• Artigo

Assessoria de Segurança

Comunicado de Segurança da Microsoft 921923

Código de prova de conceito publicado que afeta o serviço Gerenciador de Conexões de Acesso Remoto

Publicado em: 23 de junho de 2006

A Microsoft está ciente de que um código de exploração detalhado foi publicado na Internet para a vulnerabilidade abordada pelo boletim de segurança MS06-025 da Microsoft. No momento, a Microsoft não está ciente de ataques ativos que usam esse código de exploração ou de impacto no cliente. No entanto, a Microsoft está monitorando ativamente essa situação para manter os clientes informados e fornecer orientação ao cliente, conforme necessário.
Nossa investigação desse código de exploração verificou que ele não afeta os clientes que instalaram as atualizações detalhadas no boletim MS06-025 em seus computadores.  A Microsoft continua a recomendar que os clientes apliquem as atualizações aos produtos afetados ativando o recurso Atualizações Automáticas no Windows.
A Microsoft está desapontada que certos pesquisadores de segurança tenham violado a prática comumente aceita pelo setor de reter dados de vulnerabilidade tão perto do lançamento da atualização e tenham publicado código de exploração, potencialmente prejudicando os usuários de computador. Continuamos a pedir aos pesquisadores de segurança que divulguem informações de vulnerabilidade de forma responsável e permitam que os clientes tenham tempo para implantar atualizações para que não ajudem os criminosos em sua tentativa de tirar proveito das vulnerabilidades de software

Fatores atenuantes:

  • Os clientes que instalaram a atualização de segurança MS06-025 não são afetados por esta vulnerabilidade.
  • Os sistemas Windows 2000 são os que mais correm risco com esta vulnerabilidade. Os clientes que executam o Windows 2000 devem implantar o MS06-025 o mais rápido possível ou desabilitar o serviço RASMAN.
  • No Windows XP Service Pack 2, Windows Server 2003 e Windows Server 2003 Service Pack 1, o invasor precisa ter credenciais de logon válidas para explorar a vulnerabilidade.
  • Esse problema não afeta o Windows 98, Windows 98 SE ou Windows Millennium Edition.

Informações Gerais

Descrição geral

Objetivo do comunicado: Notificação da disponibilidade de uma atualização de segurança para ajudar a proteger contra essa ameaça potencial.

Status do comunicado: Como esse problema já foi resolvido como parte do boletim de segurança MS06-025 , nenhuma atualização adicional é necessária.

Recomendação: Instale a atualização de segurança MS06-025 para ajudar a proteger contra esta vulnerabilidade.

Referências Identificação
Referência CVE CVE-2006-2370
CVE-2006-2371
Boletim de Segurança MS06-025

Este comunicado descreve o seguinte software.
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1 e Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edição
Microsoft Windows Server 2003 e Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 para sistemas baseados em Itanium e Microsoft Windows Server 2003 com SP1 para sistemas baseados em Itanium
Microsoft Windows Server 2003 x64 Edição

Perguntas Mais Frequentes

Qual é o âmbito do aconselhamento?
A Microsoft está ciente da publicação pública de código de exploração visando vulnerabilidades identificadas na Atualização de Segurança da Microsoft MS06-025. Isso afeta o software listado na seção "Visão geral"

Esta é uma vulnerabilidade de segurança que exige que a Microsoft emita uma atualização de segurança?
N.º Os clientes que instalaram a atualização de segurança MS06-025 não são afetados por esta vulnerabilidade. Nenhuma atualização adicional é necessária.

O que causa essa ameaça?
Um buffer não verificado nas tecnologias de Roteamento e Acesso Remoto que afeta especificamente o Serviço Gerenciador de Conexões de Acesso Remoto (RASMAN)

O que o recurso faz?
O Gerenciador de Conexão de Acesso Remoto é um serviço que lida com os detalhes do estabelecimento da conexão com o servidor remoto. Este serviço também fornece ao cliente informações de status durante a operação de conexão. O Gestor de Ligação de Acesso Remoto é iniciado automaticamente quando uma aplicação carrega o RASAPI32.DLL

Para que um invasor pode usar essa função?
Um intruso que conseguisse explorar esta vulnerabilidade com êxito poderia assumir o controlo total do sistema afetado.

