• Artigo

Assessoria de Segurança

Comunicado de Segurança da Microsoft 2264072

Elevação de privilégio usando o desvio de isolamento de serviço do Windows

Publicado em: 10 de agosto de 2010

Versão: 1.0

Informações Gerais

Resumo Executivo

A Microsoft está ciente do potencial de ataques que aproveitam o recurso de isolamento de serviço do Windows para obter elevação de privilégio. Este comunicado discute possíveis cenários de ataque e fornece ações sugeridas que podem ajudar a proteger contra esse problema. Este comunicado também oferece uma atualização não relacionada à segurança para um dos possíveis cenários de ataque por meio do Windows Telephony Application Programming Interfaces (TAPI).

Esse problema afeta cenários onde código não confiável está sendo executado dentro de um processo de propriedade da conta NetworkService. Nesses cenários, é possível que um invasor eleve de processos em execução como a conta NetworkService para processos em execução como a conta LocalSystem em um servidor de destino. Um invasor que tenha sido elevado com êxito a processos em execução como a conta LocalSystem pode executar código arbitrário e assumir o controle total de um sistema afetado. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos de utilizador completos.

Embora, na maioria das situações, o código não confiável não esteja sendo executado sob a identidade NetworkService, os seguintes cenários foram identificados como possíveis exceções:

  • Os sistemas que executam o IIS (Serviços de Informações da Internet) em uma configuração não padrão correm um risco maior, especialmente se o IIS estiver sendo executado no Windows Server 2003 e no Windows Server 2008, porque a identidade do processo de trabalho padrão nesses sistemas é NetworkService.
  • Os sistemas que executam o SQL Server em que os usuários recebem privilégios administrativos do SQL Server correm um risco maior.
  • Os sistemas que executam o Windows Telephony Application Programming Interfaces (TAPI) correm um risco aumentado.

Para obter informações mais detalhadas sobre os cenários acima, consulte a seção Perguntas frequentes. Para o cenário TAPI, a Microsoft está fornecendo uma atualização não relacionada à segurança. Para obter mais informações sobre a atualização não relacionada à segurança, consulte a seção Perguntas freqüentes especificamente sobre a vulnerabilidade TAPI (Windows Telephony Application Programming Interfaces) - CVE-2010-1886.

Além disso, estamos trabalhando ativamente com parceiros em nosso Microsoft Ative Protections Program (MAPP) para fornecer informações que eles possam usar para fornecer proteções mais amplas aos clientes.

Detalhes do Comunicado

Referências de Edições

Para obter mais informações sobre esse problema, consulte as seguintes referências:

Referências Identificação
Referência CVE CVE-2010-1886
Artigo da Base de Dados de Conhecimento Microsoft 2264072
Artigo da Base de Dados de Conhecimento Microsoft para atualização não relacionada à segurança TAPI 982316

Software afetado e não afetado

Este comunicado descreve o seguinte software.
Software afetado
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 com SP2 para sistemas baseados em Itanium
Windows Vista Service Pack 1 e Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2
Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas baseados em x64 Service Pack 2
Windows Server 2008 para sistemas baseados em Itanium Service Pack 2
Windows 7 para sistemas de 32 bits
Windows 7 para sistemas baseados em x64
Windows Server 2008 R2 para sistemas baseados em x64
Windows Server 2008 R2 for Itanium-based Systems

Perguntas Mais Frequentes

Qual é o âmbito do aconselhamento?
O comunicado de segurança aborda o potencial de ataques que aproveitam o recurso Isolamento de Serviço do Windows, ajudando a esclarecer o uso adequado e os limites do recurso Isolamento de Serviço do Windows e fornecendo soluções alternativas.

Este comunicado de segurança também fornece notificação de uma atualização opcional não relacionada à segurança disponível para download no Centro de Download da Microsoft para abordar um vetor de ataque por meio do Windows Telephony Application Programming Interfaces (TAPI).

