Aviso de Segurança da Microsoft 921923

Código para prova de conceito publicado que afecta o serviço Gestor de Ligação de Acesso Remoto

Data de publicação: 23 de junho de 2006

A Microsoft teve conhecimento de que foram publicados na Internet códigos de exploração detalhados para a vulnerabilidade corrigida pelo boletim de segurança MS06-025 da Microsoft. Neste momento, a Microsoft não tem conhecimento de ataques activos que usem este código de exploração ou de qualquer impacto sobre os clientes. Contudo, a Microsoft está a monitorizar activamente esta situação, para manter os clientes informados e fornecer instruções, como adequado.

A nossa investigação sobre este código de exploração verificou que não afecta clientes que tenham instalado as actualizações indicadas no boletim de segurança MS06-025.  A Microsoft continua a recomendar que os clientes apliquem as actualizações nos produtos afectados activando a funcionalidade de Actualizações Automáticas no Windows.

A Microsoft lamenta que determinados investigadores de segurança tenham quebrado a prática comum da indústria de reter dados de vulnerabilidade tão perto do lançamento da actualização e que tenham publicado o código de exploração, afectando potencialmente os utilizadores de computadores. Continuamos a pedir aos investigadores de segurança que divulguem as informações sobre as vulnerabilidades de forma responsável e dêem tempo aos clientes para implementar as actualizações, de forma a não ajudar os criminosos a tirar partido das vulnerabilidades do software

Factores atenuantes:

  • Os clientes que tenham instalado a actualização de segurança do boletim MS06-025 não são afectados por esta vulnerabilidade.
  • Os sistemas com Windows 2000 estão mais susceptíveis a esta vulnerabilidade. Os clientes que utilizam o Windows 2000 devem implementar a actualização MS06-025 o quanto antes, ou desactivar o serviço RASMAN.
  • No Windows XP Service Pack 2, Windows Server 2003 e Windows Server 2003 Service Pack 1, o intruso teria de ter credenciais de início de sessão válidas para explorar a vulnerabilidade.
  • Este problema não afecta o Windows 98, Windows 98 SE ou Windows Millennium Edition.

Informações Gerais

Objectivo do Aviso: Notificação da disponibilidade de uma actualização de segurança para ajudar a proteger contra esta ameaça potencial.

Estado do Aviso: Visto que este problema já é tratado como parte do boletim de segurança MS06-025, não é necessária mais nenhuma actualização adicional.

Recomendação: Instale a actualização de segurança MS06-025 para ajudar a proteger o seus sistema contra esta vulnerabilidade.

ReferênciasIdentificação
Referência CVE CVE-2006-2370
CVE-2006-2371
Boletim de Segurança MS06-025

Este aviso abrange o seguinte software.

Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1 e Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 e Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 para sistemas baseados no Itanium e Microsoft Windows Server 2003 com SP1 para sistemas baseados no Itanium:
Microsoft Windows Server 2003 x64 Edition

Qual é a abrangência deste aviso?
A Microsoft teve conhecimento de mensagens em circulação pública relacionadas com código de exploração das vulnerabilidades identificadas na Actualização de Segurança da Microsoft MS06-025. Isto afecta o software listado na secção "Visão Geral".

Esta é uma vulnerabilidade de segurança que requer que a Microsoft publique uma actualização de segurança?
Não. Os clientes que tenham instalado a actualização de segurança do boletim MS06-025 não são afectados por esta vulnerabilidade. Não é necessária qualquer actualização adicional.

O que provoca esta ameaça?
Uma memória intermédia não verificada nas tecnologias de Encaminhamento e Acesso Remoto que afecta especificamente o serviço Gestor de Ligação de Acesso Remoto (RASMAN).

O que faz funcionalidade?
O Gestor de Ligação de Acesso Remoto é um serviço que processa os detalhes de ligação ao servidor remoto. Este serviço também fornece informações de estado ao cliente durante a operação de ligação. O Gestor de Ligação de Acesso Remoto inicia automaticamente quando uma aplicação carrega o RASAPI32.DLL

Como poderia um intruso utilizar esta função?
Um intruso que conseguisse tirar partido desta vulnerabilidade com êxito poderia controlar totalmente o sistema afectado.

