Boletim de Segurança da Microsoft MS05-039

Há uma vulnerabilidade de execução remota de código e de elevação local de privilégio no Plug and Play que pode permitir a um invasor que tenha explorado com êxito essa vulnerabilidade assumir total controle do sistema afetado.

•	No Windows XP Service Pack 2 e no Windows Server 2003, um invasor precisa ter credenciais de logon válidas e deve ser capaz de fazer logon localmente para explorar essa vulnerabilidade. Os usuários anônimos ou que tiverem contas de usuário padrão não poderão explorar essa vulnerabilidade. No entanto, o componente afetado está disponível remotamente para os usuários com permissões administrativas.
•	No Windows XP Service Pack 1, um invasor precisa ter credenciais de logon válidas para tentar explorar essa vulnerabilidade. Essa vulnerabilidade não pode ser explorada remotamente por usuários anônimos. No entanto, o componente afetado está disponível remotamente para os usuários que têm contas de usuário padrão.
•	As práticas recomendadas para firewall e as configurações de firewall padrão podem ajudar a proteger as redes contra ataques com origem externa ao perímetro da empresa. Essas práticas também recomendam que os sistemas conectados à Internet tenham um número mínimo de portas expostas.

Início da sessão

A Microsoft testou as seguintes soluções alternativas. Apesar de essas soluções alternativas não corrigirem a vulnerabilidade subjacente, elas ajudam a bloquear vetores de ataque conhecidos. Quando uma solução alternativa reduz a funcionalidade, ela é indicada na seção a seguir.

Observação Outros protocolos, como o IPX (Internetwork Packet Exchange) e o SPX (Sequenced Packet Exchange) podem ficar vulneráveis a esse problema. Se você estiver usando protocolos vulneráveis, como o IPX e o SPX, bloqueie as portas apropriadas para esses protocolos. Para obter mais informações sobre o IPX e o SPX, visite o site da Microsoft a seguir.

Observação Conforme mencionado na seção “Fatores Atenuanes”, o Windows XP Service Pack 2 e o Windows Server 2003 estão vulneráveis a esse problema principalmente no caso de usuários conectados localmente. As soluções alternativas a seguir foram desenvolvidas basicamente para as versões mais antigas dos sistemas operacionais que estão vulneráveis aos ataques anônimos com base na rede.

•	Bloquear as portas 139 e 445 no firewall: Essas portas são usadas para iniciar uma conexão com o protocolo afetado. O bloqueio dessas portas no firewall ajudará a impedir que os sistemas atrás do firewall sejam alvo de tentativas de exploração dessa vulnerabilidade. Recomendamos que você bloqueie todas as comunicações de entrada não solicitadas da Internet para ajudar a evitar ataques que possam usar outras portas. Para obter mais informações sobre as portas, visite este site.
•	Para ajudar a se proteger de tentativas baseadas na rede de explorar essa vulnerabilidade, use um firewall pessoal, como oFirewall de Conexão com a Internet, incluído no Windows XP Service Pack 1. Por padrão, o recurso Firewall de Conexão com a Internet do Windows XP ajuda a proteger a sua conexão com a Internet bloqueando tráfegos de entrada não solicitados. É recomendável que você bloqueie toda a comunicação de entrada não solicitada da Internet. Para habilitar o recurso Firewall de Conexão com a Internet, usando o Assistente para Configuração de Rede, siga estas etapas: 1. Clique em Iniciar e em Painel de Controle. 2. No modo Exibição por Categoria padrão, clique em Conexões de Rede e de Internet e, em seguida, clique em Configurar ou alterar a rede doméstica ou de pequena empresa. O recurso Firewall de Conexão com a Internet é habilitado quando você escolhe uma configuração no Assistente para Configuração de Rede que indica se seu sistema está conectado diretamente à Internet. Para configurar o Firewall de Conexão com a Internet manualmente para uma conexão, siga estas etapas: 1. Clique em Iniciar e em Painel de Controle. 2. No modo Exibição por Categoria padrão, clique em Conexões de Rede e de Internet e, em seguida, clique em Conexões de Rede. 3. Clique com o botão direito do mouse na conexão desejada para habilitar o Firewall de Conexão com a Internet e clique em Propriedades. 4. Clique na guia Avançado. 5. Marque a caixa de seleção Proteger o computador e a rede limitando ou impedindo o acesso a este computador através da Internet e, em seguida, clique em OK. Observação: se desejar habilitar determinados programas e serviços para que eles se comuniquem através do firewall, clique em Configurações na guia Avançado e selecione os programas, os protocolos e os serviços necessários.
•	Para ajudar a se proteger de tentativas baseadas na rede de explorar esta vulnerabilidade, habilite a filtragem TCP/IP avançada em um sistema que ofereça suporte a esse recurso. Você pode habilitar a filtragem TCP/IP avançada para impedir todo e qualquer tráfego de entrada não solicitado. Para obter mais informações sobre como configurar a filtragem TCP/IP, consulte o artigo 309798 (site em inglês) Base de Conhecimento Microsoft.
•	Para ajudar a se proteger de tentativas baseadas na rede de explorar esta vulnerabilidade, bloqueie as portas afetadas usando o IPsec nos sistemas afetados. Use o IPsec (Internet Protocol Security) para ajudar a proteger as comunicações de rede. Informações detalhadas sobre o IPSec e a aplicação de filtros estão disponíveis nos artigos 313190 e 813878 do Microsoft Knowledge Base.

