Aviso de Segurança da Microsoft 971888

Actualização para devolução de DNS

Data de publicação: 9 de junho de 2009

actualizada: 1.0

A Microsoft anuncia a disponibilização de uma actualização da devolução de DNS que pode ajudar os clientes a manter os seus sistemas protegidos. Os clientes cujo nome de domínio possui três ou mais etiquetas, tais como "contoso.co.us", que não têm uma lista de sufixos DNS configurada ou para os quais os seguintes factores atenuantes não são aplicados, podem estar a permitir inadvertidamente que sistemas cliente lidem com sistemas fora do limite organizacional, como se fossem internos ao limite da organização.

Factores Atenuantes:

  • Os clientes que façam parte de um domínio e tenham uma lista de pesquisa de sufixos DNS configurada no sistema não estão susceptíveis de lidar inadvertidamente com sistemas externos como se fossem internos. A Microsoft aconselha todos os clientes de empresas a definir listas de pesquisa de sufixos DNS em sistemas cliente, de forma a assegurar que todas as consultas de DNS permaneçam dentro dos limites organizacionais.
  • Na maioria dos casos, os utilizadores domésticos que não são membros de um domínio não utilizam a devolução de DNS, não estando, por isso, expostos a este risco. Os utilizadores domésticos que não sejam membros de um domínio mas que tenham configurado um sufixo DNS primário utilizam, no entanto, a devolução de DNS e estão susceptíveis de lidar inadvertidamente com sistemas externos como se fossem internos.
  • Os clientes cujo nome de domínio DNS consiste em duas etiquetas não estão expostos a este risco. Exemplo de um cliente que não é afectado: "contoso.com" ou "fabrikam.gov", em que "contoso" e "fabrikam" são nomes de domínios registados pelo cliente sob os respectivos domínios de nível superior (TLDs) ".com" e ".gov".

Informações Gerais

Objectivo do Aviso: Clarificar e notificar quanto à disponibilização de uma actualização não relacionada com segurança que pode ajudar os clientes a manter os seus sistemas protegidos.

Estado do Aviso: Foi lançado um Artigo da Base de Dados de Conhecimento da Microsoft e as actualizações associadas.

Recomendação: Consulte o artigo da Base de Dados de Conhecimento mencionado e aplique as actualizações adequadas.

ReferênciasIdentificação
O artigo da Base de Dados de Conhecimento da Microsoft 957579

Este aviso abrange o seguinte software.

Software Afectado
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 e Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 com SP2 para sistemas baseados em Itanium
Windows Vista, Windows Vista Service Pack 1 e Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2
Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2
Windows Server 2008 para sistemas baseados em Itanium e Windows Server 2008 para sistemas baseados em Itanium Service Pack 2

Qual é a abrangência deste aviso?
Este aviso fornece uma notificação que indica que as actualizações disponíveis ajudam a definir um limite organizacional para sistemas que façam parte de um domínio mas que não disponham de uma lista de sufixos DNS configurada. As actualizações disponíveis para o software estão listadas na secção Visão Geral.

O que é um domínio de nível superior (TLD)?
O domínio de nível superior (TLD) é a última parte do nome de um domínio de Internet. Estas são as letras que se seguem ao ponto final de qualquer nome de domínio. Por exemplo, no nome de domínio "wpad.western.corp.contoso.co.us", o TLD é ".us". Os TLDs podem ser divididos em dois tipos: código de país e genéricos. Os TLDs de código de país são abreviaturas de duas letras para cada país. Neste exemplo, ".us" refere-se a Estados Unidos (United States). Os TLDs genéricos são normalmente os mais conhecidos, sendo abreviaturas de três (ou mais) letras, tais como ".com", ".net", ".org", etc. Para obter uma lista completa de todos os TLDs disponíveis, consulte o site da IANA.

O que é um sufixo DNS primário (PDS)?
Consiste no nome de domínio acrescentado à direita de um nome do anfitrião simples do computador. Um nome de domínio completamente qualificado (FQDN) pode ser definido como <nomedoanfitrião>.<sufixo DNS primário>. Por predefinição, a porção do sufixo DNS primário de um FQDN do computador é a mesma do nome do domínio Active Directory ao qual o computador pertence. No entanto, o PDS do computador pode ser diferente do domínio de DNS ao qual o computador pertence, quando configurado através da caixa de diálogo Propriedades em O Meu Computador.

