque baseado na Web, um invasor pode hospedar um site (ou aproveitar um site comprometido que aceita ou hospeda conteúdo fornecido pelo usuário) que contém um arquivo RDP especialmente criado projetado para explorar a vulnerabilidade. Um invasor não teria como forçar o usuário a visitar o site. Em vez disso, um invasor teria que convencer o usuário a clicar em um link, geralmente por meio de um aliciamento em um email ou mensagem do Instant Messenger.
A atualização elimina a vulnerabilidade corrigindo como o cliente RDP do Windows carrega determinados binários.
A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes.
Fatores atenuantes
Os seguintes fatores atenuantes podem ser úteis em sua situação:
- Por padrão, o serviço de servidor RDP não está habilitado em nenhum sistema operacional Windows. Os sistemas que não têm o serviço de servidor RDP habilitado não correm risco.
Soluções Alternativas
A seguinte solução alternativa pode ser útil em sua situação:
Remover a associação de arquivo .rdp
Aviso Usar o Editor do Registro incorretamente pode causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não garante que problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. Use o Editor do Registro por sua conta e risco. Para obter informações sobre como editar o Registro, consulte o tópico da Ajuda "Alterando chaves e valores" no Editor do Registro (Regedit.exe) ou exiba os tópicos da Ajuda "Adicionar e excluir informações no Registro" e "Editar dados do Registro" no Regedt32.exe.
Método 1 (Editar manualmente o registro do sistema):
Clique em Iniciar , clique em Executar , digite Regedit na caixa Abrir e, em seguida, clique em OK .
Expanda HKEY_CLASSES_ROOT, clique em RDP. Arquivo e, em seguida, clique no menu Arquivo e selecione Exportar.
Na caixa de diálogo Exportar Arquivo do Registro, digite RDPfile HKCR backup.reg de registro de associação de arquivos e clique em Salvar. Isso criará um backup dessa chave do Registro na pasta Meus Documentos por padrão.
Pressione a tecla Delete no teclado para excluir a chave do Registro. Quando solicitado a excluir o valor do Registro, clique em Sim.
Navegue até o seguinte local do Registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExtsClique em .rdp, clique no menu Arquivo e, em seguida, clique em Exportar.
Navegue até o seguinte local do Registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicyNa caixa de diálogo Exportar arquivo do Registro , digite HKCU arquivo de associação de registro backup.reg e, em seguida, clique em Salvar . Isso criará um backup dessa chave do Registro na pasta Meus Documentos por padrão.
Pressione a tecla Delete no teclado para excluir a chave do Registro. Quando solicitado a excluir o valor do Registro, clique em Sim.
Método 2 (Usar um script de implantação gerenciado):
Crie uma cópia de backup das chaves do Registro executando os seguintes comandos:
Regedit.exe /e rdpfile_HKCR_registry_backup.reg HKEY_CLASSES_ROOT\RDP.File Regedit.exe /e rdp_HKCU_registry_backup.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rdpSalve o seguinte em um arquivo com um arquivo . Extensão REG (por exemplo, Delete_rdp_file_association.reg):
Windows Registry Editor Version 5.00 [-HKEY_CLASSES_ROOT\RDP.File] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rdp]Clique em Iniciar , clique em Executar , digite Regedit na caixa Abrir e, em seguida, clique em OK .
Execute o script do Registro criado na etapa b na máquina de destino usando o seguinte comando:
Regedit.exe /s Delete_rdp_file_association.reg
Impacto da solução alternativa. Clicar duas vezes em um arquivo .jnt não iniciará mais o journal.exe
Como desfazer a solução alternativa
Restaure a chave do Registro usando Regedit para restaurar as configurações salvas no . Arquivos REG.
Implantação de atualização de segurança
Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado no Resumo Executivo.
Agradecimentos
A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.
Aviso de isenção de responsabilidade
As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (11 de agosto de 2015): Boletim publicado.
- V1.1 (23 de dezembro de 2015): Boletim revisado para corrigir a opção de instalação Atualizações substituídas para o Server Core no Windows Server 2008 e no Windows Server 2008 R2. Esta é apenas uma alteração informativa. Os clientes que instalaram as atualizações com êxito não precisam executar nenhuma ação adicional.
Página gerada em 22/12/2015 17:33Z-08:00.