Home Segurança

Proteja-se Contra Códigos de Exploração Relacionados com o Boletim de Segurança MS04-011

Publicado em: 09 de Maio de 2005 | Atualizado em: 09 de Maio de 2005

A Microsoft está ciente dos relatos de código disponíveis na Internet que buscam explorar certos assuntos endereçados em nossas atualizações de segurança de 13 de Abril. Esse código de exploração afeta o protocolo de Transporte Privado de Comunicação (PCT), o qual faz parte da biblioteca Secure Socket Layer Microsoft (SSL). Além disso, a Microsoft confirmou relatos de códigos de exploração que afetam o Serviço de Sistema Autoritário de Segurança (LSASS). A Microsoft considera esses relatos factíveis e sérios e recomenda que todos os clientes instalem imediatamente a Atualização de Segurança MS04-011 assim como as outras atualizações críticas de 13 de Abril.

*
**
Links relacionados
Boletim de Segurança Microsoft MS04-011
Artigo da Base de Conhecimento Microsoft 187498
**

Glossário

Clique no termo para obter a definição do Glossário de Segurança.

Vírus

worm

Nesta página
Impacto em Usuários DomésticosImpacto em Usuários Domésticos
Como Proteger-se Contra o Código de Exploração PCT/SSLComo Proteger-se Contra o Código de Exploração PCT/SSL
Como Proteger-se Contra o Código de Exploração LSASSComo Proteger-se Contra o Código de Exploração LSASS

Impacto em Usuários Domésticos

Se você já possui instalada a Atualização de Segurança MS4-011, você não será afetado por essas falhas. Como sempre, é recomendado tomar as precauções apropriadas para manter seu computador protegido.

3 passos para ajudar na proteção de seu PC

A Microsoft está comprometida em ajudá-lo a manter um ambiente de computação segura. Nós atualizaremos essa página com novas informações e orientações sobre como endereçar esse assunto assim que disponível.

Início da páginaInício da página

Como Proteger-se Contra o Código de Exploração PCT/SSL

Aqui está o que sabemos sobre esse assunto atualmente:

Se você está usando um computador doméstico ou um servidor sem o serviço de Web, você deve instalar as atualizações disponíveis no site do Windows Update para se assegurar que seus sistemas não estão em risco.

Se você instalou e implementou a Atualização de Segurança MS04-011, você não corre riscos nesta questão.

Todos os programas que utilizam o SSL podem ser afetados. Embora o SSL seja geralmente associado com o IIS (Internet Information Services) utilizando HTTPS e a porta 443, qualquer serviço que implementa SSL numa plataforma afetada está vulnerável. Esses serviços incluem, mas não estão limitados a:

IIS 4.0

IIS 5.0

IIS 5.1

Microsoft Exchange Server 5.5

Microsoft Exchange Server 2000

Microsoft Exchange Server 2003

Microsoft Analysis Services 2000 (incluído no Microsoft SQL Server™ 2000)

Qualquer programa de terceiros que utilize PCT. O SQL Server 2000 não está vulnerável porque bloqueia conexões PCT.

Se você implementou o Microsoft Windows® XP ou o Windows 2000 e habilitou o SSL, você corre risco.

Se você tem implementou o Microsoft Windows Server™ 2003 e ativou o PCT dentro do SSL, você core risco. Se você ainda está avaliando e testando a Atualização de Segurança MS04-011, você deve implementar imediatamente os passos de mitigação detalhados nessa página.

A Microsoft testou alternativas para esta questão sobre o PCT/SSL. Embora estas alternativas não corrijam a falha em si, eles podem ajudar a bloquear os vetores de ataque conhecidos. Quando uma alternativa reduz funções do sistema, esta informação será detalhada abaixo nesta página.

Desativar o Suporte a PCT através do Registro

A alternativa resumida é documentada completamente no Artigo da Base de Conhecimento 187498.

Esse procedimento pode ajudar você a desativar o protocolo PCT 1.0 que previne o sistema afetado de negociar seu uso.

Cuidado: Utilizar o Editor de Registro incorretamente pode causar sérios problemas que pode exigir que você reinstale seu sistema operacional. A Microsoft não pode garantir que problemas resultantes do uso incorreto do Editor de Registro podem ser resolvidos. Utilize o Editor de Registro com cuidado. Sempre faça o backup do registro antes de editá-lo.

Nota: Para informações sobre como editar o registro, leia o tópico de Ajuda “Alterando Chaves e Valores” no Editor de Registro (Regedit.exe) ou o "Adicionando e Excluindo Informações no Registro" e o tópico de Ajuda "Editando Registros de Dados" em Regedt32.exe.

1.

Clique Iniciar, clique Executar, e depois digite regedit32

2.

Clique OK.

3.

No Editor de Registro, localize a seguinte chave de registro:
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server

4.

No menu Editar, clique em Adicionar Valor para criar um novo valor REG_BINARY chamado “Enabled” na sub-chave do Servidor.

5.

Na lista Tipos de Dados, clique REG_BINARY.