Início da sessão

Qual é o escopo da vulnerabilidade?

Essa é uma vulnerabilidade de execução remota de código e de elevação local de privilégio. No Windows 2000, um invasor anônimo pode tentar explorar essa vulnerabilidade remotamente. No Windows XP Service Pack 1, somente um usuário autenticado pode tentar explorar essa vulnerabilidade remotamente. No Windows XP Service Pack 2 e no Windows Server 2003, somente um administrador pode acessar remotamente o componente afetado. Portanto, no Windows XP Service Pack 2 e no Windows Server 2003, essa é estritamente uma vulnerabilidade de elevação de privilégio local. Um usuário anônimo não pode tentar explorar essa vulnerabilidade remotamente no Windows XP Service Pack 2 e no Windows Server 2003.

Um invasor que explorar essa vulnerabilidade com sucesso assumirá o controle total de um sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

O que provoca a vulnerabilidade?
Um buffer não verificado no serviço Plug and Play.

O que é Plug and Play?
O recurso Plug and Play (PnP) permite que o sistema operacional detecte novos itens de hardware quando você os instala em um sistema. Por exemplo, quando você instala um novo mouse no sistema, o PnP permite que o Windows detecte esse dispositivo, carregue os drivers necessários e comece a usar o novo mouse.

Para que um invasor pode usar a vulnerabilidade?
Um invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total do sistema afetado.

De que forma o invasor pode explorar a vulnerabilidade?
No Windows 2000, um invasor anônimo pode tentar explorar a vulnerabilidade criando uma mensagem elaborada especialmente e enviando-a a um sistema afetado. A mensagem poderá, então, fazer com que o sistema afetado execute códigos. Isso seria possível remotamente no Windows XP Service Pack 1 apenas de usuários autenticados. No Windows XP Service Pack 2 e no Windows Server 2003, para tentar explorar a vulnerabilidade, o invasor precisa fazer logon localmente em um sistema para que possa executar um aplicativo elaborado especialmente.

Quais são os principais sistemas que correm riscos com a vulnerabilidade?
Os sistemas Windows 2000 estão principalmente em risco com essa vulnerabilidade. No Windows XP Service Pack 1, no Windows XP Service Pack 2 e no Windows Server 2003 um invasor precisa ter credenciais de logon válidas para explorar essa vulnerabilidade. Os usuários anônimos no Windows XP Service Pack 1, Windows XP Service Pack 2 e Windows Server 2003 não podem explorar essa vulnerabilidade remotamente.

É possível explorar essa vulnerabilidade pela Internet?
Sim, os usuários anônimos no Windows 2000 e os usuários autenticados no Windows XP Service Pack 1 podem fazer isso. As práticas recomendadas e as configurações padrão de firewall podem auxiliar na proteção contra ataques originados pela Internet. A Microsoft forneceu informações sobre como você pode ajudar a proteger o seu PC. Os usuários finais podem visitar o site Proteja seu PC. Os profissionais de TI podem visitar o site Centro de Orientaes de Segurana (em inglês). No Windows XP Service Pack 2 e no Windows Server 2003, um invasor precisa fazer logon no sistema específico a ser atacado. Um invasor anônimo não pode carregar e executar um programa remotamente usando essa vulnerabilidade.

