Atualização de segurança para o Microsoft Windows (4013078)
Publicado em: 14 de março de 2017
Versão: 1.0
Resumo executivo
Esta atualização de segurança resolve vulnerabilidades no Microsoft Windows. A mais grave das vulnerabilidades pode permitir a execução remota de código se um invasor executar um aplicativo especialmente criado que se conecta a um Servidor iSNS e, em seguida, emite solicitações mal-intencionadas para o servidor.
Esta atualização de segurança é classificada como Crítica para Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows 10 Versão 1607 e Windows Server 2016 e Importante para Windows Vista, Windows 7, Windows 8.1, Windows RT 8.1, Windows 10 e Windows 10 Versão 1511. Para obter mais informações, consulte a seção Softwares afetados e classificações de gravidade da vulnerabilidade.
A atualização de segurança elimina as vulnerabilidades:
Corrigindo como o Device Guard valida determinados elementos de scripts assinados do PowerShell.
Corrigindo como o cliente Microsoft SMBv2/SMBv3 manipula solicitações especialmente criadas.
Corrigindo como o Windows valida a entrada antes de carregar arquivos DLL.
Modificando como o Windows dnsclient manipula solicitações.
Corrigindo como Helppane.exe autentica o cliente.
Modificando como o serviço Servidor iSNS analisa solicitações.
Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre vulnerabilidade.
Para obter mais informações sobre essa atualização, consulte o artigo 4013078 da Base de Dados de Conhecimento Microsoft.
Software afetado e classificações de gravidade da vulnerabilidade
As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.
As classificações de gravidade indicadas para cada software afetado pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de março.
Observação Consulte o Guia de Atualização de Segurança para obter uma nova abordagem para consumir as informações da atualização de segurança. Você pode personalizar suas exibições e criar planilhas de software afetadas, bem como baixar dados por meio de uma API repousante. Para obter mais informações, consulte as Perguntas frequentes sobre o Guia de atualizações de segurança. Como lembrete, o Guia de Atualizações de Segurança substituirá os boletins de segurança. Consulte nossa postagem no blog, Promovendo nosso compromisso com as atualizações de segurança, para obter mais detalhes.
[1]A partir da versão de outubro de 2016, a Microsoft alterou o modelo de serviço de atualização para Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012 e Windows Server 2012 R2. Para obter mais informações, consulte este artigo do Microsoft TechNet.
[2]Esta actualização só está disponível através do Windows Update.
[3]As atualizações do Windows 10 e do Windows Server 2016 são cumulativas. A versão de segurança mensal inclui todas as correções de segurança para vulnerabilidades que afetam o Windows 10, além de atualizações não relacionadas à segurança. As atualizações estão disponíveis por meio do Catálogo do Microsoft Update. Observe que, a partir de 13 de dezembro de 2016, os detalhes do Windows 10 e do Windows Server 2016 para as Atualizações Cumulativas serão documentados nas Notas de Versão. Consulte as Notas de versão para números de compilação do sistema operacional, problemas conhecidos e informações da lista de arquivos afetados.
*A coluna Atualizações substituídas mostra apenas a atualização mais recente em qualquer cadeia de atualizações substituídas. Para obter uma lista abrangente de atualizações substituídas, vá para o Catálogo do Microsoft Update, procure o número KB da atualização e exiba os detalhes da atualização (as informações sobre atualizações substituídas são fornecidas na guia Detalhes do Pacote).
Perguntas frequentes sobre atualizações
Esta atualização contém alguma alteração adicional de funcionalidade relacionada à segurança?
Sim. Além das alterações listadas para as vulnerabilidades descritas neste boletim, esta atualização inclui atualizações de defesa profunda para ajudar a melhorar os recursos relacionados à segurança.
Informações de vulnerabilidade
Vulnerabilidade de desvio do recurso de segurança do Device Guard - CVE-2017-0007
Existe um desvio de recurso de segurança quando o Device Guard não valida corretamente determinados elementos de um script do PowerShell assinado. O invasor que explorar com êxito essa vulnerabilidade poderá modificar o conteúdo de um script do PowerShell sem invalidar a assinatura associada ao arquivo. Como o Device Guard depende da assinatura para determinar que o script não é malicioso, o Device Guard pode permitir a execução de um script mal-intencionado.
Em um cenário de ataque, um invasor pode modificar o conteúdo de um script do PowerShell sem invalidar a assinatura associada ao arquivo.