Existem problemas conhecidos com a instalação da Atualização de Segurança da Microsoft MS06-025 que proteja contra esta ameaça?
O Artigo 911280(em inglês) da Microsoft Knowledge Base documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar a atualização de segurança. Somente os clientes que usam conexões dial-up que usam scripts que configuram seu dispositivo para paridade, bits de parada ou bits de dados ou uma janela de terminal pós-conexão ou script dial-up, são afetados pelos problemas identificados no artigo da KB. Se os clientes não utilizarem nenhum dos cenários de acesso telefónico identificados, recomendam-se que instalem a atualização imediatamente.

Ações Sugeridas

Se tiver instalado a atualização disponibilizada com o Boletim de Segurança MS06-025, já está protegido contra o ataque identificado no código de prova de conceito publicado publicamente. Se você não instalou a atualização ou é afetado por qualquer um dos cenários identificados no Artigo 911280 (em inglês) da Microsoft Knowledge Base, os clientes são incentivados a desabilitar o Serviço Gerenciador de Conexões de Acesso Remoto.

  • Desativar o serviço Gestor de Ligação de Acesso Remoto

    A desativação do serviço Gestor de Ligação de Acesso Remoto ajudará a proteger o sistema afetado contra tentativas de exploração desta vulnerabilidade. Para desativar o serviço Gestor de ligação de acesso remoto (RASMAN), siga estes passos:

    1. Clique em Iniciar e, em seguida, clique em Painel de Controlo. Como alternativa, aponte para configurações e, em seguida, clique em Painel de controle.
    2. Clique duas vezes em Ferramentas Administrativas.
    3. Clique duas vezes em Serviços.
    4. Clique duas vezes em Gerenciador de Conexões de Acesso Remoto
    5. Na lista Tipo de inicialização , clique em Desativado.
    6. Clique em Parar e, em seguida, clique em OK.

    Também pode parar e desativar o serviço Gestor de Ligação de Acesso Remoto (RASMAN) utilizando o seguinte comando na linha de comandos:

    sc stop rasman & sc config rasman start= disabled

    Impacto da solução alternativa: Se você desabilitar o serviço Gerenciador de Conexões de Acesso Remoto, não poderá oferecer serviços de roteamento para outros hosts em ambientes de rede local e de longa distância. Portanto, recomendamos essa solução alternativa somente em sistemas que não exigem o uso do RASMAN para acesso remoto e roteamento.

  • Bloqueie o seguinte no firewall:

    • Portas UDP 135, 137, 138 e 445 e portas TCP 135, 139, 445 e 593
    • Todo o tráfego de entrada não solicitado em portas maiores que 1024
    • Qualquer outra porta RPC configurada especificamente

    Essas portas são usadas para iniciar uma conexão com RPC. Bloqueá-los no firewall ajudará a proteger os sistemas que estão por trás desse firewall contra tentativas de explorar essa vulnerabilidade. Além disso, certifique-se de bloquear qualquer outra porta RPC configurada especificamente no sistema remoto. Recomendamos que bloqueie todas as comunicações de entrada não solicitadas da Internet para ajudar a evitar ataques que possam utilizar outras portas. Para obter mais informações sobre portas que RPC usa, visite o seguinte site.

  • Para ajudar a proteger contra tentativas baseadas na rede de explorar esta vulnerabilidade, utilize uma firewall pessoal, como a Firewall de Ligação àInternet, incluída no Windows XP e no Windows Server 2003.