O que a atualização faz?
A atualização elimina a vulnerabilidade modificando o modo como o serviço Plug and Play valida o tamanho de uma mensagem antes de transmiti-la ao buffer alocado. Além disso, no Windows 2000, a atualização restringe o acesso anônimo aos componentes afetados ao exigir que os usuários sejam autenticados com o componente afetado antes que tentem usar essa funcionalidade remotamente. Essa alteração é consistente com as configurações padrão do Windows XP Service Pack 1.

Quando este boletim de segurança foi publicado, essa vulnerabilidade já havia sido divulgada publicamente?
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio de divulgação responsável. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido divulgada publicamente quando este boletim de segurança foi lançado pela primeira vez.

Quando este boletim de segurança foi publicado, a Microsoft havia recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes e não testemunhou nenhum exemplo de publicação de código de verificação de conceito quando este boletim de segurança foi lançado pela primeira vez.

Início da sessão

Pré-requisitos
Esta atualização de segurança requer o Windows Server 2003 ou Windows Server 2003 Service Pack 1.

Inclusão em Service Packs futuros:
A atualização desse problema será incluída em um service pack ou conjunto de atualizações futuro.

Informações de instalação

Esta atualização de segurança oferece suporte às seguintes opções de instalação:

Observação É possível combinar essas opções em uma única linha de comando. Para obter compatibilidade com versões anteriores, a atualização de segurança também oferece suporte a várias opções de instalação utilizadas por versões anteriores do programa de instalação. Para obter mais informações sobre opções com suporte de segurança consulte o Artigo 262841 (site em inglês) do Microsoft Knowledge Base. Para obter mais informações sobre o instalador Update.exe, visite o site Microsoft TechNet.

Informações de implantação

Para instalar a atualização de segurança sem nenhuma intervenção do usuário, utilize o seguinte comando em um prompt de comando para o Windows Server 2003:

Windowsserver2003-kb899588-x86-enu /quiet

Observação O uso da opção /quiet eliminará todas as mensagens. Isso inclui a eliminação de mensagens de falha. Os administradores devem usar um dos métodos com suporte para verificar se a instalação foi bem-sucedida quando utilizarem a opção /quiet. Os administradores também devem examinar o arquivo KB899588.log à procura de qualquer mensagem de falha quando usarem essa opção.

Para instalar a atualização de segurança sem forçar a reinicialização do sistema, use o seguinte comando em um prompt de comando para o Windows Server 2003:

Windowsserver2003-kb899588-x86-enu /norestart

Para obter informações sobre como implantar esta atualização de segurança com os serviços de atualização de software, visite o site Software Update Services. Para obter mais informações sobre como implantar esta atualização de segurança usando o recurso Windows Server Update Services, visite o site do Windows Server Update Services. Esta atualização de segurança também está disponível no site Microsoft Update.

Requisito de reinicialização

É necessário reiniciar o sistema depois de aplicar essa atualização de segurança.

Informações sobre remoção

Para remover esta atualização, use a ferramenta Adicionar ou Remover Programas no Painel de Controle.

Os administradores de sistema também podem usar o utilitário Spuninst.exe para remover esta atualização de segurança. O utilitário Spuninst.exe está localizado na pasta %Windir%\$NTUninstallKB899588$\Spuninst.

Informações sobre o arquivo

A versão em inglês desta atualização de segurança tem os atributos de arquivo relacionados na tabela abaixo. As datas e as horas destes arquivos estão de acordo com a hora universal coordenada (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para saber a diferença entre o UTC e o horário local, use a guia Fuso Horário na ferramenta Data e Hora, no Painel de Controle.

Windows Server 2003, Web Edition; Windows Server 2003, Standard Edition; Windows Server 2003, Datacenter Edition; Windows Server 2003, Enterprise Edition; Windows Small Business Server 2003; Windows Server 2003, Web Edition com SP1; Windows Server 2003, Standard Edition com SP1; Windows Server 2003, Enterprise Edition com SP1; e Windows Server 2003, Datacenter Edition com SP1:

Windows Server, 2003 Enterprise Edition para sistemas baseados no Itanium; Windows Server 2003, Datacenter Edition para sistemas baseados no Itanium; Windows Server 2003, Enterprise Edition com SP1 para sistemas baseados no Itanium; e Windows Server 2003, Datacenter Edition com SP1 para sistemas baseados no Itanium:

Windows Server 2003, Standard x64 Edition; Windows Server 2003, Enterprise x64 Edition; e Windows Server 2003, Datacenter x64 Edition:

Observações: Quando você instalar essas atualizações de segurança, o instalador verificará se um ou mais arquivos que estão sendo atualizados no sistema já foram atualizados por um hotfix da Microsoft.

