Aviso de Segurança da Microsoft 922437

Código de Exploração Publicado que afecta o Serviço de Servidor

Data de publicação: 11 de agosto de 2006 | Updated: 13 de agosto de 2006

A Microsoft teve conhecimento de anúncios públicos relacionados com um ataque conhecido como Win32/Graweg que explora a vulnerabilidade corrigida pela actualização de segurança MS06-040. A investigação inicial da Microsoft sobre o Win32/Graweg verificou que afecta apenas os utilizadores que utilizam o Windows 2000 e que não instalaram a actualização descrita no boletim MS06-040. A Microsoft activou o processo de resposta a emergências e continua a investigar esta questão.

Os parceiros da Microsoft Security Response Alliance, bem como as nossas equipas internas, determinaram que não existem impactos globais sobre os clientes e classificaram o Win32/Graweb como uma ameaça de gravidade Baixa. Neste momento, não parece ser um worm de auto-replicação na Internet.

A Microsoft continua a recomendar que os clientes apliquem as actualizações de Agosto o quanto antes com urgência e interesse adicionais, tendo em conta a actualização descrita no boletim MS06-040. Os clientes podem certificar-se de que as actualizações estão a ser instaladas, activando a função Actualizações Automáticas no Windows ou utilizando a infra-estrutura de implementação da sua empresa.

Os clientes que acham que podem estar infectados ou que não têm a certeza se estão infectados pelo Win32/Graweb devem visitar o site Safety.live.com e escolher "Protection Scan" (Análise de protecção). Além disso, o Windows Live OneCare da Microsoft possibilita a detecção do Win32/Graweb e respectivas variantes conhecidas.

Os clientes que pensem ter sido atacados devem contactar a filial local do FBI ou apresentar a sua queixa em www.ic3.gov. Os clientes fora dos Estados Unidos devem contactar as autoridades locais dos respectivos países

Os clientes que acham que podem ter sido afectados podem contactar o Suporte Técnico da Microsoft. Contacte o Suporte Técnico na América do Norte para obter ajuda relacionada com actualizações de segurança ou vírus, sem quaisquer custos, através da linha PC Safety (1866-PCSAFETY); os clientes internacionais podem utilizar qualquer método encontrado na seguinte localização: http://support.microsoft.com/security.

Factores atenuantes:

  • Os clientes que tenham instalado a actualização de segurança do boletim MS06-040 não são afectados por esta vulnerabilidade.
  • Enquanto que a instalação da actualização é uma acção recomendada, os clientes que aplicaram as atenuações identificadas no boletim MS06-040 minimizaram a sua exposição e possibilidade de exploração em caso de ataque.

Informações Gerais

Objectivo do Aviso: Notificação da disponibilidade de uma actualização de segurança para ajudar a proteger contra esta ameaça potencial.

Estado do Aviso: Visto que este problema já é tratado como parte do boletim de segurança MS06-040, não é necessária mais nenhuma actualização adicional.

Recomendação: Instale a actualização de segurança MS06-040 para ajudar a proteger o seu sistema contra esta vulnerabilidade.

ReferênciasIdentificação
Referência CVE CVE-2006-3439
Boletim de Segurança MS06-040

Este aviso abrange o seguinte software.

Software Relacionado
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1

Qual é a abrangência deste aviso?
A Microsoft teve conhecimento de mensagens em circulação pública relacionadas com código de exploração da vulnerabilidade identificada na Actualização de Segurança da Microsoft MS06-040. Isto afecta o software listado na secção "Visão Geral".

Esta é uma vulnerabilidade de segurança que requer que a Microsoft publique uma actualização de segurança?
Não. Os clientes que tenham instalado a actualização de segurança do boletim MS06-040 não são afectados por esta vulnerabilidade. Não é necessária qualquer actualização adicional.

O que provoca a vulnerabilidade?
Uma memória intermédia não verificada no serviço de Servidor.

Como poderia um intruso explorar a vulnerabilidade?
Um intruso poderia tentar explorar a vulnerabilidade criando uma mensagem especialmente concebida para o efeito e enviando a mensagem ao sistema afectado. A mensagem poderia, então, fazer com que o sistema afectado executasse código.

O que é o serviço de Servidor?
O serviço de Servidor fornece suporte RPC, suporte de impressão de ficheiros e partilha de encaminhamentos com nome através da rede. O serviço de Servidor permite partilhar os recursos locais (como discos e impressoras) para que estejam acessíveis aos utilizadores na rede. Também permite comunicações através de encaminhamentos com nome entre aplicações executadas noutros computadores e o seu, que é usado para RPC.

Como poderia um intruso utilizar esta função?
Um intruso que conseguisse tirar partido desta vulnerabilidade com êxito poderia controlar totalmente o sistema afectado.