O que é um domínio de segundo nível (SLD)?
Um domínio de segundo nível (SLD) é um domínio localizado directamente "abaixo" ou à esquerda do TLD. No exemplo anterior, "wpad.western.corp.contoso.co.us", o SLD é ".co". O registo mais comum dos SLDs encontra-se abaixo dos TLDs de código de país. Os Estados Unidos utilizam primeiro o SLD para o registo do estado americano, como por exemplo, ".co.us" para o estado do Colorado. Os SLDs não pertencentes aos Estados Unidos reutilizam frequentemente nomes de TLD comuns, tais como ".com.sg".

O que faz a funcionalidade de devolução de DNS?
A devolução é uma funcionalidade do cliente DNS do Windows. A devolução consiste no processo através do qual os clientes DNS do Windows encontram resolução para consultas de DNS para nomes de anfitrião simples e não qualificados. As consultas são criadas acrescentando o PDS ao nome de anfitrião. A consulta é repetida ao remover sistematicamente a etiqueta mais à esquerda no PDS até que o nome de anfitrião + o PDS restante resolva ou que restem apenas duas etiquetas no PDS repartido. Por exemplo, os clientes Windows que pesquisem "Single-label" no domínio "western.corp.contoso.co.us" irão procurar progressivamente "Single-label.western.corp.contoso.co.us", "Single-label.corp.contoso.co.us" e depois "Single-label.co.us" até encontrar um sistema que encontre a resolução. Este processo é denominado de "devolução". Para mais informações sobre o serviço cliente DNS e sobre a devolução, consulte a secção sobre Resolução de nomes para nomes de domínio simples e não qualificados no artigo TechNet, Aspectos Fundamentais de TCP/IP para o Microsoft Windows, Capítulo 9 - Suporte do Windows para DNS.

O que provoca este risco?
Um utilizador malicioso poderia alojar um sistema com um nome simples fora de um limite da organização e, devido à devolução de DNS, poderia fazer com que um cliente DNS do Windows se ligasse ao referido sistema, como se fosse interno ao limite organizacional. Por exemplo, se o sufixo DNS de uma empresa for "corp.contoso.co.us" e se for efectuada uma tentativa de processamento de um nome de alojamento não qualificado de "Single-Label", a resolução de DNS irá tentar o endereço "Single-Label.corp.contoso.co.us". Se não for encontrado, tentará processar o endereço "Single-label.contoso.co.us", através da devolução de DNS. Se não for encontrado, tentará processar o endereço "Single-label.co.us", que está fora do domínio "contoso.co.us".

Quais as implicações para as pesquisas efectuadas fora do limite organizacional?
As implicações variam consoante a consulta foge do limite da organização.

Todas as consultas poderiam expor os endereços IP internos. Os clientes de rede podem trocar credenciais com o servidor malicioso. Caso a consulta seja para um servidor WPAD, o proxy malicioso pode ser definido nas máquinas do cliente.

Esta actualização altera o comportamento actual da devolução de DNS?
Sim. A actualização verifica qual é o domínio do cliente do Windows e limita as consultas de DNS no âmbito desse mesmo domínio. Para mais informações e exemplos da alteração do comportamento da devolução de DNS, consulte o Artigo 957579 da Base de Dados de Conhecimento da Microsoft.

Há alguma alteração na experiência de utilizador após a instalação desta actualização?
Sim. Após a instalação da actualização, a resolução de DNS efectuará apenas a devolução a um nível inerente às definições de domínio do cliente do Windows, afectando potencialmente quaisquer aplicações ou configurações baseadas neste comportamento. Para mais informações sobre a alteração do comportamento da devolução de DNS, consulte o Artigo 957579 da Base de Dados de Conhecimento da Microsoft.

Este é um aviso de segurança sobre uma questão não relacionada com segurança. Isto não é contraditório?
Os avisos de segurança tratam de alterações de segurança que podem não requerer um boletim de segurança, mas podem ainda assim afectar a segurança geral dos sistemas dos clientes. Os avisos de segurança são uma forma de a Microsoft comunicar informações relacionadas com segurança aos clientes, em relação a questões que não podem ser classificadas como vulnerabilidades e podem não requerer um boletim de segurança, ou sobre questões para as quais não foi lançado um boletim de segurança. Neste caso, estamos a comunicar a disponibilidade de uma actualização que afecta a sua capacidade de realizar actualizações posteriores, incluindo actualizações de segurança. Como tal, este aviso não resolve uma vulnerabilidade de segurança específica; trata, em vez disso, da sua segurança global.

Como é disponibilizada esta actualização?
Estas actualizações estão disponíveis no Centro de Transferências da Microsoft. Ligações directas às actualizações para software afectado específico encontram-se listadas na tabela de Software Afectado na secção Visão Geral. Para mais informações sobre a actualização e as alterações no comportamento, consulte o Artigo 957579 da Base de Dados de Conhecimento da Microsoft.