Se você já tiver instalado um hotfix para atualizar um desses arquivos, o instalador copiará os arquivos RTMQFE, SP1QFE ou SP2QFE para o sistema. Do contrário, o instalador copiará os arquivos RTMGDR, SP1GDR ou SP2GDR para o sistema. As atualizações de segurança podem não conter todas as variações desses arquivos. Para obter mais informações sobre esse comportamento, consulte o Artigo 824994 Base de Conhecimento Microsoft.

Para obter mais informações sobre esse comportamento, consulte o Artigo 824994 Base de Conhecimento Microsoft.

Para obter mais informações sobre o instalador Update.exe, visite o site Microsoft TechNet.

Para obter mais informações sobre a terminologia que aparece neste boletim, como hotfix, consulte o artigo 824684 Base de Conhecimento Microsoft.

O arquivo arpidfix.exe é usado pelo instalador da atualização de segurança para resolver um problema documentado no artigo 904630 (em inglês) do Microsoft Knowledge Base. Esse arquivo não está instalado no sistema afetado.

Verificando se a atualização foi aplicada

Pré-requisitos
Esta atualização de segurança requer o Microsoft Windows XP Service Pack 1 ou uma versão posterior. Para obter mais informações, consulte o artigo 322389 (em inglês) Base de Conhecimento Microsoft.

Inclusão em Service Packs futuros:
A atualização desse problema será incluída em um futuro Service Pack ou Pacote Cumulativo de Atualizações.

Informações de instalação

Esta atualização de segurança oferece suporte às seguintes opções de instalação:

Observação É possível combinar essas opções em uma única linha de comando. Para obter compatibilidade com versões anteriores, a atualização de segurança também oferece suporte às opções de instalação utilizadas por versões anteriores do utilitário de instalação. Para obter mais informações sobre opções com suporte de segurança consulte o Artigo 262841 (site em inglês) do Microsoft Knowledge Base. Para obter mais informações sobre o instalador Update.exe, visite o site Microsoft TechNet.

Informações de implantação

Para instalar a atualização de segurança sem qualquer intervenção do usuário, use o seguinte comando em um prompt de comando do Microsoft Windows XP:

Windowsxp-kb899588-x86-enu /quiet

Observação O uso da opção /quiet eliminará todas as mensagens. Isso inclui a eliminação de mensagens de falha. Os administradores devem usar um dos métodos com suporte para verificar se a instalação foi bem-sucedida quando utilizarem a opção /quiet. Os administradores também devem examinar o arquivo KB899588.log à procura de qualquer mensagem de falha quando usarem essa opção.

Para instalar a atualização de segurança sem forçar a reinicialização do sistema, use o seguinte comando em um prompt de comando do Windows XP:

Windowsxp-kb899588-x86-enu /norestart

Para obter informações sobre como implantar esta atualização de segurança com os serviços de atualização de software, visite o site Software Update Services. Para obter mais informações sobre como implantar esta atualização de segurança usando o recurso Windows Server Update Services, visite o site do Windows Server Update Services. Esta atualização de segurança também está disponível no site Microsoft Update.

Requisito de reinicialização

É necessário reiniciar o sistema depois de aplicar essa atualização de segurança.

Informações sobre remoção

Para remover esta atualização de segurança, use a ferramenta Adicionar ou Remover Programas no Painel de Controle.

Os administradores de sistema também podem usar o utilitário Spuninst.exe para remover esta atualização de segurança. O utilitário Spuninst.exe está localizado na pasta %Windir%\$NTUninstallKB899588$\Spuninst.

Informações sobre o arquivo

A versão em inglês desta atualização de segurança tem os atributos de arquivo relacionados na tabela abaixo. As datas e as horas destes arquivos estão de acordo com a hora universal coordenada (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para saber a diferença entre o UTC e o horário local, use a guia Fuso Horário na ferramenta Data e Hora, no Painel de Controle.

Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP Tablet PC Edition, Windows XP Media Center Edition, Windows XP Home Edition Service Pack 2, Windows XP Professional Service Pack 2, Windows XP Tablet PC Edition 2005 e Windows XP Media Center Edition 2005:

Windows XP Professional x64:

Observações: Quando você instalar essas atualizações de segurança, o instalador verificará se um ou mais arquivos que estão sendo atualizados no sistema já foram atualizados por um hotfix da Microsoft.