Esta é uma vulnerabilidade de segurança que exige que a Microsoft emita uma atualização de segurança?
N.º O recurso Isolamento de Serviço do Windows é uma configuração opcional que alguns clientes podem optar por implantar. Este recurso não é apropriado para todos os clientes. O Isolamento de Serviço do Windows é um recurso de defesa profunda e não um limite de segurança adequado e não deve ser interpretado como tal.

O que é o recurso de isolamento de serviço do Windows?
O recurso Isolamento de Serviços do Windows não corrige uma vulnerabilidade de segurança, mas é um recurso de defesa profunda que pode ser útil para alguns clientes. Por exemplo, o isolamento de serviço permite o acesso a objetos específicos sem a necessidade de executar uma conta de alto privilégio ou enfraquecer a proteção de segurança do objeto. Usando uma entrada de controle de acesso que contém um SID de serviço, um serviço do SQL Server pode restringir o acesso aos seus recursos. Para obter mais informações sobre esse recurso e como configurá-lo adequadamente, consulte o artigo 2264072 da Base de Dados de Conhecimento Microsoft.

O que é o privilégio "representar um cliente após autenticação"?
A atribuição desse privilégio a um usuário permite que programas executados em nome desse usuário representem um cliente. Exigir esse direito de usuário para esse tipo de representação impede que um usuário não autorizado convença um cliente a se conectar (por exemplo, por chamada de procedimento remoto (RPC) ou pipes nomeados) a um serviço que ele criou e, em seguida, representar esse cliente, o que pode elevar as permissões do usuário não autorizado para níveis administrativos ou do sistema.

O que é a Conta NetworkService?
A conta NetworkService é uma conta local predefinida usada pelo gerenciador de controle de serviço. Ele tem privilégios especiais no computador local e atua como o computador na rede. Um serviço executado no contexto da conta NetworkService apresenta as credenciais do computador para servidores remotos. Para obter mais informações, consulte o artigo do MSDN, NetworkService Account.

Como o IIS é afetado por esse problema?
Os sistemas que executam código fornecido pelo usuário no IIS (Serviços de Informações da Internet) podem ser afetados. Por exemplo, filtros ISAPI, extensões ISAPI e código ASP.NET executado em confiança total podem ser afetados por esta vulnerabilidade.

Os servidores IIS correm um risco reduzido de ataques descritos neste comunicado nos seguintes cenários:

  • As instalações padrão do IIS 5.1, IIS 6.0 e IIS 7.0 bloqueiam o vetor de ataque de usuários anônimos porque, na configuração padrão, carregamentos anônimos não são permitidos.
  • Todos os vetores de ataque conhecidos através do IIS são bloqueados onde ASP.NET está configurado para ser executado com um nível de confiança inferior à confiança total.

Para ter êxito num servidor Web, um intruso teria primeiro de adicionar conteúdo Web especialmente concebido para o efeito a um Web site do IIS. Um invasor pode usar o acesso a esse conteúdo da Web especialmente criado para elevar a processos em execução como LocalSystem.

Normalmente, usuários não confiáveis não têm permissão para adicionar conteúdo da Web a um site do IIS. No entanto, alguns hosts da Web estão mais expostos a ataques porque oferecem explicitamente hospedagem para conteúdo da Web de terceiros.

O IIS no Windows Server 2003 e no Windows Server 2008 pode estar mais em risco com esse problema, já que a identidade do processo de trabalho padrão é NetworkService.

Como um invasor poderia explorar o problema em um servidor IIS?
Um invasor pode carregar uma página da Web especialmente criada para um site e usar o acesso a essa página para elevar a processos em execução como LocalSystem. Isso também pode incluir o upload de conteúdo especialmente criado para sites que aceitam ou hospedam conteúdo fornecido pelo usuário ou anúncios. Também pode ser possível exibir conteúdo da Web especialmente criado usando anúncios de banner ou usando outros métodos para fornecer conteúdo da Web aos sistemas afetados.

