Proteja-se Contra Códigos de Exploração Relacionados com o Boletim de Segurança MS04-011
Publicado em: 09 de Maio de 2005 | Atualizado em: 09 de Maio de 2005
A Microsoft está ciente dos relatos de código disponíveis na Internet que buscam explorar certos assuntos endereçados em nossas atualizações de segurança de 13 de Abril. Esse código de exploração afeta o protocolo de Transporte Privado de Comunicação (PCT), o qual faz parte da biblioteca Secure Socket Layer Microsoft (SSL). Além disso, a Microsoft confirmou relatos de códigos de exploração que afetam o Serviço de Sistema Autoritário de Segurança (LSASS). A Microsoft considera esses relatos factíveis e sérios e recomenda que todos os clientes instalem imediatamente a Atualização de Segurança MS04-011 assim como as outras atualizações críticas de 13 de Abril.
Nesta página
Impacto em Usuários Domésticos
Se você já possui instalada a Atualização de Segurança MS4-011, você não será afetado por essas falhas. Como sempre, é recomendado tomar as precauções apropriadas para manter seu computador protegido.
A Microsoft está comprometida em ajudá-lo a manter um ambiente de computação segura. Nós atualizaremos essa página com novas informações e orientações sobre como endereçar esse assunto assim que disponível.
Como Proteger-se Contra o Código de Exploração PCT/SSL
Aqui está o que sabemos sobre esse assunto atualmente:
| • | Se você está usando um computador doméstico ou um servidor sem o serviço de Web, você deve instalar as atualizações disponíveis no site do Windows Update para se assegurar que seus sistemas não estão em risco. |
| • | Se você instalou e implementou a Atualização de Segurança MS04-011, você não corre riscos nesta questão. |
| • | Todos os programas que utilizam o SSL podem ser afetados. Embora o SSL seja geralmente associado com o IIS (Internet Information Services) utilizando HTTPS e a porta 443, qualquer serviço que implementa SSL numa plataforma afetada está vulnerável. Esses serviços incluem, mas não estão limitados a: | • | IIS 4.0 | | • | IIS 5.0 | | • | IIS 5.1 | | • | Microsoft Exchange Server 5.5 | | • | Microsoft Exchange Server 2000 | | • | Microsoft Exchange Server 2003 | | • | Microsoft Analysis Services 2000 (incluído no Microsoft SQL Server™ 2000) | | • | Qualquer programa de terceiros que utilize PCT. O SQL Server 2000 não está vulnerável porque bloqueia conexões PCT. |
|
| • | Se você implementou o Microsoft Windows® XP ou o Windows 2000 e habilitou o SSL, você corre risco. |
Se você tem implementou o Microsoft Windows Server™ 2003 e ativou o PCT dentro do SSL, você core risco. Se você ainda está avaliando e testando a Atualização de Segurança MS04-011, você deve implementar imediatamente os passos de mitigação detalhados nessa página.
A Microsoft testou alternativas para esta questão sobre o PCT/SSL. Embora estas alternativas não corrijam a falha em si, eles podem ajudar a bloquear os vetores de ataque conhecidos. Quando uma alternativa reduz funções do sistema, esta informação será detalhada abaixo nesta página.
Desativar o Suporte a PCT através do Registro
A alternativa resumida é documentada completamente no Artigo da Base de Conhecimento 187498.
Esse procedimento pode ajudar você a desativar o protocolo PCT 1.0 que previne o sistema afetado de negociar seu uso.
Cuidado: Utilizar o Editor de Registro incorretamente pode causar sérios problemas que pode exigir que você reinstale seu sistema operacional. A Microsoft não pode garantir que problemas resultantes do uso incorreto do Editor de Registro podem ser resolvidos. Utilize o Editor de Registro com cuidado. Sempre faça o backup do registro antes de editá-lo.
Nota: Para informações sobre como editar o registro, leia o tópico de Ajuda “Alterando Chaves e Valores” no Editor de Registro (Regedit.exe) ou o "Adicionando e Excluindo Informações no Registro" e o tópico de Ajuda "Editando Registros de Dados" em Regedt32.exe.
1. | Clique Iniciar, clique Executar, e depois digite regedit32 |
2. | Clique OK. |
3. | No Editor de Registro, localize a seguinte chave de registro:
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server |
4. | No menu Editar, clique em Adicionar Valor para criar um novo valor REG_BINARY chamado “Enabled” na sub-chave do Servidor. |
5. | Na lista Tipos de Dados, clique REG_BINARY. |
6. | Na caixa de texto Nome do Valor, digite: Enabled |
7. | Clique OK.
Nota: Se este valor já estiver presente, clique duas vezes o valor do editor, e depois siga para o passo 8. |
8. | No Editor Binário, configure os novos valores de chave para igualar a 0 digitando o seguinte:
00000000 |
9. | Clique OK, e depois reinicie o sistema.
