Aviso de Segurança da Microsoft 2264072

Elevação de Privilégios Ignorando o Isolamento de Serviços Windows

Data de publicação: 10 de agosto de 2010

actualizada: 1.0

Informações Gerais

Resumo Executivo

A Microsoft tem conhecimento do potencial para ataques que façam uso da função de Isolamento de Serviços Windows para obter uma elevação de privilégios. Este aviso abrange possíveis cenários de ataque e sugere acções que podem ajudar a proteger o sistema contra esta questão. Este aviso também oferece uma actualização não relacionada com segurança para um dos possíveis cenários de ataque através da TAPI (Telephony Application Programming Interface).

Esta questão afecta cenários em que seja executado código não fidedigno num processo detido pela conta NetworkService. Nestes cenários, é possível que um intruso consiga elevar os seus privilégios, executando processos como conta de NetworkService para executar processos como conta LocalSystem de um servidor visado. Um intruso que conseguisse elevar os seus privilégios para executar processos como conta de LocalSystem poderia executar código arbitrário e obter controlo total de um sistema afectado. Um intruso poderia então instalar programas; ver, alterar ou eliminar dados; ou ainda criar novas contas com todos os privilégios.

Contudo, na maior parte dos casos, o código não fidedigno não é executado sob a identidade do NetworkService, tendo sido identificados os seguintes cenários como possíveis excepções:

  • Os sistemas que executam o ISS (Serviços de Informação Internet) numa configuração não predefinida estão mais susceptíveis, especialmente se o ISS estiver a ser executado no Windows Server 2003 e Windows Server 2008, uma vez que nestes sistemas a identidade do processo de trabalho predefinida é o NetworkService.
  • Os sistemas que executam o SQL Server em que os utilizadores têm privilégios administrativos no SQL Server estão mais susceptíveis.
  • Os sistemas que executam a TAPI (Telephony Application Programming Interface) do Windows estão mais susceptíveis.

Para informações mais detalhadas acerca dos cenários acima descritos, consulte a secção Perguntas Mais Frequentes. A Microsoft está a fornecer uma actualização não relacionada com segurança para o cenário da TAPI. Para obter mais informações acerca da actualização não relacionada com segurança, consulte a secção Perguntas Mais Frequentes específicas sobre a Vulnerabilidade da TAPI (Telephony Application Programming Interface) do Windows - CVE-2010-1886.

Também estamos a trabalhar activamente com parceiros no nosso programa Microsoft Active Protections Program (MAPP) para fornecer informações que possam ser utilizadas para proporcionar protecções mais alargadas para os clientes.

Detalhes do Aviso

Referências da Questão

Para mais informações sobre esta questão, consulte as seguintes referências:

ReferênciasIdentificação
Referência CVE CVE-2010-1886
Artigo da Base de Dados de Conhecimento da Microsoft 2264072
Artigo da Base de Dados de Conhecimento da Microsoft sobre a actualização não relacionada com segurança da TAPI 982316

Software Afectado e Software Não Afectado

Este aviso abrange o seguinte software.

Software Afectado
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 com SP2 para sistemas baseados em Itanium
Windows Vista Service Pack 1 e Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2
Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas baseados em x64 Service Pack 2
Windows Server 2008 para sistemas baseados em Itanium Service Pack 2
Windows 7 para sistemas de 32 bits
Windows 7 para sistemas baseados em x64
Windows Server 2008 R2 para sistemas baseados em x64
Windows Server 2008 R2 para sistemas baseados em Itanium

Qual é a abrangência deste aviso?  
Este aviso de segurança aborda o potencial para ataques que fazem uso da função de Isolamento de Serviços Windows, ajudando a clarificar a utilização adequada e os limites da função de Isolamento de Serviços Windows e fornecendo soluções alternativas.

Este aviso de segurança também fornece uma notificação sobre uma actualização opcional, não relacionada com segurança, disponível para transferência no Centro de Transferências da Microsoft, para corrigir um vector de ataque através da TAPI (Telephony Application Programming Interface).

Esta é uma vulnerabilidade de segurança que requer que a Microsoft publique uma actualização de segurança?  
Não. A função de Isolamento de Serviços Windows é uma configuração opcional que alguns clientes podem optar por implementar. Esta funcionalidade não é adequada para todos os clientes. O Isolamento de Serviços Windows é uma funcionalidade defensiva profunda e não um limite de segurança propriamente dito, não devendo ser considerado como tal.