Como o SQL Server é afetado por esse problema?
Os sistemas que executam o SQL Server podem ser afetados se um usuário receber privilégios administrativos do SQL Server (o que permitiria que o usuário carregasse e executasse código). Um usuário com privilégios administrativos do SQL Server pode executar código especialmente criado que é usado para aproveitar o ataque. No entanto, esse privilégio não é concedido por padrão.

Como um invasor poderia explorar o problema em um servidor SQL?
Um usuário com privilégios administrativos do SQL Server pode executar código especialmente criado usado para aproveitar o ataque ao servidor SQL afetado.

Como a TAPI é afetada por esse problema?
Para obter informações sobre como o Windows Telephony Application Programming Interfaces (TAPI) é afetado por esse problema, consulte a próxima seção, Perguntas freqüentes especificamente sobre a vulnerabilidade TAPI (Windows Telephony Application Programming Interfaces) - CVE-2010-1886.

Para que um invasor pode usar esse problema?
Um intruso que conseguisse explorar este problema poderia executar código especialmente concebido para o efeito no contexto da conta LocalSystem. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou crie novas contas com direitos completos de LocalSystem.

Quais são os sistemas mais suscetíveis a esta questão?
Todos os sistemas que executam software listado na seção Visão geral estão em risco, mas o Windows XP Professional Service Pack 3 e todas as edições com suporte do Windows Server 2003 e do Windows Server 2008 que executam o IIS correm um risco maior.

Além disso, os servidores Web do IIS que permitem que os usuários carreguem código correm maior risco. Isso pode incluir provedores de hospedagem na Web ou ambientes semelhantes.

Os sistemas do SQL Server correm risco se usuários não confiáveis tiverem acesso privilegiado à conta.

Estou usando uma versão mais antiga do software discutido neste comunicado de segurança. O que devo fazer?
O software afetado listado neste comunicado foi testado para determinar quais versões são afetadas. Outras versões já passaram do seu ciclo de vida de suporte. Para obter mais informações sobre o ciclo de vida do produto, visite o site do ciclo de vida do suporte da Microsoft.

Deve ser uma prioridade para os clientes que têm versões mais antigas do software migrar para versões suportadas para evitar a exposição potencial a vulnerabilidades. Para determinar o ciclo de vida do suporte para a versão do software, consulte Selecionar um produto para obter informações sobre o ciclo de vida. Para obter mais informações sobre service packs para essas versões de software, consulte Service packs suportados pelo ciclo de vida.

Os clientes que necessitem de suporte personalizado para software mais antigo devem contactar o representante da equipa da conta Microsoft, o Gestor Técnico de Conta ou o representante de parceiro Microsoft adequado para obter opções de suporte personalizadas. Os clientes sem um contrato Alliance, Premier ou Autorizado podem entrar em contato com o escritório de vendas local da Microsoft. Para obter informações de contacto, visite o Web site Microsoft Worldwide Information , selecione o país na lista Informações de Contacto e, em seguida, clique em Ir para ver uma lista de números de telefone. Quando ligar, peça para falar com o gerente de vendas local do Suporte Premier. Para obter mais informações, consulte as Perguntas frequentes sobre a Política de Ciclo de Vida do Suporte da Microsoft.

Perguntas freqüentes especificamente sobre a vulnerabilidade TAPI (Windows Telephony Application Programming Interfaces) - CVE-2010-1886

Onde posso encontrar a atualização não relacionada com segurança para esta vulnerabilidade?
A atualização está disponível para download somente no Centro de Download da Microsoft. Para obter mais informações sobre a atualização, incluindo links de download e alterações de comportamento, consulte o artigo 982316 da Base de Dados de Conhecimento Microsoft.