Existem algumas questões conhecidas relacionadas com a instalação da Actualização de Segurança MS06-025 da Microsoft, que protegem contra esta ameaça?
O artigo 911280 da Base de Dados de Conhecimento da Microsoft documenta as questões actualmente conhecidas que os clientes podem experimentar quando instalam a actualização de segurança. Apenas os clientes que utilizam ligações com scripts que configuram o dispositivo para paridade, bits de paragem ou bits de dados, ou uma janela de terminal de ligação posterior, ou scripts de ligação, são afectados pelas questões identificadas no artigo da Base de Dados de Conhecimento. Se os clientes não utilizam nenhum dos cenários de ligação identificados são aconselhados a instalar imediatamente a actualização.

Se tiver instalado a actualização lançada com o Boletim de Segurança MS06-025, já está protegido contra o ataque identificado no código de prova de conceito divulgado publicamente. Se não instalou a actualização, ou se está afectado por um dos cenários identificados no Artigo 911280 da Base de Dados de Conhecimento da Microsoft, os clientes são aconselhados a desactivar o serviço Gestor de Ligação de Acesso Remoto.

  • Desactivar o serviço Gestor de Ligação de Acesso Remoto

    Desactivar o serviço Gestor de Ligação de Acesso Remoto irá ajudar a proteger o sistema afectado contra tentativas de explorar esta vulnerabilidade. Para desactivar o serviço Gestor de Ligação de Acesso Remoto (RASMAN), siga estes passos:

    1. Clique em Iniciar e, em seguida, clique em Painel de Controlo. Alternativamente, seleccione Definições e depois clique em Painel de Controlo.
    2. Faça duplo clique em Ferramentas Administrativas.
    3. Faça duplo clique em Serviços.
    4. Faça duplo clique no Gestor de Ligação de Acesso Remoto
    5. Na lista Tipo de arranque, clique em Desactivado.
    6. Clique em Parar e a seguir em OK.

    Também pode parar e desactivar o serviço Gestor de Ligação de Acesso Remoto (RASMAN) utilizando o seguinte comando na linha de comandos:

    sc stop rasman & sc config rasman start= disabled

    Impacto da solução alternativa: Se desactivar o serviço Gestor de Ligação de Acesso Remoto, não pode oferecer serviços de encaminhamento para outros servidores de alojamento na área local e em ambientes de rede WAN. Por isso, recomendamos esta solução alternativa apenas para sistemas que não requeiram a utilização do RASMAN para acesso remoto e encaminhamento.

  • Bloquear o seguinte na firewall:
    • Portas UDP 135, 137, 138 e 445 e portas TCP 135, 139, 445 e 593
    • Todo o tráfego de entrada não solicitado nas portas com um número superior a 1024
    • Qualquer outra porta RPC especificamente configurada

    Estas portas são utilizadas para iniciar uma ligação com RPC. O bloqueio destas portas na firewall ajuda a impedir que os sistemas protegidos por essa firewall sejam atacados por tentativas de explorar esta vulnerabilidade. Além disso, certifique-se de que bloqueia quaisquer outras portas RPC especificamente configuradas no sistema remoto. Recomendamos que bloqueie todas as comunicações de entrada não solicitadas a partir da Internet, para ajudar a impedir ataques que possam utilizar outras portas. Para mais informações sobre as portas utilizadas pelo RPC, visite o seguinte Web site.

  • Para ajudar a proteger contra tentativas baseadas em rede de explorar esta vulnerabilidade, utilize uma firewall pessoal, tal como a Firewall de Ligação à Internet , incluída no Windows XP e no Windows Server 2003.

    Por predefinição, a Firewall de Ligação à Internet no Windows XP e no Windows Server 2003 ajuda a proteger a sua ligação à Internet, bloqueando a recepção de tráfego não solicitado. Recomendamos que bloqueie todas as comunicações de entrada não solicitadas da Internet. No Windows XP Service Pack 2, esta funcionalidade chama-se Firewall do Windows.