Se você já tiver instalado um hotfix para atualizar um desses arquivos, o instalador copiará os arquivos RTMQFE, SP1QFE ou SP2QFE para o sistema. Do contrário, o instalador copiará os arquivos RTMGDR, SP1GDR ou SP2GDR para o sistema. As atualizações de segurança podem não conter todas as variações desses arquivos. Para obter mais informações sobre esse comportamento, consulte o Artigo 824994 Base de Conhecimento Microsoft.

Para obter mais informações sobre o instalador Update.exe, visite o site Microsoft TechNet.

Para obter mais informações sobre a terminologia que aparece neste boletim, como hotfix, consulte o artigo 824684 Base de Conhecimento Microsoft.

O arquivo arpidfix.exe é usado pelo instalador da atualização de segurança para resolver um problema documentado no artigo 904630 (em inglês) do Microsoft Knowledge Base. Esse arquivo não está instalado no sistema afetado.

Verificando se a atualização foi aplicada

Pré-requisitos
No caso do Windows 2000, esta atualização de segurança requer o Service Pack 4 (SP4). Para o Small Business Server 2000, esta atualização de segurança requer que o Small Business Server 2000 Service Pack 1a (SP1a) ou o Small Business Server 2000 esteja em execução no Windows 2000 Server Service Pack 4 (SP4).

Os softwares relacionados foram testados para determinar se suas versões são afetadas. Outras versões não incluem suporte para a atualização de segurança ou podem não ser afetadas. Para determinar o ciclo de vida do suporte para seu produto e sua versão, visite o site Ciclo de Vida do Suporte Microsoft.

Para obter mais informações sobre como obter o service pack mais recente, consulte o Artigo 260910 Base de Conhecimento Microsoft.

Inclusão em Service Packs futuros:
A atualização desse problema poderá ser incluída em um conjunto de atualizações futuro.

Informações de instalação

Esta atualização de segurança oferece suporte às seguintes opções de instalação:

Observação É possível combinar essas opções em uma única linha de comando. Para obter compatibilidade com versões anteriores, a atualização de segurança também oferece suporte às opções de instalação utilizadas por versões anteriores do utilitário de instalação. Para obter mais informações sobre opções com suporte de segurança consulte o Artigo 262841 (site em inglês) do Microsoft Knowledge Base. Para obter mais informações sobre o instalador Update.exe, visite o site Microsoft TechNet. Para obter mais informações sobre a terminologia que aparece neste boletim, como hotfix, consulte o artigo 824684 Base de Conhecimento Microsoft.

Informações de implantação

Para instalar a atualização de segurança sem nenhuma intervenção do usuário, use o seguinte comando em um prompt de comando do Windows 2000 Service Pack 4:

Windows2000-kb899588-x86-enu /quiet

Observação O uso da opção /quiet eliminará todas as mensagens. Isso inclui a eliminação de mensagens de falha. Os administradores devem usar um dos métodos com suporte para verificar se a instalação foi bem-sucedida quando utilizarem a opção /quiet. Os administradores também devem examinar o arquivo KB899588.log à procura de qualquer mensagem de falha quando usarem essa opção.

Para instalar a atualização de segurança sem forçar a reinicialização do sistema, use o seguinte comando em um prompt de comando do Windows XP Service Pack 4:

Windows2000-kb899588-x86-enu /norestart

Para obter informações sobre como implantar esta atualização de segurança com os serviços de atualização de software, visite o site Serviços de Atualização de Software. Para obter mais informações sobre como implantar esta atualização de segurança usando o recurso Windows Server Update Services, visite o site do Windows Server Update Services. Esta atualização de segurança também está disponível no site Microsoft Update.

Requisito de reinicialização

É necessário reiniciar o sistema depois de aplicar essa atualização de segurança.

Informações sobre remoção

Para remover esta atualização de segurança, use a ferramenta Adicionar ou Remover Programas no Painel de Controle.

Os administradores de sistema também podem usar o utilitário Spuninst.exe para remover esta atualização de segurança. O utilitário Spuninst.exe está localizado na pasta %Windir%\$NTUninstallKB899588$\Spuninst.

Informações sobre o arquivo

A versão em inglês desta atualização de segurança tem os atributos de arquivo relacionados na tabela abaixo. As datas e as horas destes arquivos estão de acordo com a hora universal coordenada (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para saber a diferença entre o UTC e o horário local, use a guia Fuso Horário na ferramenta Data e Hora, no Painel de Controle.

Windows 2000 Service Pack 4 e Small Business Server 2000:

Verificando se a atualização foi aplicada