Boletim de Segurança da Microsoft MS07-019

Existe uma vulnerabilidade de execução remota de código na forma como o serviço Universal Plug and Play lida com solicitações HTTP especialmente criadas. O invasor que explorar a vulnerabilidade com sucesso poderá executar código arbitrário no contexto do serviço local.

•	Um invasor que explorar com êxito essa vulnerabilidade poderá executar código no contexto da conta Serviço Local apenas e não poderá executar na conta SISTEMA Local.
•	Por padrão, o serviço de UpnP é configurado como manual nos sistemas afetados.
•	As práticas recomendadas para firewall e as configurações de firewall padrão podem ajudar a proteger as redes contra ataques com origem externa ao perímetro da empresa. Essas práticas também recomendam que os sistemas conectados à Internet tenham um número mínimo de portas expostas.

Início da sessão

A Microsoft testou as seguintes soluções alternativas. Apesar de essas soluções alternativas não corrigirem a vulnerabilidade subjacente, elas ajudam a bloquear vetores de ataque conhecidos. Quando uma solução alternativa reduz a funcionalidade, ela é identificada na seção a seguir.

•

Bloquear o seguinte no firewall: • Porta UDP 1900 e porta TCP 2869 A estrutura de UPnP usa a porta UDP 1900 e a porta TCP 2869. O SSDP (Simple Service Discovery Protocol) usa pesquisas de multicast para descobrir dispositivos UPnP. As pesquisas de multicast são enviadas para a porta UDP 1900 usando portas de saída dinâmicas. O Firewall do Windows aceita respostas combinadas de pesquisa de multicast que sejam recebidas dentro de três segundos de uma pesquisa de multicast. Depois disso, o firewall bloqueará respostas de pesquisa de multicast, ainda que combinem com as solicitações de pesquisa. Para obter informações adicionais sobre efeitos no serviço UPnP quando configurar o firewall, consulte o artigo 886257 (em inglês) da Base de Conhecimento Microsoft. Impacto da solução alternativa: • A estrutura de UPnP não pode descobrir dispositivos UPnP em rede que se anunciem. O firewall bloqueia estes anúncios de entrada. • Um ponto de controle executado em outro computador não pode localizar nem controlar dispositivos UPnP executados em um computador com Windows XP SP2. O firewall bloqueia as mensagens relacionadas ao dispositivo UPnP de entrada. Como desfazer a solução alternativa: Para desfazer a solução alternativa, reative a porta UDP 1900 e a porta TCP 2869 no firewall.

•

Desative o serviço Universal Plug and Play Desativar o serviço UPnP ajudará a proteger o computador afetado das tentativas de explorar essa vulnerabilidade. Para desativar o serviço UPnP, siga estas etapas: 1. Clique em Iniciar e em Painel de Controle .Como alternativa, aponte para Configurações e clique em Painel de Controle. 2. Clique duas vezes em Ferramentas Administrativas. 3. Clique duas vezes em Serviços. 4. Clique duas vezes em Host de dispositivo Plug and Play universal. 5. Na lista Tipo de inicialização, clique em Desativado. 6. Clique em Parar e em OK. Você também pode interromper e desabilitar o serviço UPnP usando o seguinte comando no prompt de comando: sc stop UPnPHost &sc config UPnPHost start= disabled Impacto da solução alternativa: Se desativar o serviço UPnP, os componentes que dependam do serviço UPnP poderão não operar corretamente. Como desfazer a solução alternativa: Para desfazer a solução alternativa, reative o serviço UPnP. Para isso, siga estas etapas: 1. Clique em Iniciar e em Painel de Controle .Como alternativa, aponte para Configurações e clique em Painel de Controle. 2. Clique duas vezes em Ferramentas Administrativas. 3. Clique duas vezes em Serviços. 4. Clique duas vezes em Host de dispositivo Plug and Play universal. 5. Na lista Tipo de inicialização, clique em Manual. 6. Clique em Iniciar e, em seguida, clique em OK.

•

Para ajudar a se proteger de tentativas baseadas na rede de explorar esta vulnerabilidade, habilite a filtragem TCP/IP avançada em sistemas que oferecem suporte a esse recurso. Você pode habilitar a filtragem TCP/IP avançada para impedir todo e qualquer tráfego de entrada não solicitado. Para obter mais informações sobre como configurar a filtragem TCP/IP, consulte o artigo 309798 (em inglês) da Base de Conhecimento Microsoft.

•

Para ajudar a se proteger de tentativas baseadas na rede de explorar esta vulnerabilidade, bloqueie as portas afetadas usando o IPSec nos sistemas afetados. Use o Internet Protocol Security (IPSec, segurança de protocolo da Internet) para ajudar a proteger as comunicações de rede. Informações detalhadas sobre o IPSec e a aplicação de filtros estão disponíveis nos artigos 313190 e 813878 (em inglês) da Base de Conhecimento Microsoft.

Início da sessão

Qual é o escopo da vulnerabilidade? 
Existe uma vulnerabilidade de execução remota de código na forma como o serviço Universal Plug and Play (UPnP) lida com solicitações HTTP especialmente criadas. Essas solicitações HTTP só podem ser enviadas diretamente a um computador de destino por um invasor na mesma sub-rede. O firewall do Windows XP e o protocolo impõem essa restrição de sub-rede. O invasor que explorar a vulnerabilidade com êxito poderá executar código arbitrário no contexto da conta Serviço Local.

O que provoca a vulnerabilidade? 
Quando o serviço UPnP lida com solicitações HTTP especificamente criadas ele pode corromper a memória do sistema de forma que um invasor possa executar código arbitrário.

O que é UPnP? 
UPnP é um conjunto de protocolos de rede que amplia o Plug and Play para simplificar a rede de dispositivos inteligentes em lares e empresas. Quando dispositivos com a tecnologia UPnP são fisicamente conectados à rede, eles se conectarão automaticamente pela rede, sem a necessidade de configuração pelo usuário ou de servidores centralizados.

Para que um invasor pode usar a vulnerabilidade? 
O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total do sistema afetado.

Quais são os principais sistemas que correm riscos com a vulnerabilidade? 
As estações de trabalho e os computadores clientes estão principalmente em risco. Os servidores e servidores de terminal não estão em risco porque não incluem o componente UPnP afetado. Os sistemas que têm componentes instalados que utilizam funcionalidade de UPnP podem habilitar o serviço de UPnP, colocando o sistema em risco.

A vulnerabilidade pode ser explorada pela Internet? 
Um invasor na mesma sub-rede que o computador de destino pode explorar esta vulnerabilidade. Essas solicitações HTTP só podem ser enviadas diretamente a um computador de destino por um invasor na mesma sub-rede. Além disso, as práticas recomendadas de firewall de perímetro e as configurações de firewall de perímetro padrão podem ajudar na proteção contra ataques originados na Internet.

O que a atualização faz? 
A atualização elimina a vulnerabilidade, modificando o modo como o UPnP valida solicitações HTTP antes de passar as solicitações ao buffer atribuído.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente? 
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio de divulgação responsável.

Quando este boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada? 
Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes e não testemunhou nenhum exemplo de publicação de código de verificação de conceito, quando este boletim de segurança foi lançado pela primeira vez.

Início da sessão

Pré-requisitos
Esta atualização de segurança exige Windows XP Service Pack 2 ou Windows XP Professional x64 Edition. Para obter mais informações sobre como obter o service pack mais recente do Windows XP, consulte o artigo 322389 (em inglês) da Base de Conhecimento Microsoft. Para obter mais informações sobre como obter o Service Pack 2 para Windows XP Professional, x64 Edition, consulte o link a seguir para o Centro de Download.

Inclusão em Service Packs futuros
A atualização desse problema será incluída em um service pack ou conjunto de atualizações futuro.

Informações de instalação

Esta atualização de segurança oferece suporte às seguintes opções de instalação:

Observação É possível combinar essas opções em uma única linha de comando. Para obter compatibilidade com versões anteriores, a atualização de segurança também oferece suporte às opções de instalação utilizadas por versões anteriores do programa de instalação. Para obter mais informações sobre opções com suporte de segurança, consulte o artigo 262841 (em inglês) da Base de Conhecimento Microsoft. Para obter mais informações sobre o instalador Update.exe, visite o site Microsoft TechNet.

Informações de implantação

Para instalar a atualização de segurança sem nenhuma intervenção do usuário, utilize o seguinte comando em um prompt de comando para o Microsoft Windows XP:

Windowsxp-kb931261-x86-enu /quiet

Observação O uso da opção /quiet eliminará todas as mensagens. Isso inclui a eliminação de mensagens de falha. Os administradores devem usar um dos métodos com suporte para verificar se a instalação foi bem-sucedida quando usarem a opção /quiet. Os administradores também devem analisar o arquivo KB931261.log para obter informações sobre quaisquer mensagens de falha quando usarem essa opção.

Para instalar a atualização de segurança sem forçar a reinicialização do sistema, use o seguinte comando em um prompt de comando para o Windows XP:

Windowsxp-kb931261-x86-enu /norestart

Para obter informações sobre como implantar esta atualização de segurança com os serviços de atualização de software, visite o site Software Update Services. Para obter mais informações sobre como implantar esta atualização de segurança usando o recurso Windows Server Update Services, visite o site do Windows Server Update Services. Esta atualização de segurança também está disponível no site Microsoft Update.

Necessidade de Reinicialização

É necessário reiniciar o sistema depois de aplicar esta atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o artigo 887012 (em inglês) da Base de Conhecimento Microsoft.

Informações sobre remoção

Para remover esta atualização, use a ferramenta Adicionar ou Remover Programas no Painel de Controle.

Os administradores de sistema também podem usar o utilitário Spuninst.exe para remover esta atualização de segurança. O utilitário Spuninst.exe está localizado na pasta %Windir%\$NTUninstallKB931261$\Spuninst.

Informações do Arquivo

A versão em inglês desta atualização de segurança tem os atributos de arquivo relacionados na tabela abaixo. As datas e as horas destes arquivos estão de acordo com a hora universal coordenada (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para saber a diferença entre o UTC e o horário local, use a guia Fuso Horário na ferramenta Data e Hora, no Painel de Controle.

Para Windows XP Home Edition Service Pack 2, Windows XP Professional Service Pack 2, Windows XP Tablet PC Edition 2005 e Windows XP Media Center Edition 2005:

Windows XP Professional x64 Edition e Windows XP Professional x64 Edition Service Pack 2:

Observações Quando você instalar estas atualizações de segurança, o instalador verificará se um ou mais arquivos que estão sendo atualizados no sistema já foram atualizados por um hotfix da Microsoft.

Se você já tiver instalado um hotfix para atualizar um desses arquivos, o instalador copiará os arquivos RTMQFE, SP1QFE ou SP2QFE para o sistema. Do contrário, o instalador copiará os arquivos RTMGDR, SP1GDR ou SP2GDR para o sistema. As atualizações de segurança podem não conter todas as variações desses arquivos. Para obter mais informações sobre esse comportamento, consulte o artigo 824994 (em inglês) da Base de Conhecimento Microsoft.

Para obter mais informações sobre o instalador Update.exe, visite o site Microsoft TechNet.

Para obter mais informações sobre a terminologia que aparece neste boletim, como hotfix, consulte o artigo 824684 (em inglês) da Base de Conhecimento Microsoft.

Verificando a aplicação da atualização