    Para activar a funcionalidade Firewall de Ligação à Internet utilizando o Assistente de Configuração de Rede, siga estes passos:

    1. Clique em Iniciar e, em seguida, clique em Painel de Controlo.
    2. Na vista por categoria predefinida, clique em Ligações de Rede e de Internet e, em seguida, clique em Configurar ou alterar rede de pequeno escritório ou doméstica. A funcionalidade Firewall de Ligação à Internet é activada quando selecciona uma configuração no Assistente de Configuração de Rede que indique que o sistema está ligado directamente à Internet.

    Para configurar a Firewall de Ligação à Internet manualmente para uma ligação, siga estes passos:

    1. Clique em Iniciar e, em seguida, clique em Painel de Controlo.
    2. Na vista por categoria predefinida, clique em Ligações de Rede e de Internet e, em seguida, clique em Ligações de Rede.
    3. Clique com o botão direito do rato na ligação na qual pretende activar a Firewall de Ligação à Internet e, em seguida, clique em Propriedades.
    4. Clique no separador Avançadas.
    5. Clique para seleccionar a caixa de verificação Proteger o meu computador e a rede limitando ou impedindo o acesso a este computador a partir da Internet e, em seguida, clique em OK.

    Nota Se pretender activar a utilização de determinados programas e serviços para que comuniquem através da firewall, clique em Definições no separador Avançadas e, em seguida, seleccione os programas, protocolos e serviços necessários.

  • Os clientes que pensem ter sido atacados devem contactar a filial local do FBI ou apresentar a sua queixa no Web site Internet Fraud Complaint Center. Os clientes fora dos Estados Unidos devem contactar as autoridades locais dos respectivos países.
  • Os clientes nos E.U.A. e no Canadá que pensam poder ter sido afectados por esta possível vulnerabilidade podem receber assistência através dos Serviços de Suporte Técnico da Microsoft pelo número 1-866-PCSAFETY. O suporte técnico associado a questões de actualizações de segurança ou vírus é gratuito. Os clientes internacionais podem receber assistência utilizando qualquer um dos métodos que são apresentados no Web site Ajuda de Segurança e Suporte para Utilizadores Domésticos.

    Todos os clientes devem aplicar as mais recentes actualizações de segurança lançadas pela Microsoft para ajudar a assegurar que os seus sistemas estão protegidos contra tentativas de exploração da vulnerabilidade. Os clientes que tiverem as Actualizações automáticas activadas receberão automaticamente todas as actualizações do Windows. Para mais informações sobre as actualizações de segurança, visite o Web site de Segurança Microsoft.
  • Para obter mais informações sobre como estar seguro na Internet, os clientes podem visitar a página inicial de Segurança Microsoft.
  • Manter o Windows actualizado

    Todos os utilizadores do Windows devem aplicar as actualizações de segurança da Microsoft mais recentes para ajudar a garantir que os seus computadores estão o mais protegidos possível. Se não tiver a certeza se o seu software está actualizado, visite o Web site do Windows Update, procure actualizações disponíveis para o seu computador e instale todas as actualizações de prioridade elevada que lhe são oferecidas. Se tiver as Actualizações Automáticas activadas, as actualizações ser-lhe-ão entregues quando são lançadas, mas tem de se certificar de que as instala.

Outras informações

Recursos:

  • Pode fornecer o seu feedback preenchendo o formulário que encontrará no seguinte Web site.
  • Os clientes nos E.U.A. e no Canadá podem receber suporte técnico através do Suporte Técnico da Microsoft. Para obter mais informações sobre opções de suporte disponíveis, consulte o Web site Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte das subsidiárias locais da Microsoft. Para mais informações sobre como contactar a Microsoft relativamente a questões de suporte internacionais, visite o Web site de Suporte Internacional.
  • O Web Site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Exclusão de garantia:

As informações fornecidas neste aviso são fornecidas "tal como estão", sem garantias de qualquer tipo. A Microsoft exclui todas as garantias, sejam expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em caso algum serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais ou consequentes, extraordinários ou por perda de lucros negociais, ainda que a Microsoft Corporation, ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. A exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais não é permitida em alguns estados ou jurisdições, pelo que a limitação supra poderá não ser aplicável.

Revisões:

  • Data de publicação do Aviso: 23 de Junho de 2006

Built at 2014-04-18T01:50:00Z-07:00

Mostrar: