Comunicado de Segurança da Microsoft (921923)

Código de verificação de conceito publicado que afeta o serviço Gerenciador de Conexão de Acesso Remoto

Publicado em: 23 de Junho de 2006

A Microsoft está ciente de que o código de exploração detalhado foi publicado na Internet para a vulnerabilidade tratada pelo boletim de segurança da Microsoft MS06-025. A Microsoft não está ciente no momento de ataques ativos que usam esse código de exploração nem do impacto sobre o cliente. Todavia, a Microsoft está monitorando ativamente a situação para manter os clientes informados e fornecer orientações conforme seja necessário.

Nossa investigação desse código de exploração verificou que ele não afeta clientes que tenham instalado as atualizações detalhadas no MS06-025 em seus computadores. A Microsoft continua a recomendar que os clientes apliquem as atualizações aos produtos afetados ativando Atualizações Automáticas no Windows.

A Microsoft está decepcionada com o fato que certos pesquisadores de segurança violaram a prática do setor comumente aceita de reter dados de vulnerabilidade até muito próximo do lançamento da atualização e publicaram código de exploração, potencialmente prejudicando os usuários de computador. Continuamos a insistir que pesquisadores de segurança liberem informações sobre vulnerabilidades de forma responsável e permitam que clientes tenham tempo de implantar as atualizações, de forma que não auxiliem criminosos na tentativa de tirarem proveito de vulnerabilidades de software

Fatores atenuantes:

•	Os clientes que tenham instalado a atualização de segurança MS06-025 não serão afetados por essa vulnerabilidade.
•	Os sistemas Windows 2000 são os que mais correm risco com essa vulnerabilidade. Os clientes executando o Windows 2000 devem implantar a MS06-025 o quanto antes ou desativar o serviço de RASMAN.
•	No Windows XP Service Pack 2, Windows Server 2003 e Windows Server 2003 Service Pack 1, o invasor teria que ter credenciais de logon válidas para explorar a vulnerabilidade.
•	Esse problema não afeta o Windows 98, Windows 98 SE ou Windows Millenium Edition.

Informações Gerais

Visão geral

Finalidade do comunicado: Notificação de uma atualização disponível para ajudar na proteção contra essa ameaça potencial.

Status do comunicado: Como esse problema já foi abordado no boletim de segurança MS06-025, não é necessária uma atualização adicional.

Recomendação: Instale a atualização de segurança MS06-025 para ajudar a proteger contra esta vulnerabilidade.

Referências	Identificação
Referência CVE	CVE-2006-2370
	CVE-2006-2371
Boletim de Segurança	MS06-025

Este comunicado descreve o seguinte software:


Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1 e Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 e Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 para sistemas baseados no Itanium e Microsoft Windows Server 2003 com SP1 para sistemas baseados no Itanium
Microsoft Windows Server 2003 x64 Edition

Início da sessão

Perguntas mais freqüentes

Qual é o escopo do comunicado?
A Microsoft está ciente de publicações sobre a exploração de vulnerabilidades objetivando código na atualização de segurança MS06-025 da Microsoft. Isto afeta o software que está listado na seção “Visão geral”

Trata-se de uma vulnerabilidade de segurança que requer a publicação de uma atualização pela Microsoft?
Não. Os clientes que tenham instalado a atualização de segurança MS06-025 não serão afetados por essa vulnerabilidade. Não é necessária uma atualização adicional.

O que provoca essa ameaça?
Um buffer não verificado em tecnologias de Roteamento e Acesso Remoto que afetam especificamente o serviço Gerenciador de Conexão de Acesso Remoto (RASMAN)

O que esse recurso faz?
O Gerenciador de Conexão de Acesso Remoto é um serviço que lida com os detalhes do estabelecimento de uma conexão ao servidor remoto. Esse serviço também fornece ao cliente informações sobre o status durante a operação de conexão. O Gerenciador de Conexão de Acesso Remoto é iniciado automaticamente quando um aplicativo carrega o RASAPI32.DLL

Para que um invasor pode usar a função?
Um invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total do sistema afetado.

Existe qualquer problema conhecido com a instalação da atualização de segurança da Microsoft MS06-025 que protege contra esta ameaça?
O artigo 911280 da Base de Conhecimento Microsoft documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização de segurança. Somente os clientes que usam conexões dial-up que usam scripts que configuram seu dispositivo para paridade, bits de parada ou bits de dados ou um janela terminal de pós-conexão ou scripting de dial-up são afetados pelos problemas identificados no artigo do KB. Se os clientes não usam qualquer dos cenários de dial-up identificados, recomendamos instalar a atualização imediatamente...

Início da sessão

Ações sugeridas

Se você instalou a atualização lançada com o Boletim de Segurança MS06-025, você já está protegido do ataque identificado no código de verificação de conceito publicado. Se você não instalou a atualização nem foi afetado por nenhum dos cenários identificados no artigo 911280 da Base de Conhecimento Microsoft, recomendamos que os clientes desativem o serviço Gerenciador de Conexão de Acesso Remoto.

•

Desativar o serviço Gerenciador de Conexão de Acesso Remoto

A desativação do serviço Gerenciador de Conexão de Acesso Remoto ajudará a proteger o sistema afetado das tentativas de explorar esta vulnerabilidade. Para desativar o serviço Gerenciador de Conexão de Acesso Remoto (RASMAN), siga estes passos:

1.	Clique em Iniciar e em Painel de controle .Como alternativa, aponte para Configurações e clique em Painel de Controle.
2.	Clique duas vezes em Ferramentas Administrativas.
3.	Clique duas vezes em Serviços.
4.	Clique duas vezes em Gerenciador de Conexão de Acesso Remoto.
5.	Na lista Tipo de inicialização, clique em Desativado.
6.	Clique em Parar e em OK.

Você também pode interromper e desativar o serviço Gerenciador de Conexão de Acesso Remoto (RASMAN) usando o seguinte comando no prompt de comando:

              sc stop rasman & sc config rasman start= disabled

Impacto da solução alternativa: Se você desativar o serviço Gerenciador de Conexão de Acesso Remoto, não poderá oferecer serviços de roteamento a outros hosts em ambientes de redes locais e remotas. Portanto, recomendamos esta solução alternativa somente em sistemas que não requerem o uso de RASMAN para acesso remoto e roteamento.

•

Bloquear o seguinte no firewall:

•	Portas UDP 135, 137, 138 e 445; portas TCP 135, 139, 445 e 593
•	Todos os tráfegos de entrada não solicitados nas portas acima de 1024
•	Qualquer outra porta RPC especialmente configurada

Essas portas são usadas para iniciar uma conexão com RPC. O bloqueio dessas portas no firewall ajudará a proteger os sistemas atrás do firewall contra as tentativas de exploração dessa vulnerabilidade. Certifique-se também de bloquear qualquer outra porta RPC especificamente configurada no sistema remoto. Recomendamos que você bloqueie todas as comunicações de entrada não solicitadas da Internet para ajudar a evitar ataques que possam usar outras portas. Para obter mais informações sobre as portas usadas por RPC, visite o seguinte site.

•

Para ajudar a proteger de tentativas baseadas na rede de explorar esta vulnerabilidade, use um firewall pessoal, como o Firewall de conexão com a Internet, incluído no Windows XP e Windows Server 2003.

Por padrão,recurso Firewall de conexão com a Internet no Windows XP e no Windows Server 2003 ajuda a proteger sua conexão com a Internet ao bloquear o tráfego de entrada não solicitado. É recomendável que você bloqueie toda a comunicação de entrada não solicitada da Internet. No Windows XP Service Pack 2, esse recurso é denominado Firewall do Windows.

Para habilitar o recurso Firewall de Conexão com a Internet, usando o Assistente para Configuração de Rede, siga estas etapas:

1.	Clique em Iniciar e em Painel de Controle.
2.	No modo Exibição por Categoria padrão, clique em Conexões de Rede e de Internet e, em seguida, clique em Configurar ou alterar a rede doméstica ou de pequena empresa. O recurso Firewall de Conexão com a Internet é habilitado quando você escolhe uma configuração no Assistente para Configuração de Rede que indica se seu sistema está conectado diretamente à Internet.

Para configurar o Firewall de Conexão com a Internet manualmente para uma conexão, siga estas etapas:

1.	Clique em Iniciar e em Painel de Controle.
2.	No modo Exibição por Categoria padrão, clique em Conexões de Rede e de Internet e, em seguida, clique em Conexões de Rede.
3.	Clique com o botão direito do mouse na conexão desejada para habilitar o Firewall de Conexão com a Internet e clique em Propriedades.
4.	Clique na guia Avançado.
5.	Marque a caixa de seleção Proteger o computador e a rede limitando ou impedindo o acesso a este computador através da Internet e, em seguida, clique em OK.

Observação Se desejar ativar determinados programas e serviços para que eles se comuniquem através do firewall, clique em Configurações na guia Avançado e selecione os programas, os protocolos e os serviços necessários.

•	Clientes que acreditam ter sido atacados devem entrar em contato com o escritório local do FBI ou enviar sua reclamação para o site do Internet Fraud Complaint Center. Clientes que não estão nos Estados Unidos devem entrar em contato com a agência nacional que garanta o cumprimento da lei de seu país.
•	Os clientes nos EUA e Canadá que acharem que foram afetados por essa possível vulnerabilidade podem receber suporte técnico dos Serviços de Suporte ao Produto Microsoft pelo telefone 1-866-PCSAFETY. O suporte associado a problemas de atualizações de segurança ou vírus é gratuito. Os clientes internacionais podem receber suporte através dos métodos listados no site Security Help and Support for Home Users. Todos os clientes devem aplicar as últimas atualizações de segurança lançadas pela Microsoft para ajudar a garantir que seus sistemas estão protegidos contra tentativas de invasão. Os clientes que ativaram as Atualizações Automáticas receberão automaticamente todas as atualizações do Windows. Para obter mais informações sobre atualizações de segurança, visite o site de Segurança da Microsoft.
•	Para obter mais informações sobre como ficar protegido na Internet, os clientes podem visitar a Página de Segurança da Microsoft.
•	Mantenha o Windows atualizado Todos os usuários do Windows devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estão protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o site Windows Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se o recurso Atualizações automáticas estiver ativado, as atualizações serão fornecidas quando forem lançadas, mas você precisará instalá-las.

Início da sessão

Recursos:

•	Você pode fazer comentários preenchendo o formulário disponível neste site.
•	Os clientes nos EUA e Canadá podem receber suporte técnico dos Serviços de Suporte ao Produto Microsoft. Para obter mais informações sobre as opções de suporte disponíveis, consulte o site de ajuda e suporte da Microsoft.
•	Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft a fim de obter suporte internacional a problemas, visite o site de Suporte Internacional.
•	O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.

Aviso de isenção de responsabilidade:

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, conseqüenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões:

•	Comunicado publicado em 23 de junho de 2006

Início da página