    Por padrão, o recurso Firewall de Conexão com a Internet no Windows XP e no Windows Server 2003 ajuda a proteger sua conexão com a Internet bloqueando o tráfego de entrada não solicitado. Recomendamos que bloqueie todas as comunicações de entrada não solicitadas da Internet. No Windows XP Service Pack 2, esse recurso é chamado de Firewall do Windows.

    Para ativar a funcionalidade Firewall de ligação à Internet utilizando o Assistente de configuração de rede, siga estes passos:

    1. Clique em Iniciar, e, em seguida, clique em Painel de controlo.
    2. Na Vista de Categoria predefinida, clique em Ligações de Rede e à Internet e, em seguida, clique em Configurar ou alterar a sua rede doméstica ou de pequena empresa. O recurso Firewall de Conexão com a Internet é habilitado quando você seleciona uma configuração no Assistente para Configuração de Rede que indica que o sistema está conectado diretamente à Internet.

    Para configurar manualmente o Firewall de Conexão com a Internet para uma conexão, siga estas etapas:

    1. Clique em Iniciar, e, em seguida, clique em Painel de controlo.
    2. Na Vista de Categoria predefinida, clique em Ligações de Rede e à Internet e, em seguida, clique em Ligações de Rede.
    3. Clique com o botão direito do rato na ligação na qual pretende ativar a Firewall de Ligação à Internet e, em seguida, clique em Propriedades.
    4. Clique na guia Avançado .
    5. Clique para selecionar a caixa de verificação Proteger o meu computador ou rede limitando ou impedindo o acesso a este computador a partir da Internet e, em seguida, clique em OK.

    Nota Se pretender ativar determinados programas e serviços para comunicar através da firewall, clique em Definições no separador Avançadas e, em seguida, selecione os programas, os protocolos e os serviços necessários.

  • Os clientes que acreditam ter sido atacados devem entrar em contato com o escritório local do FBI ou postar sua reclamação no site doInternet Fraud Complaint Center. Os clientes fora dos EUA devem entrar em contato com a agência nacional de aplicação da lei em seu país.

  • Clientes nos EUA e o Canadá que acreditam ter sido afetados por esta possível vulnerabilidade podem receber suporte técnico do Atendimento Microsoft em 1-866-PCSAFETY. Não há cobrança pelo suporte associado a problemas de atualização de segurança ou vírus." Os clientes internacionais podem receber suporte usando qualquer um dos métodos listados no site Ajuda e Suporte de Segurança para Usuários Domésticos.
    Todos os clientes devem aplicar as atualizações de segurança mais recentes lançadas pela Microsoft para ajudar a garantir que seus sistemas estejam protegidos contra tentativas de exploração. Os clientes que ativaram as Atualizações Automáticas receberão automaticamente todas as atualizações do Windows. Para obter mais informações sobre atualizações de segurança, visite o site de segurança da Microsoft.

  • Para obter mais informações sobre como se manter seguro na Internet, os clientes podem visitar a Home Page de Segurança daMicrosoft.

  • Manter o Windows atualizado

    Todos os utilizadores do Windows devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que os seus computadores estão tão protegidos quanto possível. Se não tiver a certeza se o software está atualizado, visite o Web site Windows Update, verifique o computador em busca de atualizações disponíveis e instale quaisquer atualizações de alta prioridade que lhe sejam oferecidas. Se tiver as Atualizações Automáticas ativadas, as atualizações ser-lhe-ão entregues quando forem lançadas, mas tem de se certificar de que as instala.

Outras informações

Recursos:

  • Você pode fornecer comentários preenchendo o formulário visitando o seguinte site.
  • Os clientes nos EUA e Canadá podem receber suporte técnico do Atendimento Microsoft. Para obter mais informações sobre as opções de suporte disponíveis, consulte o site de Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite o site de suporte internacional.
  • O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Exclusão de responsabilidade:

As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões:

  • 23 de junho de 2006 Comunicado publicado

Construído em 2014-04-18T13:49:36Z-07:00