Nota: Para habilitar o PCT, mude o valor da chave de registro Enabled para 00000001, e depois reinicie o sistema. |
Se você acredita que foi atacado por alguém buscando explorar as vulnerabilidades endereçadas em qualquer boletim de segurança Microsoft, contate o Serviço de Suporte de Produto Microsoft para suporte ou contate uma autoridade da lei. Você pode contatar Serviço de Suporte de Produto no Brasil através do site www.microsoft.com/brasil/atendimento. A introdução de códigos maliciosos é um ato criminoso, e a Microsoft irá trabalhar juntamente com agências da lei para encontrar o(s) responsável.
Como Proteger-se Contra o Código de Exploração LSASS
Aqui está o que nós sabemos sobre este assunto atualmente:
| • | Somente o Windows 2000 e o Windows XP podem ser atacados remotamente por usuários anônimos. Embora o Windows Server 2003 e o Windows XP Edição 64-Bits Versão 2003 contenham a falha, somente o administrador local pode explorá-lo. |
| • | O Microsoft Windows NT® 4.0 não é afetado por esse problema. |
| • | A configuração padrão do firewall pode ajudar você a proteger redes de ataques originados fora do perímetro da empresa. As melhores práticas recomendam que sistemas que são conectados à Internet tenham o mínimo de número de portas expostas. |
A Microsoft testou alternativas para a falha do LSASS. Mesmo que essas alternativas não corrijam a falha subjacente, elas bloquearão vetores de ataque conhecidos. Quando uma alternativa reduzir funções do sistema, eles serão identificados ainda nesta página.
| • | Utilize um firewall pessoal como o Firewall de Conexão para a Internet, incluído no Windows XP e o Windows Server 2003. Se você utiliza o Firewall de Conexão para a Internet no Windows XP ou no Windows Server 2003 para ajudar a proteger sua conexão de Internet, ele bloqueia todos os tráfegos não solicitados por padrão. A Microsoft recomenda o bloqueio de todas as comunicações não solicitadas da Internet. Para habilitar o recurso de Firewall de Conexão com a Internet utilizando o Assistente para Configuração do Navegador: 1. | Clique em Iniciar, e depois clique em Painel de Controle. | 2. | Clique em Conexões de Rede e depois clique em Configurar uma rede doméstica ou de pequena empresa. O Firewall de Conexão com a Internet é ativado quando você seleciona uma configuração no Assistente de Configuração de Rede que indica que seu sistema está conectado diretamente com a Internet. |
Para configurar manualmente o Firewall de Conexão com a Internet para uma conexão: 1. | Clique em Iniciar, e depois clique em Painel de Controle. | 2. | Na Visão de Categoria padrão, clique em Conexões de Rede. | 3. | Clique com o botão direito do mouse na conexão na qual você quer habilitar o Firewall de Conexão com a Internet e selecione Propriedades. | 4. | Clique na guia Avançado. | 5. | Selecione a caixa de verificação Proteger meu computador ou rede limitando ou prevenindo o acesso para esse computador da Internet e depois clique OK. |
Nota: Se você quer habilitar o uso de alguns programas e serviços através do firewall, clique em Configurações e na guia Avançado, e depois selecione os programas, protocolos, e serviços necessários. |
| • | No firewall, bloquear: | • | Portas UDP 135, 137, 138, e 445, e TCP 135, 139, 445, e 593. | | • | Todos os não tráfegos solicitados em portas maiores que 1024. | | • | Qualquer outra porta RPC configurada especificadamente. |
Estas portas são utilizadas para iniciar uma conexão com a Chamada de Procedimento Remoto (RPC). Bloquear estas portas do firewall ajudará a prevenir sistemas que estão atrás do firewall de tentativas de explorar essa falha. Também, certifique-se de bloquear qualquer porta RPC especificamente configurada no sistema remoto. Microsoft recomenda que você bloqueie todas as comunicações não solicitadas da Internet para ajudar a prevenir ataques que podem usar outras portas. Para mais informação sobre portas que RPC usam, visite a portas TCP e UDP (em inglês). |
| • | Habilitar o filtro avançado TCP/IP em sistemas que suportam o filtro TCP/IP.
Você pode habilitar o o filtro avançado TCP/IP para bloquear todos os tráfegos não solicitados. Para mais informações sobre como configurar o filtro TCP/IP, veja o Artigo da Base de Conhecimento 309798. |
| • | Bloquear portas afetadas utilizando IPSec em sistemas afetados.
Utilize o IPSec para ajudar a proteger a rede de comunicações. Informações detalhadas sobre IPSec e como aplicar filtros estão disponíveis no Artigo da Base de Conhecimento Microsoft 313190 e 813878. |