O que é a função de Isolamento de Serviços Windows?  
A função de Isolamento de Serviços Windows não corrige uma vulnerabilidade de segurança, mas, por outro lado, é uma funcionalidade defensiva profunda que pode ser útil para alguns clientes. Por exemplo, o isolamento de serviço permite o acesso a objectos específicos sem a necessidade de executar uma conta de privilégios elevados ou de enfraquecer a protecção de segurança do objecto. Ao utilizar uma entrada de controlo de acesso que contenha um serviço SID, um serviço SQL Server pode restringir o acesso aos seus recursos. Para obter mais informações sobre esta funcionalidade e sobre como configurá-la correctamente, consulte o Artigo 2264072 da Base de Dados de Conhecimento da Microsoft.

O que é o privilégio de "representação de um cliente após a autenticação"?  
Atribuir este privilégio a um utilizador permite que os programas a ser executados em nome desse utilizador representem um cliente. Requerer este direito de utilizador para este tipo de representação evita que um utilizador não autorizado convença um cliente a ligar-se (por exemplo, por chamada de procedimento remoto (RPC) ou pipes nomeados) a um serviço que tivesse criado, representando depois esse cliente, o que poderia elevar as permissões do cliente não autorizado para o nível de administrador ou do sistema.

O que é a Conta NetworkService?  
A conta NetworkService é uma conta local predefinida utilizada pelo gestor de controlo de serviços. Tem privilégios especiais no computador local e actua como o computador na rede. Um serviço executado no contexto da conta NetworkService possui as credenciais do computador para servidores remotos. Para mais informações, consulte o artigo MSDN sobre a Conta NetworkService.

Como é que o IIS é afectado por esta questão?  
Os sistemas que executam código fornecido pelos utilizadores nos Serviços de Informação Internet (IIS) podem ser afectados. Por exemplo, os filtros ISAPI, as extensões ISAPI e a execução de códigos ASP.NET com confiança completa poderão ser afectadas por esta vulnerabilidade.

Nos seguintes cenários, os servidores IIS correm menos riscos face aos ataques descritos neste aviso:

  • As instalações predefinidas do IIS 5.1, IIS 6.0 e IIS 7.0 bloqueiam o vector de ataque de utilizadores anónimos, uma vez que na configuração predefinida os carregamentos anónimos não são permitidos.
  • Todos os vectores de ataque conhecidos através do IIS são bloqueados quando o ASP.NET estiver configurado para ser executado com um nível de confiança inferior a confiança completa.

Para ser bem sucedido num servidor Web, um intruso teria primeiro de adicionar conteúdo Web concebido especialmente para o efeito a um Web site de IIS. Um intruso poderia então utilizar o acesso a este conteúdo Web especialmente concebido para o efeito para elevar os seus privilégios e executar processos como LocalSystem.

Normalmente, os utilizadores não fidedignos não têm permissão para adicionar conteúdo Web a um Web site de IIS. Contudo, alguns anfitriões Web estão mais susceptíveis a sofrer ataques porque oferecem explicitamente o alojamento de conteúdo Web de terceiros.

O IIS no Windows Server 2003 e Windows Server 2008 pode estar mais susceptível a esta questão, uma vez que a identidade do processo de trabalho é o NetworkService.

Como poderia um intruso explorar a questão num servidor IIS?  
Um intruso poderia carregar uma página Web especialmente concebida para o efeito num Web site e utilizar o acesso a esta página para elevar os seus privilégios e executar processos como LocalSystem. Isso também pode incluir o carregamento de conteúdos especialmente concebidos para o efeito para Web sites que aceitem ou alojem conteúdos ou anúncios fornecidos pelo utilizador. Também poderia ser possível exibir conteúdos Web nocivos concebidos especialmente para o efeito, usando espaços de publicidade como banners, ou usando outros métodos para entregar conteúdos Web a sistemas afectados.

Como é que o SQL Server é afectado por esta questão?  
Os sistemas que executam o SQL Server podem ser afectados se forem concedidos privilégios administrativos no SQL Server a um utilizador (o que permitiria que o utilizador carregasse e executasse código). Um utilizador com privilégios administrativos no SQL Server poderia executar código especialmente concebido para o efeito que seria utilizado para desencadear o ataque. Contudo, este privilégio não é concedido por predefinição.