6.

Na caixa de texto Nome do Valor, digite: Enabled

7.

Clique OK.
Nota:  Se este valor já estiver presente, clique duas vezes o valor do editor, e depois siga para o passo 8.

8.

No Editor Binário, configure os novos valores de chave para igualar a 0 digitando o seguinte:
00000000

9.

Clique OK, e depois reinicie o sistema.
Nota: Para habilitar o PCT, mude o valor da chave de registro Enabled para 00000001, e depois reinicie o sistema.

Se você acredita que foi atacado por alguém buscando explorar as vulnerabilidades endereçadas em qualquer boletim de segurança Microsoft, contate o Serviço de Suporte de Produto Microsoft para suporte ou contate uma autoridade da lei. Você pode contatar Serviço de Suporte de Produto no Brasil através do site www.microsoft.com/brasil/atendimento. A introdução de códigos maliciosos é um ato criminoso, e a Microsoft irá trabalhar juntamente com agências da lei para encontrar o(s) responsável.

Início da páginaInício da página

Como Proteger-se Contra o Código de Exploração LSASS

Aqui está o que nós sabemos sobre este assunto atualmente:

Somente o Windows 2000 e o Windows XP podem ser atacados remotamente por usuários anônimos. Embora o Windows Server 2003 e o Windows XP Edição 64-Bits Versão 2003 contenham a falha, somente o administrador local pode explorá-lo.

O Microsoft Windows NT® 4.0 não é afetado por esse problema.

A configuração padrão do firewall pode ajudar você a proteger redes de ataques originados fora do perímetro da empresa. As melhores práticas recomendam que sistemas que são conectados à Internet tenham o mínimo de número de portas expostas.

A Microsoft testou alternativas para a falha do LSASS. Mesmo que essas alternativas não corrijam a falha subjacente, elas bloquearão vetores de ataque conhecidos. Quando uma alternativa reduzir funções do sistema, eles serão identificados ainda nesta página.

Utilize um firewall pessoal como o Firewall de Conexão para a Internet, incluído no Windows XP e o Windows Server 2003.

Se você utiliza o Firewall de Conexão para a Internet no Windows XP ou no Windows Server 2003 para ajudar a proteger sua conexão de Internet, ele bloqueia todos os tráfegos não solicitados por padrão. A Microsoft recomenda o bloqueio de todas as comunicações não solicitadas da Internet.

Para habilitar o recurso de Firewall de Conexão com a Internet utilizando o Assistente para Configuração do Navegador:

1.

Clique em Iniciar, e depois clique em Painel de Controle.

2.

Clique em Conexões de Rede e depois clique em Configurar uma rede doméstica ou de pequena empresa. O Firewall de Conexão com a Internet é ativado quando você seleciona uma configuração no Assistente de Configuração de Rede que indica que seu sistema está conectado diretamente com a Internet.

Para configurar manualmente o Firewall de Conexão com a Internet para uma conexão:

1.

Clique em Iniciar, e depois clique em Painel de Controle.

2.

Na Visão de Categoria padrão, clique em Conexões de Rede.

3.

Clique com o botão direito do mouse na conexão na qual você quer habilitar o Firewall de Conexão com a Internet e selecione Propriedades.

4.

Clique na guia Avançado.

5.

Selecione a caixa de verificação Proteger meu computador ou rede limitando ou prevenindo o acesso para esse computador da Internet e depois clique OK.

Nota: Se você quer habilitar o uso de alguns programas e serviços através do firewall, clique em Configurações e na guia Avançado, e depois selecione os programas, protocolos, e serviços necessários.

No firewall, bloquear:

Portas UDP 135, 137, 138, e 445, e TCP 135, 139, 445, e 593.

Todos os não tráfegos solicitados em portas maiores que 1024.

Qualquer outra porta RPC configurada especificadamente.

Estas portas são utilizadas para iniciar uma conexão com a Chamada de Procedimento Remoto (RPC). Bloquear estas portas do firewall ajudará a prevenir sistemas que estão atrás do firewall de tentativas de explorar essa falha. Também, certifique-se de bloquear qualquer porta RPC especificamente configurada no sistema remoto.

Microsoft recomenda que você bloqueie todas as comunicações não solicitadas da Internet para ajudar a prevenir ataques que podem usar outras portas. Para mais informação sobre portas que RPC usam, visite a portas TCP e UDP (em inglês).

Habilitar o filtro avançado TCP/IP em sistemas que suportam o filtro TCP/IP.
Você pode habilitar o o filtro avançado TCP/IP para bloquear todos os tráfegos não solicitados. Para mais informações sobre como configurar o filtro TCP/IP, veja o Artigo da Base de Conhecimento 309798.

Bloquear portas afetadas utilizando IPSec em sistemas afetados.
Utilize o IPSec para ajudar a proteger a rede de comunicações. Informações detalhadas sobre IPSec e como aplicar filtros estão disponíveis no Artigo da Base de Conhecimento Microsoft 313190 e 813878.


Início da páginaInício da página