A atualização elimina a vulnerabilidade corrigindo como o Device Guard valida determinados elementos de scripts assinados do PowerShell.
A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Common Vulnerabilities and Exposures:
Título da vulnerabilidade
Número CVE
Divulgado publicamente
Explorado
Vulnerabilidade de desvio do recurso de segurança do Device Guard
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Vulnerabilidade de negação de serviço de desreferência nula do SMBv2/SMBv3 - CVE-2017-0016
Existe uma vulnerabilidade de negação de serviço em implementações do cliente Microsoft Server Message Block 2.0 e 3.0 (SMBv2/SMBv3). A vulnerabilidade deve-se ao tratamento inadequado de determinadas solicitações enviadas por um servidor SMB mal-intencionado para o cliente. Um intruso que conseguisse explorar esta vulnerabilidade com êxito poderia fazer com que o sistema afectado deixasse de responder até ser reiniciado manualmente.
Para explorar a vulnerabilidade, um invasor pode usar vários métodos, como redirecionadores, links de cabeçalho HTML injetados, etc., o que pode fazer com que o cliente SMB se conecte a um servidor SMB mal-intencionado.
A atualização de segurança elimina a vulnerabilidade corrigindo como o Cliente Microsoft SMBv2/SMBv3 manipula solicitações especialmente criadas.
A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Common Vulnerabilities and Exposures:
Título da vulnerabilidade
Número CVE
Divulgado publicamente
Explorado
SMBv2/SMBv3 Vulnerabilidade de negação de serviço de negação de referência nula
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Vulnerabilidade de execução remota de código ao carregar DLL do Windows - CVE-2017-0039
Existe uma vulnerabilidade de execução remota de código quando o Microsoft Windows não valida corretamente a entrada antes de carregar determinados arquivos de biblioteca de vínculo dinâmico (DLL). O invasor que explorar com êxito a vulnerabilidade poderá assumir o controle de um sistema afetado. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema correm menos riscos do que aqueles que têm direitos de usuário administrativo.
Para explorar a vulnerabilidade, um invasor deve primeiro obter acesso ao sistema local e ter a capacidade de executar um aplicativo mal-intencionado.
A atualização de segurança elimina a vulnerabilidade corrigindo como o Windows valida a entrada antes de carregar arquivos DLL.
A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Common Vulnerabilities and Exposures:
Título da vulnerabilidade
Número CVE
Divulgado publicamente
Explorado
Vulnerabilidade de execução remota de código do Windows
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
As seguintes soluções alternativas podem ser úteis em sua situação:
Usar a diretiva de Bloqueio de Arquivos do Microsoft Office para impedir que o Office abra documentos RTF de fontes desconhecidas ou não confiáveis
Aviso Se você usar o Editor do Registro incorretamente, poderá causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não pode garantir que você possa resolver problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do Registro por sua conta e risco.
Para o Office 2007
Execute regedit.exe como Administrador e navegue até a seguinte subchave:
Defina o valor DWORD RtfFiles como 1. Observação Para usar 'FileOpenBlock' com o Office 2007, todas as atualizações de segurança mais recentes do Office 2007 a partir de maio de 2007 devem ser aplicadas.
Para o Office 2010
Execute regedit.exe como Administrador e navegue até a seguinte subchave:
Impacto da solução alternativa. Os usuários que configuraram a diretiva de Bloqueio de Arquivos e não configuraram um "diretório de isenção" especial, conforme discutido no Artigo 922849 (em inglês) da Microsoft Knowledge Base, não poderão abrir documentos salvos no formato RTF.
Como desfazer a solução alternativa
Para o Office 2007
Execute regedit.exe como Administrador e navegue até a seguinte subchave:
Deixe o valor DWORD OpenInProtectedView definido como 0.
Definir o killbit para IMJPTIP Aviso Se você usar o Editor do Registro incorretamente, poderá causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não pode garantir que você possa resolver problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do Registro por sua conta e risco.
Para obter etapas detalhadas que você pode usar para impedir que um controle seja executado no Internet Explorer, consulte o Artigo 240797 da Base de Dados de Conhecimento Microsoft. Siga estas etapas neste artigo para criar um valor de sinalizadores de compatibilidade no registro para impedir que um objeto COM seja instanciado no Internet Explorer.
Para definir o kill bit para um CLSID com um valor de {03B5835F-F03C-411B-9CE2-AA23E1171E36}, cole o texto a seguir em um editor de texto, como o Bloco de Notas. Em seguida, salve o arquivo usando a extensão de nome de arquivo .reg.