Como poderia um intruso explorar a questão num servidor SQL?  
Um utilizador com privilégios administrativos no SQL Server poderia executar código especialmente concebido para o efeito que seria utilizado para desencadear o ataque no servidor SQL afectado.

Como é que a TAPI é afectada por esta questão?  
Para obter informações sobre a forma como a TAPI (Telephony Application Programming Interface) é afectada por esta questão, consulte a próxima secção, Perguntas Mais Frequentes específicas sobre a Vulnerabilidade da TAPI (Telephony Application Programming Interface) do Windows - CVE-2010-1886.

Como poderia um intruso utilizar esta questão?  
Um intruso que explorasse esta questão com sucesso poderia executar código especialmente concebido para o efeito no contexto de conta LocalSystem. Um intruso poderia então instalar programas, ver, alterar ou eliminar dados, ou ainda criar novas contas com todos os privilégios LocalSystem.

Quais os sistemas mais susceptíveis a esta questão?  
Todos os sistemas que executem software que esteja listado na secção Visão Geral estão susceptíveis, mas o Windows XP Professional Service Pack 3 e todas as edições suportadas do Windows Server 2003 e do Windows Server 2008 que executem o IIS estão mais susceptíveis.

Além disso, os servidores Web IIS que permitem que os utilizadores carreguem código estão mais susceptíveis. Isso poderá incluir fornecedores de alojamento na Web ou ambientes semelhantes.

Os sistemas SQL Server estão susceptíveis se for concedido acesso privilegiado a contas a utilizadores não fidedignos.

Estou a usar uma edição anterior do software discutido neste aviso de segurança. O que devo fazer?  
O software afectado incluído neste aviso foi testado para determinar quais as edições afectadas. As outras edições ultrapassaram o respectivo ciclo de vida de suporte. Para mais informações sobre o ciclo de vida dos produtos, visite o Web site do Ciclo de Vida de Suporte da Microsoft.

Os utilizadores que tenham edições anteriores do software deviam considerar a migração para edições suportadas como uma prioridade, de modo a poderem proteger os seus sistemas contra a potencial exposição a vulnerabilidades. Para determinar o ciclo de vida de suporte para a edição do seu software, consulte Seleccionar um produto para obter informações sobre o ciclo de vida. Para mais informações sobre service packs para estas edições de software, consulte Service Packs com Suporte do Ciclo de Vida.

Os clientes que necessitem de suporte personalizado para software anterior devem contactar o seu representante de equipa de contas da Microsoft, o seu Gestor Técnico de Contas ou o parceiro ou representante Microsoft adequado para mais informações sobre opções de suporte personalizado. Os clientes que não disponham de um Contrato Alliance, Premier ou Autorizado podem contactar a subsidiária local da Microsoft. Para obter informações de contacto, visite o Web site Microsoft Worldwide Information, seleccione o país na lista de informações de contacto e, em seguida, clique em Go para ver uma lista de números de telefone. Quando telefonar, peça para falar com o Gestor de Vendas de Suporte Premier local. Para mais informações, consulte as Perguntas Mais Frequentes sobre o Ciclo de Vida do Suporte da Microsoft.

Onde posso encontrar a actualização não relacionada com segurança para esta vulnerabilidade?  
A actualização está disponível para transferência apenas no Centro de Transferências da Microsoft. Para mais informações sobre a actualização, incluindo ligações de transferência e as alterações no comportamento, consulte o Artigo 982316 da Base de Dados de Conhecimento da Microsoft.

O que é a TAPI (Windows Telephony Application Programming Interface)?  
O servidor TAPI (TAPISRV) é o repositório central dos dados telefónicos no computador de um utilizador. Este serviço processa o rastreio dos recursos telefónicos locais e remotos, aplicações registadas para processar pedidos telefónicos assistidos e funções assíncronas pendentes, activando também uma interface consistente com os fornecedores de serviços telefónicos (TSPs). Para obter mais informações e consultar um diagrama que demonstra a relação do Servidor TAPI com outros componentes e uma visão geral das suas funções, consulte o Modelo de Programação Telefónica da Microsoft.