Existem algumas questões conhecidas relacionadas com a instalação da Actualização de Segurança MS06-040 da Microsoft que protegem contra esta ameaça?
Não. A Microsoft continua a aconselhar os clientes a instalar de imediato a actualização.

Se tiver instalado a actualização lançada com o Boletim de Segurança MS06-040, já está protegido contra o ataque identificado no código de prova de conceito divulgado publicamente. Se não instalou a actualização, os clientes são aconselhados a aplicar as atenuações identificadas no boletim MS06-040.

  • Manter o Windows actualizado
  • Todos os utilizadores do Windows devem aplicar as actualizações de segurança da Microsoft mais recentes para ajudar a garantir que os seus computadores estão o mais protegidos possível. Se não tiver a certeza se o seu software está actualizado, visite o Web site do Microsoft Update, procure actualizações disponíveis para o seu computador e instale todas as actualizações de prioridade elevada que lhe são oferecidas. Se tiver as Actualizações Automáticas activadas, as actualizações ser-lhe-ão entregues quando são lançadas, mas tem de se certificar de que as instala.
  • Bloqueio das portas TCP 139 e 445 na firewall

    Esta porta é usada para iniciar uma ligação com o protocolo afectado. O bloqueio destas portas na firewall, a nível de recepção e envio, ajuda a impedir que os sistemas protegidos por essa firewall sejam atacados por tentativas de explorar esta vulnerabilidade. Recomendamos que bloqueie todas as comunicações de entrada não solicitadas a partir da Internet, para ajudar a impedir ataques que possam utilizar outras portas. Para mais informações sobre as portas, visite o seguinte Web site.

  • Activar a filtragem TCP/IP avançada em sistemas

    É possível activar a filtragem TCP/IP avançada para bloquear todo o tráfego de entrada não solicitado. Para obter informações adicionais sobre como configurar a filtragem TCP/IP, consulte o artigo 309798 da Base de Dados de Conhecimento da Microsoft.

  • Bloquear as portas afectadas utilizando IPsec nos sistemas afectados

    Utilize a funcionalidade de segurança de Protocolo Internet (IPsec) para ajudar a proteger as comunicações de rede. Estão disponíveis informações detalhadas sobre o protocolo IPSec e o modo de aplicação de filtros nos artigos 313190 e 813878 da Base de Dados de Conhecimento da Microsoft.

  • Proteja o seu PC

    Continuamos a encorajar os clientes a seguir os nossos conselhos para proteger o computador e activar uma firewall, obter actualizações de software e instalar software anti-vírus. Os clientes poderão saber mais sobre estes passos no Web site Proteja o Seu PC .

  • Para obter mais informações sobre como estar seguro na Internet, os clientes podem visitar a página inicial de Segurança Microsoft.
  • Os clientes que pensem ter sido atacados devem contactar a filial local do FBI ou apresentar a sua queixa no Web site Internet Fraud Complaint Center. Os clientes fora dos Estados Unidos devem contactar a instituição de segurança e defesa da lei do seu país.

    Todos os clientes devem aplicar as actualizações mais recentes de segurança publicadas pela Microsoft para ajudar a assegurar que os seus sistemas estão protegidos contra exploração do código. Os clientes que tiverem as Actualizações automáticas activadas receberão automaticamente todas as actualizações do Windows. Para mais informações sobre as actualizações de segurança, visite o Web site de Segurança Microsoft.

Outras informações

Recursos:

  • Pode fornecer o seu feedback preenchendo o formulário que encontrará no seguinte Web site.
  • Os clientes nos E.U.A. e no Canadá podem receber suporte técnico através do Suporte Técnico da Microsoft. Para obter mais informações sobre opções de suporte disponíveis, consulte o Web site Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte das subsidiárias locais da Microsoft. Para mais informações sobre como contactar a Microsoft relativamente a questões de suporte internacionais, visite o Web site de Suporte Internacional.
  • O Web Site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Exclusão de garantia:

As informações fornecidas neste aviso são fornecidas "tal como estão", sem garantias de qualquer tipo. A Microsoft exclui todas as garantias, sejam expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em caso algum serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais ou consequentes, extraordinários ou por perda de lucros negociais, ainda que a Microsoft Corporation, ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. A exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais não é permitida em alguns estados ou jurisdições, pelo que a limitação supra poderá não ser aplicável.

Revisões:

  • 11 de Agosto de 2006: Aviso publicado.
  • 13 de Agosto de 2006: Aviso actualizado para descrever a actividade relacionada com o Win32/Graweg.

Built at 2014-04-18T01:50:00Z-07:00

Mostrar: