Boletim de Segurança da Microsoft MS08-078 - Crítica

No cenário de ataque na Web, o invasor terá que hospedar um site contendo uma página da Web usada para explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios pode conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, um invasor não teria como forçar os usuários a visitarem os sites. Em vez disso, o invasor teria que convencer os usuários a visitarem o site, geralmente fazendo com que eles cliquem em um link em um email ou mensagem do Instant Messenger que leva o usuário ao site do invasor.

O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário local. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

Por padrão, o Modo Protegido no Internet Explorer 7 e no Internet Explorer 8 Beta 2 no Windows Vista e sistemas posteriores ajuda a proteger os usuários e seus sistemas contra downloads mal-intencionados ao restringir solicitações para iniciar outro programa ou solicitações para salvar arquivos sem o consentimento do usuário. Isso inclui arquivos e configurações do usuário ou do sistema.

Defina as configurações de zona de segurança da Internet e da intranet local como “Alto” para ser notificado antes da execução de controles ActiveX e scripts ativos nessas zonas

Você pode ajudar na proteção contra a exploração dessa vulnerabilidade alterando as configurações para que a zona de segurança da Internet solicite uma confirmação antes de executar controles ActiveX e scripts ativos. É possível fazer isso configurando a segurança do navegador como Alta.

Para aumentar o nível de segurança da navegação no Internet Explorer, faça o seguinte:

Observação Se o controle deslizante não estiver visível, clique em Nível padrão e então mova o controle deslizante para Alto.

Observação A configuração do nível como Alto pode fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permite que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de controles ActiveX e scripts ativos. Muitos sites que não estão na Internet ou na intranet usam controles ActiveX e scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução de controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado freqüentemente quando ativar essa solução alternativa. Em cada notificação, se você sentir que confia no site que está visitando, clique em Sim para executar os controles ActiveX ou os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

Para isso, siga estas etapas:

Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

Configure o Internet Explorer para notificá-lo antes da execução de scripts ativos ou desative os scripts ativos na zona de segurança da Internet e da intranet local

Para se proteger contra a exploração dessa vulnerabilidade, altere as configurações para ser notificado antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local. Para isso, siga estas etapas:

Observação A desativação dos scripts ativos nas zonas de segurança da Internet e da intranet local poderá fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permitirá que o site funcione adequadamente.

Impacto da solução alternativa. A notificação antes da execução de scripts ativos apresenta efeitos colaterais. Muitos sites que não estão na Internet ou na intranet usam scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução dos scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado freqüentemente quando ativar essa solução alternativa. Para cada notificação, se achar que confia no site que está visitando, clique em Sim para executar os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em “Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer”.

Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

Para isso, siga estas etapas:

Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

Desabilitar a funcionalidade XML Island

Aviso O uso incorreto do Editor do Registro pode causar problemas graves e exigir a reinstalação do sistema operacional. A Microsoft não garante a solução de problemas resultantes do uso incorreto do Editor do Registro. Você é responsável pelo uso do Editor do Registro.

Crie uma cópia de backup das chaves do Registro usando o seguinte comando em um prompt de comando elevado:

Regedit.exe /e Disable_XML_Island_backup.reg HKEY_CLASSES_ROOT\CLSID\{379E501F-B231-11D1-ADC1-00805FC752D8}

Somente para Windows Vista e Windows Server 2008, aproprie-se de [HKEY_CLASSES_ROOT\CLSID\{379E501F-B231-11D1-ADC1-00805FC752D8}], como segue:

Depois, salve o seguinte em um arquivo com a extensão .REG como, por exemplo, Disable_XML_Island.reg:

Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\CLSID\{379E501F-B231-11D1-ADC1-00805FC752D8}]

Execute o arquivo Disable_XML_Island.reg com o comando a seguir em um prompt de comando elevado:

Regedit.exe /s Disable_XML_Island.reg

Impacto da solução alternativa: XML incorporado em HTML pode não ser renderizado corretamente.

Como desfazer a solução alternativa

Restaure o estado original, executando o seguinte comando em um prompt de comando elevado:

Regedit.exe /s Disable_XML_Island_backup.reg

Como desfazer a solução alternativa oferecida no Comunicado de segurança 961051

No Comunicado de Segurança da Microsoft 961051, foi oferecido um método manual de alteração de registro para esta mesma solução alternativa. Se você usou esse método e agora deseja desfazer essa solução alternativa, use o seguinte arquivo de registro:

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{379E501F-B231-11D1-ADC1-00805FC752D8}]
@="MsxmlIsland"
[HKEY_CLASSES_ROOT\CLSID\{379E501F-B231-11D1-ADC1-00805FC752D8}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,73,00,\
78,00,6d,00,6c,00,33,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{379E501F-B231-11D1-ADC1-00805FC752D8}\TypeLib]
@="{D63E0CE2-A0A2-11D0-9C02-00C04FC99C8E}"

Restringir o acesso do Internet Explorer ao arquivo OLEDB32.dll com uma ACL de nível de integridade

Esta solução alternativa aplica-se somente ao Windows Vista e a sistemas operacionais mais novos e requer que os avisos do UAC e o Modo Protegido, que são as configurações padrão, estejam ativados.

Salve o texto a seguir em um diretório temporário:

Para sistemas de 32 bits

Salve em um arquivo de texto chamado: "BlockAccess_x86.inf"

[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"

Para sistemas de 64 bits

Salve em um arquivo de texto chamado: "BlockAccess_x64.inf"

[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"
"%ProgramFiles(x86)%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"

Como administrador, execute o comando a seguir a partir do diretório temporário:

SecEdit /configure /db BlockAccess.sdb /cfg <arquivo inf>

Depois que o comando for concluído, você deverá ver as seguintes mensagens:

A tarefa foi concluída com êxito.
Consulte o log %windir%\security\logs\scesrv.log para obter informações detalhadas.

Validando a solução alternativa

Para validar a aplicação bem-sucedida da solução alternativa, execute os seguintes comandos em um prompt de comando:

Para sistemas de 32 bits

icacls "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll"

Para sistemas de 64 bits

icacls "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll"
icacls "%ProgramFiles(x86)%\Common Files\System\Ole DB\oledb32.dll"

Cada vez que você executa icacls, examine a saída em busca da linha a seguir.

Rótulo Obrigatório\Nível Obrigatório Médio:(NW,NR,NX)

Impacto da solução alternativa: Todo aplicativo ADO/OLE DB executado no Internet Explorer, o que não é comum, parará de funcionar. O impacto é mínimo, visto que todos os outros processos executados com nível de integridade Médio ou superior ainda podem carregar o arquivo dll e utilizá-lo.

Como desfazer a solução alternativa

Salve o texto a seguir em um diretório temporário:

Para sistemas de 32 bits

Salve em um arquivo de texto chamado: "unBlockAccess_x86.inf"

[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NW;;;ME)"

Para sistemas de 64 bits

Salve em um arquivo de texto chamado: "unBlockAccess_x64.inf"

[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NW;;;ME)"
"%ProgramFiles(x86)%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NW;;;ME)"

Como administrador, execute o comando a seguir a partir do diretório temporário:

SecEdit /configure /db UnblockAccess.sdb /cfg <arquivo inf>

Depois que o comando for concluído, você deverá ver as seguintes mensagens:

A tarefa foi concluída com êxito.
Consulte o log %windir%\security\logs\scesrv.log para obter informações detalhadas.

Desabilite a funcionalidade de Posição de Linhas do OLEDB32.dll

Aviso O uso incorreto do Editor do Registro pode causar problemas graves e exigir a reinstalação do sistema operacional. A Microsoft não garante a solução de problemas resultantes do uso incorreto do Editor do Registro. Você é responsável pelo uso do Editor do Registro.

Crie uma cópia de backup das chaves do Registro usando o seguinte comando em um prompt de comando elevado:

Regedit.exe /e Disable_Row_Position_backup.reg HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}

Somente para Windows Vista e Windows Server 2008, aproprie-se de [HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}], como segue:

Em seguida, salve o seguinte em um arquivo com a extensão .REG, por exemplo, Disable_Row_Position.reg:

Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}]

Execute o arquivo Disable_Row_Position.reg com o comando a seguir em um prompt de comando elevado:

Regedit.exe /s Disable_Row_Position.reg

Impacto da solução alternativa: Todos os aplicativos ADO que usam a propriedade RowPosition e informações relacionadas pararão de funcionar. Todos os aplicativos OLE DB que usam a Biblioteca de Posição de Linhas OLE DB pararão de funcionar.

Como desfazer a solução alternativa

Restaure o estado original, executando o seguinte comando em um prompt de comando elevado:

Regedit.exe /s Disable_Row_Position_backup.reg

Cancele o registro de OLEDB32.DLL

Como administrador, execute os seguintes comandos a partir de um prompt de comando:

Impacto da solução alternativa: Todos os aplicativos OLE DB e ADO pararão de funcionar. Isso inclui todas as implementações de ASP/ADO, serviços vinculados as SQL Server, aplicativos .Net que usam o namespace System.Data.OLEDB e algumas funcionalidades do Office que acessam dados externos.

Como desfazer a solução alternativa

Como administrador, execute os seguintes comandos a partir de um prompt de comando:

Use a ACL para desativar OLEDB32.DLL

Como administrador, execute os seguintes comandos a partir de um prompt de comando:

Impacto da solução alternativa: Todos os aplicativos OLE DB e ADO pararão de funcionar. Isso inclui todas as implementações de ASP/ADO, serviços vinculados as SQL Server, aplicativos .Net que usam o namespace System.Data.OLEDB e algumas funcionalidades do Office que acessam dados externos.

Como desfazer a solução alternativa

Como administrador, execute os seguintes comandos a partir de um prompt de comando:

Habilitar DEP para o Internet Explorer 7 no Windows Vista e no Windows Server 2008

Os administradores locais podem controlar DEP/NX, executando o Internet Explorer como um Administrador. Para habilitar DEP, execute as seguintes etapas:

Impacto da solução alternativa: Algumas extensões do navegador podem não ser compatíveis com DEP e ser interrompidas inesperadamente. Se isso ocorrer, você poderá desabilitar o complemento ou reverter a configuração DEP usando o Painel de Controle da Internet. Isso também pode ser acessado usando o painel de Controle do Sistema.

Desabilitar o suporte à associação de dados no Internet Explorer 8 Beta 2

Execute as seguintes etapas:

Impacto da solução alternativa: Esta solução alternativa desativa a associação de dados de todas as zonas de segurança. Qualquer site acessado que use a associação de dados não será renderizado corretamente.

Como desfazer a solução alternativa

Use a chave de Registro a seguir para remover a chave de controle do recurso:

Windows Registry Editor Versão 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_DATABINDING_SUPPORT]

Desabilitar a funcionalidade XML Island

Restringir o acesso do Internet Explorer ao arquivo OLEDB32.dll com uma ACL de nível de integridade

Desabilite a funcionalidade de Posição de Linhas do OLEDB32.dll

Cancelar o registro de OLEDB32.dll

Use a ACL para desativar OLEDB32.dll