O que é a TAPI (Windows Telephony Application Programming Interface)?
O servidor TAPI (TAPISRV) é o repositório central de dados de telefonia em um computador do usuário. Esse processo de serviço rastreia recursos de telefonia local e remota, aplicativos registrados para lidar com solicitações de telefonia assistida e funções assíncronas pendentes, além de permitir uma interface consistente com provedores de serviços de telefonia (TSPs). Para obter mais informações e um diagrama que ilustra a relação do servidor TAPI com outros componentes e uma visão geral de suas funções, consulte Modelo de programação de telefonia da Microsoft.

O que causa essa ameaça?
A vulnerabilidade deve-se ao recurso de transação TAPI (Windows Telephony Application Programming Interfaces), que permite que o token NetworkService seja obtido e usado ao fazer uma chamada RPC.

Esta é uma vulnerabilidade de segurança que exige que a Microsoft emita uma atualização de segurança?
N.º Esta atualização implementa uma alteração de defesa profunda que alguns clientes podem optar por implantar. Os clientes que não executam o IIS ou o SQL, ou aqueles que implementaram as soluções alternativas listadas abaixo, devem avaliar essa atualização de defesa profunda antes de aplicá-la.

Este é um comunicado de segurança sobre uma atualização não relacionada à segurança. Não é uma contradição?
Os avisos de segurança abordam alterações de segurança que podem não exigir um boletim de segurança, mas ainda podem afetar a segurança geral do cliente. Os avisos de segurança são uma forma de a Microsoft comunicar informações relacionadas com a segurança aos clientes sobre problemas que podem não ser classificados como vulnerabilidades e que podem não exigir um boletim de segurança, ou sobre problemas para os quais não foi lançado nenhum boletim de segurança. Neste caso, estamos a comunicar a disponibilidade de uma atualização que afeta a sua capacidade de efetuar atualizações subsequentes, incluindo atualizações de segurança. Portanto, este comunicado não aborda uma vulnerabilidade de segurança específica; em vez disso, aborda a sua segurança geral.

Por que a Microsoft está emitindo uma atualização para este componente?
Embora esta não seja uma vulnerabilidade que exija a emissão de uma atualização de segurança, um invasor pode elevar de NetworkService para LocalSystem usando o serviço TAPI, que é executado como sistema. Um invasor já deve estar executando com privilégios elevados para explorar esse problema. Este isolamento de serviço foi implementado apenas como uma medida de defesa aprofundada e não constitui um limite de segurança.

Quais são os sistemas mais suscetíveis a esta vulnerabilidade?
Os sistemas que executam o Windows Telephony Application Programming Interfaces (TAPI) são os que correm mais risco. Isso pode incluir todos os sistemas que executam o software listado na seção Visão geral . Além disso, o Windows XP Professional Service Pack 3 e todas as edições com suporte do Windows Server 2003 e do Windows Server 2008 que executam o IIS, os servidores Web do IIS que permitem que os usuários carreguem código e os sistemas do SQL Server em que usuários não confiáveis recebem acesso privilegiado à conta correm um risco maior. Isso pode incluir provedores de hospedagem na Web ou ambientes semelhantes.

Para que um invasor pode usar essa vulnerabilidade?
Um intruso que conseguisse explorar esta vulnerabilidade poderia executar código especialmente concebido para o efeito com privilégios ao nível do sistema. Um invasor pode então instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos de utilizador completos. Um invasor já deve ter permissões para executar código como NetworkService para explorar esse problema com êxito.

Fatores atenuantes e ações sugeridas

Fatores atenuantes

A atenuação refere-se a uma definição, configuração comum ou prática recomendada geral, existente num estado predefinido, que pode reduzir a gravidade da exploração de uma vulnerabilidade. Os seguintes fatores atenuantes podem ser úteis na sua situação:

  • O invasor deve ser capaz de executar código como a conta NetworkService no sistema de destino para explorar esta vulnerabilidade.
  • Os servidores IIS que usam as configurações padrão não são afetados por esse problema.