O que provoca esta ameaça?  
A vulnerabilidade deve-se ao facto de a funcionalidade de transacções da TAPI (Telephony Application Programming Interface) permitir que o token NetworkService seja obtido e utilizado ao fazer uma chamada RPC.

Esta é uma vulnerabilidade de segurança que requer que a Microsoft publique uma actualização de segurança?  
Não. Esta actualização implementa uma alteração defensiva profunda que alguns clientes podem optar por implementar. Os clientes que não executem o IIS ou o SQL, ou aqueles que tenham implementado as soluções alternativas apresentadas abaixo, devem avaliar esta actualização defensiva profunda antes de a aplicar.

Este é um aviso de segurança sobre uma actualização não relacionada com segurança. Isto não é contraditório?  
Os avisos de segurança tratam de alterações de segurança que podem não requerer um boletim de segurança, mas podem ainda assim afectar a segurança geral dos sistemas dos clientes. Os avisos de segurança são uma forma de a Microsoft comunicar informações relacionadas com segurança aos clientes, em relação a questões que não podem ser classificadas como vulnerabilidades e podem não requerer um boletim de segurança, ou sobre questões para as quais não foi lançado um boletim de segurança. Neste caso, estamos a comunicar a disponibilidade de uma actualização que afecta a sua capacidade de realizar actualizações posteriores, incluindo actualizações de segurança. Como tal, este aviso não resolve uma vulnerabilidade de segurança específica; trata, em vez disso, da sua segurança global.

Por que razão a Microsoft está a publicar uma actualização para este componente?  
Apesar de esta não ser uma vulnerabilidade que requeira a publicação de uma actualização de segurança, um intruso poderia elevar os seus privilégios de NetworkService para LocalSystem, utilizando o serviço TAPI, que é executado como sistema. Para explorar esta questão, um utilizador teria de já estar a trabalhar com privilégios elevados. Este isolamento de serviços foi implementado apenas como medida de defesa profunda, não constituindo um limite de segurança.

Quais os sistemas mais susceptíveis a esta vulnerabilidade?  
Os sistemas que executam a TAPI (Telephony Application Programming Interface) do Windows estão mais susceptíveis. Isto poderia incluir todos os sistemas que executassem software listado na secção Visão Geral. Além destes, estão mais susceptíveis o Windows XP Professional Service Pack 3 e todas as edições suportadas do Windows Server 2003 e do Windows Server 2008 que executem o IIS, servidores Web IIS que permitam que os utilizadores carreguem código e os sistemas SQL Server em que seja concedido acesso privilegiado a contas a utilizadores não fidedignos. Isso poderá incluir fornecedores de alojamento na Web ou ambientes semelhantes.

O que poderia um intruso fazer depois de explorar a vulnerabilidade?  
Um intruso que explorasse esta vulnerabilidade com sucesso poderia executar código especialmente concebido para o efeito com privilégios ao nível do sistema. Um intruso poderia então instalar programas; ver, alterar ou eliminar dados; ou ainda criar novas contas com todos os privilégios. Para explorar esta questão com sucesso, um intruso teria de já ter permissões para executar código como NetworkService.

Factores Atenuantes

A atenuação refere-se a uma definição, uma configuração comum ou uma prática recomendada geral, que existe num estado predefinido, que poderia reduzir a gravidade da exploração de uma vulnerabilidade. Os seguintes factores atenuantes podem ser úteis para a sua situação:

  • Para explorar esta vulnerabilidade, o intruso teria de ser capaz de executar código como conta NetworkService no sistema alvo.
  • Os servidores IIS que utilizem as configurações predefinidas não são afectados por esta questão.

Soluções alternativas

Uma solução alternativa refere-se a uma definição ou alteração de configuração que não corrige a questão subjacente, mas que ajudaria a bloquear vectores de ataque conhecidos antes de estar disponível uma actualização de segurança. A Microsoft testou as seguintes soluções alternativas e estados na discussão acerca de casos em que uma solução alternativa reduz a funcionalidade:

  • Configurar o WPI para conjuntos aplicacionais no IIS

    Para o IIS 6.0, execute os seguintes passos.

    1. No Gestor de IIS, expanda o computador local, expanda Conjuntos Aplicacionais, clique com o botão direito no conjunto aplicacional e seleccione Propriedades.
    2. Clique no separador Identidade e clique em Configurável. Nas caixas de texto Nome de utilizador e Palavra-passe, escreva o nome de utilizador e a palavra-passe da conta sob a qual deseja que o processo de trabalho opere.
    3. Adicione a conta de utilizador escolhida ao grupo IIS_WPG.