Você pode aplicar esse arquivo de .reg a sistemas individuais clicando duas vezes nele. Você também pode aplicá-lo entre domínios usando a Diretiva de Grupo. Para obter mais informações sobre a diretiva de grupo, visite os seguintes sites:
Observação Você deve reiniciar o Internet Explorer para que as alterações entrem em vigor.
Impacto da solução alternativa Os usuários não poderão abrir documentos salvos no formato RTF.
Como desfazer a solução alternativa A Microsoft não recomenda desmatar (desfazer a ação de matar em) um controle ActiveX. Se você fizer isso, poderá criar vulnerabilidades de segurança. O kill bit normalmente é definido por um motivo que pode ser crítico e, por isso, é preciso ter muito cuidado ao desmatar um controle ActiveX. Além disso, como o procedimento é altamente técnico, não continue a menos que você esteja muito confortável com o procedimento. É uma boa ideia ler todo o procedimento antes de começar.
Vulnerabilidade de divulgação não autorizada de informações de consulta DNS do Windows - CVE-2017-0057
Existe uma vulnerabilidade de divulgação não autorizada de informações quando o Windows dnsclient não consegue lidar corretamente com as solicitações. O invasor que explorar com êxito a vulnerabilidade poderá obter informações para comprometer ainda mais o sistema do usuário.
Há várias maneiras pelas quais um invasor pode explorar a vulnerabilidade:
Se o destino for uma estação de trabalho, o invasor poderá convencer um usuário a visitar uma página da Web não confiável. Se o destino for um servidor, o invasor terá que enganar o servidor para enviar uma consulta DNS a um servidor DNS mal-intencionado.
A atualização de segurança elimina a vulnerabilidade modificando como o Windows dnsclient manipula solicitações.
A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Common Vulnerabilities and Exposures:
Título da vulnerabilidade
Número CVE
Divulgado publicamente
Explorado
Vulnerabilidade de divulgação não autorizada de informações de consulta DNS do Windows
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Vulnerabilidade de elevação de privilégio no Painel de Ajuda do Windows - CVE-2017-0100
Existe uma elevação de privilégio no Windows quando um objeto DCOM no Helppane.exe configurado para ser executado quando o usuário interativo não consegue autenticar corretamente o cliente. O invasor que explorar com êxito a vulnerabilidade poderá executar código arbitrário na sessão de outro usuário.
Para explorar a vulnerabilidade, um invasor primeiro teria que fazer logon no sistema. Um invasor pode então executar um aplicativo especialmente criado que pode explorar a vulnerabilidade quando outro usuário fizer logon no mesmo sistema por meio dos Serviços de Terminal ou da Troca Rápida de Usuário.
A atualização elimina a vulnerabilidade corrigindo como Helppane.exe autentica o cliente.
A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Common Vulnerabilities and Exposures:
Título da vulnerabilidade
Número CVE
Divulgado publicamente
Explorado
Vulnerabilidade de elevação de privilégio do Painel de Ajuda do Windows
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Vulnerabilidade de corrupção de memória do servidor iSNS - CVE-2017-0104
Existe uma vulnerabilidade de execução remota de código no Windows quando o serviço Servidor iSNS falha ao validar corretamente a entrada do cliente, levando a um estouro de inteiro. O invasor que explorar com êxito a vulnerabilidade poderá executar código arbitrário no contexto da conta SYSTEM.
Um invasor pode explorar a vulnerabilidade criando um aplicativo especialmente criado para se conectar ao Servidor iSNS e, em seguida, emitir solicitações mal-intencionadas para ele.
A atualização elimina a vulnerabilidade modificando como o serviço Servidor iSNS analisa solicitações.
A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Common Vulnerabilities and Exposures:
Título da vulnerabilidade
Número CVE
Divulgado publicamente
Explorado
Vulnerabilidade de corrupção de memória do servidor iSNS
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Implantação de atualização de segurança
Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado no Resumo Executivo.
Agradecimentos
A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.
Aviso de isenção de responsabilidade
As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
As an Information Security Administrator, you plan and implement information security of sensitive data by using Microsoft Purview and related services. You’re responsible for mitigating risks by protecting data inside collaboration environments that are managed by Microsoft 365 from internal and external threats and protecting data used by AI services. You also implement information protection, data loss prevention, retention, insider risk management, and manage information security alerts and activities.