Soluções

Solução alternativa refere-se a uma definição ou alteração de configuração que não corrige o problema subjacente, mas que ajudaria a bloquear vetores de ataque conhecidos antes de uma atualização de segurança estar disponível. A Microsoft testou as seguintes soluções alternativas e estados na discussão se uma solução alternativa reduz a funcionalidade:

  • Configurar o WPI para pools de aplicativos no IIS

    Para o IIS 6.0, execute as seguintes etapas:

    1. No Gerenciador do IIS, expanda o computador local, expanda Pools de Aplicativos, clique com o botão direito do mouse no pool de aplicativos e selecione Propriedades.
    2. Clique na guia Identidade e clique em Configurável. Nas caixas de texto Nome de usuário e Senha , digite o nome de usuário e a senha da conta sob a qual você deseja que o processo de trabalho opere.
    3. Adicione a conta de usuário escolhida ao grupo IIS_WPG.

    Para o IIS 7.0 e superior, execute as seguintes etapas:

    1. Em um prompt de comando elevado, mude para o diretório %systemroot%\system32\inetsrv.
    2. Execute o comando APPCMD.exe usando a seguinte sintaxe, onde string é o nome do pool de aplicativos; **userName:**string é o nome de usuário da conta atribuída ao pool de aplicativos; e **password:**string é a palavra-passe da conta.
      appcmd set config /section:applicationPools / [name='string'].processModel.identityType:SpecificUser / [name='string'].processModel.userName:string /
      [name='string'].processModel.password:string

  • Aplique a atualização não relacionada à segurança para CVE-2010-1886

    Aplique a atualização não relacionada à segurança para a Vulnerabilidade TAPI (Windows Telephony Application Programming Interfaces) (CVE-2010-1886) disponível para download somente no Centro de Download da Microsoft. Para obter mais informações sobre a atualização, incluindo links de download e alterações de comportamento, consulte o artigo 982316 da Base de Dados de Conhecimento Microsoft.

Ações adicionais sugeridas

  • Proteja o seu PC

    Continuamos a incentivar os clientes a seguir a nossa orientação Proteja o seu computador de ativar um firewall, obter atualizações de software e instalar software antivírus. Os clientes podem saber mais sobre estas etapas visitando Proteja seu computador.

    Para obter mais informações sobre como se manter seguro na Internet, visite a Central de Segurança da Microsoft.

  • Manter o Windows atualizado

    Todos os utilizadores do Windows devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que os seus computadores estão tão protegidos quanto possível. Se não tiver a certeza se o seu software está atualizado, visite o Windows Update, analise o seu computador em busca de atualizações disponíveis e instale quaisquer atualizações de alta prioridade que lhe sejam oferecidas. Se tiver as Atualizações Automáticas ativadas, as atualizações ser-lhe-ão entregues quando forem lançadas, mas tem de se certificar de que as instala.

Outras informações

Agradecimentos

A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:

  • Cesar Cerrudo, da Argeniss , por trabalhar conosco na Vulnerabilidade TAPI (Windows Telephony Application Programming Interfaces) (CVE-2010-1886)

Programa Microsoft Ative Protections (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal de atualização de segurança. Os fornecedores de software de segurança podem então utilizar estas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes através do seu software ou dispositivos de segurança, tais como antivírus, sistemas de deteção de intrusões baseados na rede ou sistemas de prevenção de intrusões baseados em anfitrião. Para determinar se as proteções ativas estão disponíveis em provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros de programa, listados em Parceiros do Microsoft Ative Protections Program (MAPP).

Comentários

Suporte

  • Os clientes nos Estados Unidos e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte a Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Exclusão de Responsabilidade

As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

  • V1.0 (10 de agosto de 2010): Comunicado publicado.

Construído em 2014-04-18T13:49:36Z-07:00