Esta actualização é distribuída através das Actualizações Automáticas?
Não. Estas actualizações não são distribuídas através do mecanismo de Actualizações Automáticas. As actualizações estão apenas disponíveis no Centro de Transferências da Microsoft. Ligações directas às actualizações para software afectado específico encontram-se listadas na tabela de Software Afectado na secção Visão Geral.

Por que razão isto não é uma actualização de segurança anunciada num Boletim de Segurança?
Trata-se de uma questão de configuração. A devolução de DNS funciona como pretendido e alguns clientes podem depender da devolução de DNS para alcançarem, de forma legítima, activos fora do limite organizacional e lidar com eles como se fossem activos internos.

Por que razão esta actualização é disponibilizada num aviso de segurança?
Os clientes poderão não ter conhecimento que clientes do Windows estão a utilizar a devolução. A devolução poderia permitir que clientes lidem com sistemas fora do seu limite como activos internos, levando-os, provavelmente, a conceder credenciais ou a exporem-se a vulnerabilidades do tipo de divulgação de informações.

Soluções alternativas

A Microsoft testou as seguintes soluções alternativas. Embora estas soluções alternativas não corrijam o risco subjacente, elas ajudam a bloquear vectores de ataque conhecidos. Na secção seguinte identificam-se os casos em que uma solução alternativa reduz a funcionalidade.

Desactivar a devolução de DNS

Para desactivar a devolução automática de DNS, guarde o que se segue num ficheiro com a extensão .REG e depois execute regedit.exe /s <filename> a partir de uma linha de comandos elevada ou com direitos de administrador:

Nota Consulte o artigo da TechNet, UseDomainNameDevolution, para obter mais informações sobre o valor de registo UseDomainNameDevolution.

Editor de registo do Windows versão 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]
"UseDomainNameDevolution"=dword:00000000

Para que as alterações tenham efeito, o serviço de cliente DNS deve ser parado e reiniciado. Isto pode ser efectuado a partir de uma linha de comandos elevada ou com direitos de administrador, utilizando o seguinte comando:

net stop dnscache & net start dnscache

Impacto da solução alternativa: A resolução de DNS não executará a devolução, afectando potencialmente quaisquer aplicações ou configurações baseadas neste comportamento. As aplicações que executam a sua própria forma de devolução não são afectadas por esta definição.

Configurar uma lista de pesquisa de sufixos de domínio

Para criar uma lista de pesquisa de sufixos de domínio, guarde o que se segue num ficheiro com a extensão .REG e depois execute regedit.exe /s <filename> a partir de uma linha de comandos elevada ou com direitos de administrador:

Editor de registo do Windows versão 5.00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"SearchList"=<domain specific search list>

Nota O Windows Server 2003 inclui a capacidade para distribuir a lista de pesquisa de sufixos de domínio através da Política de Grupos. Para mais informações, consulte o Artigo 294785 da Base de Dados de Conhecimento da Microsoft, na secção sobre a lista de pesquisa de sufixos DNS.

Impacto da solução alternativa: Quando uma lista de pesquisa de sufixos de domínio está configurada em sistemas de clientes, apenas é utilizada essa lista de sufixos nos pedidos de DNS. Não são utilizados os sufixos DNS primários nem quaisquer sufixos DNS específicos de ligação. A resolução de DNS não executará a devolução, afectando potencialmente quaisquer aplicações ou configurações baseadas neste comportamento.

Outras informações

Recursos:

  • Pode fornecer o seu feedback preenchendo o formulário que encontrará no seguinte Web site.
  • Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico através do Suporte Técnico da Microsoft. Para obter mais informações sobre opções de suporte disponíveis, consulte o Web site Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte das subsidiárias locais da Microsoft. Para mais informações sobre como contactar a Microsoft relativamente a questões de suporte internacionais, visite o Web site de Suporte Internacional.
  • O Web Site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Exclusão de garantia:

As informações fornecidas neste aviso são fornecidas "tal como estão", sem garantias de qualquer tipo. A Microsoft exclui todas as garantias, sejam expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em caso algum serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais ou consequentes, extraordinários ou por perda de lucros negociais, ainda que a Microsoft Corporation, ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. A exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais não é permitida em alguns estados ou jurisdições, pelo que a limitação supra poderá não ser aplicável.

Revisões:

  • V1.0 (9 de Junho de 2009): Aviso publicado.

Built at 2014-04-18T01:50:00Z-07:00

Mostrar: