Microsoft Security Bulletin MS15-083 - Importante

Vulnerabilidade no bloco de mensagens do servidor pode permitir a execução remota de código (3073921)

Publicado: terça-feira, 11 de agosto de 2015 | Atualizado: September 8, 2015

Versão: 2.0

Resumo executivo

Esta atualização de segurança elimina uma vulnerabilidade no Microsoft Windows. A vulnerabilidade pode permitir a execução remota de código se um invasor enviar uma cadeia de caracteres especialmente criada para o log de erros do servidor SMB.

Esta atualização de segurança é classificada como Importante para todas as edições com suporte do Windows Vista e Windows Server 2008. Para obter mais informações, consulte a seção Softwares afetados.

A atualização de segurança elimina a vulnerabilidade corrigindo determinadas atividades de log para impedir a corrupção de memória. Para obter mais informações sobre a vulnerabilidade, consulte a seção Informações sobre a vulnerabilidade.

Para obter mais informações sobre essa atualização, consulte o artigo 3073921 da Base de Dados de Conhecimento Microsoft.

Softwares afetados

As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.

*A coluna Atualizações substituídas mostra apenas a atualização mais recente em qualquer cadeia de atualizações substituídas. Para obter uma lista abrangente de atualizações substituídas, vá para o Catálogo do Microsoft Update, procure o número KB da atualização e exiba os detalhes da atualização (as informações sobre atualizações substituídas são fornecidas na guia Detalhes do Pacote).

Classificações de gravidade e identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de agosto.

Informações de vulnerabilidade

Vulnerabilidade de corrupção de memória de bloqueio de mensagem de servidor - CVE-2015-2474

Existe uma vulnerabilidade de execução remota de código autenticada no Windows que é causada quando o SMB (Server Message Block) manipula incorretamente determinadas atividades de log, resultando em corrupção de memória. O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais.

Em um cenário de ataque, um invasor possuiria uma credencial válida e enviaria uma cadeia de caracteres especialmente criada para o log de erros do servidor SMB.

A atualização elimina a vulnerabilidade corrigindo determinadas atividades de log para impedir a corrupção de memória. A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes.

Fatores atenuantes

A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.

Soluções Alternativas

As seguintes soluções alternativas podem ser úteis em sua situação:

• Desabilitar SMBv1

  Método 1 (usando o PowerShell):

  1. No Windows Vista e no Windows Server 2008 com PowerShell 2.0 ou mais recente, você pode executar o seguinte comando do PowerShell:

     Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force.
     

  2. Reinicie o sistema.

  Método 2 (use um script de implantação gerenciado):

  1. Crie um arquivo de texto chamado SMBv1-disable.reg que contém o seguinte texto:

     [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
     "SMB1"=dword:00000000
     

  2. Execute regedit.exe.

  3. No Editor do Registro, clique no menu Arquivo e, em seguida, clique em Importar.

  4. Navegue até o arquivo de SMBv1-disable.reg que você criou na primeira etapa e selecione-o. (Observação Se o arquivo não estiver listado onde você espera que ele esteja, certifique-se de que ele não recebeu automaticamente uma extensão de arquivo .txt ou altere os parâmetros de extensão de arquivo da caixa de diálogo para Todos os arquivos).

  5. Clique em Abrir e, em seguida, clique em OK para fechar o Editor do Registro.

  6. Reinicie o sistema.

Impacto da solução alternativa. SMB pode não funcionar corretamente.

Como desfazer a solução alternativa.

Método 1 (usando o PowerShell):

1. No Windows Vista e no Windows Server 2008 com PowerShell 2.0 ou mais recente, você pode executar o seguinte comando do PowerShell:

   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force.
   

2. Reinicie o sistema.

Método 2 (use um script de implantação gerenciado):

1. Crie um arquivo de texto chamado SMBv1-enable.reg que contém o seguinte texto:

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
   "SMB1"=dword:00000001
   

2. Execute regedit.exe. 3. No Editor do Registro, clique no menu Arquivo e, em seguida, clique em Importar. 4. Navegue até o arquivo de SMBv1-enable.reg que você criou na primeira etapa e selecione-o. (Observação Se o arquivo não estiver listado onde você espera que ele esteja, certifique-se de que ele não recebeu automaticamente uma extensão de arquivo .txt ou altere os parâmetros de extensão de arquivo da caixa de diálogo para Todos os arquivos). 5. Clique em Abrir e, em seguida, clique em OK para fechar o Editor do Registro. 6. Reinicie o sistema.

   • Desabilitar a Proteção Estendida para Autenticação no SMB

   Observação Antes de definir quaisquer modos de proteção, consulte o seguinte artigo do MSDN: Visão geral da proteção estendida para autenticação

   1. Clique em Iniciar , clique em Executar , digite Regedit na caixa Abrir e, em seguida, clique em OK .

   2. Navegue até o seguinte local do Registro:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
      

   3. No menu Editar , selecione Novo e clique em Valor DWORD.

   4. Digite "SmbServerNameHardeningLevel" e, em seguida, pressione Enter.

   5. No menu Editar, clique em Modificar.

   6. Defina o valor de SmbServerNameHardeningLevel como 0 e clique em OK.

   7. Feche o Editor do Registro e reinicie o sistema.

   Impacto da solução alternativa. SMB pode não funcionar corretamente.

   Como desfazer a solução alternativa. 

   1. Clique em Iniciar , clique em Executar , digite Regedit na caixa Abrir e, em seguida, clique em OK .

   2. Navegue até o seguinte local do Registro:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
      

   3. Selecione "SmbServerNameHardeningLevel" e pressione Enter.

   4. No menu Editar , clique em Excluir e, em seguida, clique em Sim .

   5. Feche o Editor do Registro e reinicie o sistema.

Implantação de atualização de segurança

Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado aqui no Resumo Executivo.

Agradecimentos

A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

• V1.0 (11 de agosto de 2015): Boletim publicado.
• V2.0 (8 de setembro de 2015): Para abordar de forma abrangente o CVE-2015-2472, a Microsoft relançou a atualização de segurança 3073921 para edições afetadas do Windows Vista e do Windows Server 2008. Os clientes que executam o Windows Vista ou o Windows Server 2008 que instalaram a atualização anteriormente devem reinstalá-la para ficarem totalmente protegidos contra a vulnerabilidade. Consulte o Artigo 3073921 da Base de Dados de Conhecimento Microsoft para obter mais informações.

Página gerada em 08/09/2015 09:23-07:00.