    Para o IIS 7.0 e posteriores, execute os seguintes passos.

    1. A partir de uma linha de comandos elevada, mude para o directório %systemroot%\system32\inetsrv.
    2. Execute o comando APPCMD.exe utilizando a seguinte sintaxe onde string é o nome do conjunto aplicacional, userName:string é o nome de utilizador da conta atribuído ao conjunto aplicacional e password:string é a palavra-passe para a conta.

      appcmd set config /section:applicationPools /

      [name='string'].processModel.identityType:SpecificUser /

      [name='string'].processModel.userName:string /

      [name='string'].processModel.password:string
  • Aplicar a actualização não relacionada com segurança para CVE-2010-1886

    Aplicar a actualização não relacionada com segurança para a Vulnerabilidade da TAPI (Telephony Application Programming Interface) do Windows (CVE-2010-1886) disponível para transferência apenas no Centro de Transferências da Microsoft. Para mais informações sobre a actualização, incluindo ligações de transferência e as alterações no comportamento, consulte o Artigo 982316 da Base de Dados de Conhecimento da Microsoft.

Outras Acções Sugeridas

  • Proteja o seu PC

    Continuamos a aconselhar os clientes a seguirem os nossos conselhos para protegerem os seus computadores e activarem uma firewall, aplicarem actualizações de software e instalarem software antivírus. Os clientes poderão saber mais sobre estes passos em Proteja o Seu PC.

    Para obter mais informações sobre como estar seguro na Internet, visite o Centro de Segurança da Microsoft.

  • Manter o Windows actualizado

    Todos os utilizadores do Windows devem aplicar as actualizações de segurança da Microsoft mais recentes para ajudar a garantir que os seus computadores estão o mais protegidos possível. Se não tiver a certeza se o seu software está actualizado, visite o Windows Update, procure actualizações disponíveis para o seu computador e instale todas as actualizações de prioridade elevada que lhe são oferecidas. Se tiver as Actualizações Automáticas activadas, as actualizações ser-lhe-ão entregues quando são lançadas, mas tem de se certificar de que as instala.

Outras informações

Agradecimentos

A Microsoft agradece às seguintes entidades por trabalharem connosco para proteger os clientes:

  • Cesar Cerrudo, da Argeniss, por trabalhar connosco na Vulnerabilidade da TAPI (Telephony Application Programming Interface) do Windows (CVE-2010-1886)

Microsoft Active Protections Program (MAPP)

Para melhorar as protecções de segurança dos clientes, a Microsoft fornece informações sobre as vulnerabilidades aos principais fornecedores de software de segurança antes de cada publicação mensal de actualizações de segurança. Os fornecedores de software de segurança podem então utilizar estas informações sobre as vulnerabilidades para assegurar protecções actualizadas aos clientes através do seu software ou dispositivos de segurança, tais como antivírus, sistemas de detecção de intrusos com base na rede ou sistemas de prevenção de intrusões com base no anfitrião. Para determinar se as protecções activas estão disponíveis nos fornecedores de software de segurança, visite os Web sites de protecções activas disponibilizados pelos parceiros do programa, indicados na lista de parceiros do Microsoft Active Protections Program (MAPP).

Feedback

Assistência

  • Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico através do Suporte de Segurança. Para obter mais informações sobre opções de suporte disponíveis, consulte a Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte das subsidiárias locais da Microsoft. Para mais informações sobre como contactar a Microsoft relativamente a questões de suporte internacional, visite o Web site de Suporte Internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Exclusão de garantia

As informações fornecidas neste aviso são fornecidas "tal como estão", sem garantias de qualquer tipo. A Microsoft exclui todas as garantias, sejam expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em caso algum serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais ou consequentes, extraordinários ou por perda de lucros negociais, ainda que a Microsoft Corporation, ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. A exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais não é permitida em alguns estados ou jurisdições, pelo que a limitação supra poderá não ser aplicável.

Revisões

  • V1.0 (10 de Agosto de 2010): Aviso publicado.

Built at 2014-04-18T01:50:00Z-07:00

Mostrar: