Boletim de Segurança da Microsoft MS06-074

Há uma vulnerabilidade de execução remota de código no serviço SNMP que pode permitir a um invasor que tenha explorado com sucesso essa vulnerabilidade assumir total controle do sistema afetado.

•	O serviço SNMP não é instalado por padrão.
•	Para os clientes que exigem o componente afetado, as práticas recomendadas e as configurações padrão do firewall podem ajudar a proteger as redes de ataques originados fora do perímetro da empresa. Essas práticas também recomendam que os sistemas conectados à Internet tenham um número mínimo de portas expostas.

Início da sessão

A Microsoft testou as seguintes soluções alternativas. Apesar de essas soluções alternativas não corrigirem a vulnerabilidade subjacente, elas ajudam a bloquear vetores de ataque conhecidos. Quando uma solução alternativa reduz a funcionalidade, ela é indicada na seção a seguir.

•

Restrinja os endereços IP que podem gerenciar o computador. 1. Clique em Iniciar e, em seguida, clique em Executar. 2. Na caixa Abrir, digite services.msc e clique em OK. 3. Clique em Serviço SNMP e selecione Propriedades. 4. Clique na guia Segurança e selecione Aceitar pacotes SNMP destes hosts. 5. Adicione o endereço IP da estação de gerenciamento aprovada clicando em Adicionar, digitando o endereço IP ou nome de host e clicando em Adicionar.

•	Bloquear o seguinte no firewall: • Porta UDP 161 Essa porta é usada para iniciar uma conexão com o componente afetado. O bloqueio dessa porta no firewall ajudará a proteger os sistemas atrás do firewall contra as tentativas de exploração dessa vulnerabilidade. Certifique-se também de bloquear qualquer outra porta SNMP especificamente configurada no sistema remoto. Recomendamos que você bloqueie todas as comunicações de entrada não solicitadas da Internet para ajudar a evitar ataques que possam usar outras portas.
•	Para ajudar a se proteger de tentativas baseadas na rede de explorar essa vulnerabilidade, use um firewall pessoal, como o Firewall do Windows, incluído no Windows XP. Por padrão, o recurso Firewall do Windows no Windows XP ajuda a proteger a sua conexão com a Internet bloqueando tráfegos de entrada não solicitados. É recomendável que você bloqueie toda a comunicação de entrada não solicitada da Internet. Para habilitar o recurso Firewall do Windows usando o Assistente para Configuração de Rede, siga estas etapas: • Clique em Iniciar e em Painel de Controle. • Clique duas vezes em Conexões de rede e então clique em Alterar configurações do Firewall do Windows. • Na guia Geral, verifique se o valor Ativado (recomendado) está selecionado. Isto habilitará o Firewall do Windows. • Quando o Firewall do Windows estiver habilitado, selecione Não permitir exceções para proibir todo o tráfego de entrada. Se quiser habilitar certos programas e serviços para se comunicarem através do firewall, desmarque Não permitir exceções e clique na guia Exceções. Na guia Exceção, selecione os programas, protocolos e serviços que você quer habilitar.
•	Para ajudar a se proteger de tentativas baseadas na rede de explorar esta vulnerabilidade, bloqueie as portas afetadas usando o IPSec nos sistemas afetados. Use o Internet Protocol Security (IPSec, segurança de protocolo da Internet) para ajudar a proteger as comunicações de rede. Informações detalhadas sobre o IPSec e a aplicação de filtros estão disponíveis nos artigos 313190 e 813878 (em inglês) da Base de Conhecimento Microsoft.
•	Desabilite o serviço SNMP Desabilitar o serviço SNMP ajudará a proteger o sistema afetado das tentativas de explorar essa vulnerabilidade. Para desativar o serviço SNMP, siga estas etapas: 1. Clique em Iniciar e em Painel de controle .Como alternativa, aponte para Configurações e clique em Painel de Controle. 2. Clique duas vezes em Ferramentas Administrativas. 3. Clique duas vezes em Serviços. 4. Clique duas vezes em Serviço SNMP. 5. Na lista Tipo de inicialização, clique em Desativado. 6. Clique em Parar e em OK. Você também pode interromper e desabilitar o serviço SNMP usando o seguinte comando no prompt de comando: sc stop SNMP & sc config SNMP start= disabled

•	Impacto da solução alternativa: Se desativar o serviço SNMP, você não poderá imprimir local ou remotamente. Portanto, essa solução alternativa somente é recomendável nos sistemas que não necessitam de impressão.

Início da sessão

Qual é o escopo da vulnerabilidade?

Há uma vulnerabilidade de execução remota de código no serviço SNMP que pode permitir a um invasor que tenha explorado com sucesso essa vulnerabilidade assumir total controle do sistema afetado.

O que provoca a vulnerabilidade?

Um buffer não verificado no serviço SNMP.

O que é SNMP?

SNMP (Simple Network Management Protocol) permite que administradores gerenciem remotamente dispositivos de rede como servidores, estações de trabalhos, roteadores, pontes, firewalls etc. SNMP é um protocolo padrão do setor, que permite que dispositivos de diversos fornecedores sejam gerenciados via protocolo.

O que é o serviço SNMP?

O serviço SNMP permite que solicitações SNMP (Simple Network Management Protocol) de entrada sejam atendidas pelo computador local. O SNMP inclui agentes que controlam a atividade em dispositivos de rede e relatam à estação de trabalho de console de rede.

Como sei se o serviço SNMP está instalado em meu sistema?

Para confirmar a instalação do serviço SNMP em seu sistema, faça o seguinte:

1.	Clique em Iniciar e, em seguida, clique em Executar.
2.	Na caixa Abrir, digite services.msc e clique em OK.
3.	Procure o Serviço SNMP na lista de Serviços.

Se Serviço SNMP estiver listado, ele foi instalado.

Como o invasor pode explorar a vulnerabilidade?

Um invasor pode tentar explorar a vulnerabilidade criando uma mensagem específica e enviando-a a um sistema afetado. A mensagem poderá, então, fazer com que o sistema afetado execute códigos.

Quais são os principais sistemas que correm riscos com a vulnerabilidade?

Os sistemas Microsoft Windows são os que mais correm risco com essa vulnerabilidade.

A vulnerabilidade pode ser explorada pela Internet?

Sim. Um invasor pode tentar explorar essa vulnerabilidade através da Internet. As práticas recomendadas de firewall e as configurações de firewall padrão podem ajudar na proteção contra ataques originados na Internet. A Microsoft forneceu informações sobre como você pode ajudar a proteger o seu PC. Os usuários finais podem visitar o site Proteja seu PC. Os profissionais de TI podem visitar o site Centro de Orientacoes de Seguranca (em inglês).

O que a atualização faz?

A atualização elimina a vulnerabilidade modificando a forma como o Serviço SNMP valida o tamanho de uma mensagem antes de transmiti-la ao buffer alocado.

Quando esse boletim de segurança foi lançado, essa vulnerabilidade já tinha sido divulgada publicamente?

Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio de divulgação responsável.

Quando esse boletim de segurança foi lançado, a Microsoft tinha recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?

Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tenha sido usada publicamente para atacar clientes e não testemunhou nenhum exemplo de publicação de código de verificação de conceito, quando este boletim de segurança foi lançado pela primeira vez.

Início da sessão

Pré-requisitos

No Windows 2000, esta atualização de segurança requer o Service Pack 4 (SP4). Para o Small Business Server 2000, esta atualização de segurança requer que o Small Business Server 2000 Service Pack 1a (SP1a) ou o Small Business Server 2000 esteja em execução no Windows 2000 Server Service Pack 4 (SP4).

Os softwares dessa lista foram testados para determinar se as versões são afetadas. Outras versões já não incluem suporte para a atualização de segurança ou podem não ser afetadas. Para determinar o ciclo de vida do suporte para seu produto e sua versão, visite o site do Microsoft Support Lifecycle.

Para obter mais informações sobre como obter o service pack mais recente, consulte o artigo 260910 (em inglês) da Base de Conhecimento Microsoft.

Inclusão em Service Packs futuros

A atualização desse problema poderá ser incluída em um pacote cumulativo de atualizações futuro.

Informações de instalação

Esta atualização de segurança oferece suporte às seguintes opções de instalação:

Observação É possível combinar essas opções em uma única linha de comando. Para obter compatibilidade com versões anteriores, a atualização de segurança também oferece suporte às opções de instalação utilizadas por versões anteriores do programa de instalação. Para obter mais informações sobre opções com suporte de segurança, consulte o artigo 262841 (em inglês) da Base de Conhecimento Microsoft. Para obter mais informações sobre o instalador Update.exe, visite o site Microsoft TechNet. Para obter mais informações sobre a terminologia que aparece neste boletim, como hotfix, consulte o artigo 824684 (em inglês) da Base de Conhecimento Microsoft.

Informações de implantação

Para instalar a atualização de segurança sem nenhuma intervenção do usuário, use o seguinte comando em um prompt de comando do Windows 2000 Service Pack 4:

Windows2000-kb926247x86-enu /quiet

Observação O uso da opção /quiet eliminará todas as mensagens. Isso inclui a eliminação de mensagens de falha. Os administradores devem usar um dos métodos com suporte para verificar se a instalação foi bem-sucedida quando usarem a opção /quiet. Os administradores também devem analisar o arquivo KB926247.log para obter informações sobre quaisquer mensagens de falha quando usarem essa opção.

Para instalar a atualização de segurança sem forçar a reinicialização do sistema, use o seguinte comando em um prompt de comando do Windows XP Service Pack 4:

Windows2000-kb926247-x86-enu /norestart

Para obter informações sobre como implantar esta atualização de segurança com o Software Update Services, visite o site Software Update Services. Para obter mais informações sobre como implantar esta atualização de segurança usando o recurso Windows Server Update Services, visite o site do Windows Server Update Services. Esta atualização de segurança também está disponível no site Microsoft Update.

Necessidade de Reinicialização

Esta atualização requer reinicialização.

Informações sobre remoção

Para remover esta atualização, use a ferramenta Adicionar ou Remover Programas no Painel de Controle.

Os administradores de sistema também podem usar o utilitário Spuninst.exe para remover esta atualização de segurança. O utilitário Spuninst.exe está localizado na pasta %Windir%\$NTUninstallKB926247$\Spuninst.

Informações do Arquivo

A versão em inglês desta atualização de segurança tem os atributos de arquivo relacionados na tabela abaixo. As datas e as horas destes arquivos estão de acordo com a hora universal coordenada (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para saber a diferença entre o UTC e o horário local, use a guia Fuso Horário na ferramenta Data e Hora, no Painel de Controle.

Windows 2000 Service Pack 4 e Small Business Server 2000:

Verificando a aplicação da atualização

Pré-requisitos

Esta atualização de segurança requer o Microsoft Windows XP Service Pack 2. Para obter mais informações, consulte o artigo 322389 (em inglês) da Base de Conhecimento Microsoft.

Inclusão em Service Packs futuros

A atualização desse problema será incluída em um Service Pack ou conjunto de atualizações futuro.

Informações de instalação

Esta atualização de segurança oferece suporte às seguintes opções de instalação:

Observação É possível combinar essas opções em uma única linha de comando. Para obter compatibilidade com versões anteriores, a atualização de segurança também oferece suporte às opções de instalação utilizadas por versões anteriores do programa de instalação. Para obter mais informações sobre opções com suporte de segurança, consulte o artigo 262841 (em inglês) da Base de Conhecimento Microsoft. Para obter mais informações sobre o instalador Update.exe, visite o site Microsoft TechNet.

Informações de implantação

Para instalar a atualização de segurança sem nenhuma intervenção do usuário, utilize o seguinte comando em um prompt de comando para o Microsoft Windows XP:

Windowsxp-kb926247-x86-enu /quiet

Observação O uso da opção /quiet eliminará todas as mensagens. Isso inclui a eliminação de mensagens de falha. Os administradores devem usar um dos métodos com suporte para verificar se a instalação foi bem-sucedida quando usarem a opção /quiet. Os administradores também devem analisar o arquivo KB926247.log para obter informações sobre quaisquer mensagens de falha quando usarem essa opção.

Para instalar a atualização de segurança sem forçar a reinicialização do sistema, use o seguinte comando em um prompt de comando para o Windows XP:

Windowsxp-kb926247-x86-enu /norestart

Para obter informações sobre como implantar esta atualização de segurança com os serviços de atualização de software, visite o site Software Update Services. Para obter mais informações sobre como implantar esta atualização de segurança usando o recurso Windows Server Update Services, visite o site do Windows Server Update Services. Esta atualização de segurança também está disponível no site Microsoft Update.

Necessidade de Reinicialização

Esta atualização requer reinicialização.

Informações sobre remoção

Para remover esta atualização, use a ferramenta Adicionar ou Remover Programas no Painel de Controle.

Os administradores de sistema também podem usar o utilitário Spuninst.exe para remover esta atualização de segurança. O utilitário Spuninst.exe está localizado na pasta %Windir%\$NTUninstallKB926247$\Spuninst.

Informações do Arquivo

A versão em inglês desta atualização de segurança tem os atributos de arquivo relacionados na tabela abaixo. As datas e as horas destes arquivos estão de acordo com a hora universal coordenada (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para saber a diferença entre o UTC e o horário local, use a guia Fuso Horário na ferramenta Data e Hora, no Painel de Controle.

Windows XP Tablet PC Edition, Windows XP Media Center Edition, Windows XP Home Edition Service Pack 2, Windows XP Professional Service Pack 2, Windows XP Tablet PC Edition 2005 e Windows XP Media Center Edition 2005:

Windows XP Professional x64:

Observações Quando você instalar estas atualizações de segurança, o instalador verificará se um ou mais arquivos que estão sendo atualizados no sistema já foram atualizados por um hotfix da Microsoft.

Se você já tiver instalado um hotfix para atualizar um desses arquivos, o instalador copiará os arquivos RTMQFE, SP1QFE ou SP2QFE para o sistema. Do contrário, o instalador copiará os arquivos RTMGDR, SP1GDR ou SP2GDR para o sistema. As atualizações de segurança podem não conter todas as variações desses arquivos. Para obter mais informações sobre esse comportamento, consulte o artigo 824994 (em inglês) da Base de Conhecimento Microsoft.

Para obter mais informações sobre o instalador Update.exe, visite o site Microsoft TechNet.

Para obter mais informações sobre a terminologia que aparece neste boletim, como hotfix, consulte o artigo 824684 (em inglês) da Base de Conhecimento Microsoft.

Verificando a aplicação da atualização

Pré-requisitos

Esta atualização de segurança requer o Windows Server 2003 ou Windows Server 2003 Service Pack 1.

Observação As atualizações de segurança para Microsoft Windows Server 2003 e Microsoft Windows Server 2003 Service Pack 1 também se aplicam ao Microsoft Windows Server 2003 R2.

Inclusão em Service Packs futuros

A atualização desse problema será incluída em um service pack ou pacote cumulativo de atualizações futuro.

Informações de instalação

Esta atualização de segurança oferece suporte às seguintes opções de instalação:

Observação É possível combinar essas opções em uma única linha de comando. Para obter compatibilidade com versões anteriores, a atualização de segurança também oferece suporte a várias opções de instalação utilizadas por versões anteriores do programa de instalação. Para obter mais informações sobre opções com suporte de segurança, consulte o artigo 262841 (em inglês) da Base de Conhecimento Microsoft. Para obter mais informações sobre o instalador Update.exe, visite o site Microsoft TechNet.

Informações de implantação

Para instalar a atualização de segurança sem nenhuma intervenção do usuário, utilize o seguinte comando em um prompt de comando para o Windows Server 2003:

Windowsserver2003-kb926247-x86-enu /quiet

Observação O uso da opção /quiet eliminará todas as mensagens. Isso inclui a eliminação de mensagens de falha. Os administradores devem usar um dos métodos com suporte para verificar se a instalação foi bem-sucedida quando usarem a opção /quiet. Os administradores também devem analisar o arquivo KB926247.log para obter informações sobre quaisquer mensagens de falha quando usarem essa opção.

Para instalar a atualização de segurança sem forçar a reinicialização do sistema, use o seguinte comando em um prompt de comando para o Windows Server 2003:

Windowsserver2003-kb926247-x86-enu /norestart

Para obter informações sobre como implantar esta atualização de segurança com os serviços de atualização de software, visite o site Software Update Services. Para obter mais informações sobre como implantar esta atualização de segurança usando o recurso Windows Server Update Services, visite o site do Windows Server Update Services. Esta atualização de segurança também está disponível no site Microsoft Update.

Necessidade de Reinicialização

Esta atualização requer reinicialização

Esta atualização de segurança oferece suporte a HotPatching. Para obter mais informações sobre HotPatching, consulte o artigo 897341 (em inglês) da Base de Conhecimento Microsoft.

Informações sobre remoção

Para remover esta atualização, use a ferramenta Adicionar ou Remover Programas no Painel de Controle.

Os administradores de sistema também podem usar o utilitário Spuninst.exe para remover esta atualização de segurança. O utilitário Spuninst.exe está localizado na pasta %Windir%\$NTUninstallKB926247$\Spuninst.

Informações do Arquivo

A versão em inglês desta atualização de segurança tem os atributos de arquivo relacionados na tabela abaixo. As datas e as horas destes arquivos estão de acordo com a hora universal coordenada (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para saber a diferença entre o UTC e o horário local, use a guia Fuso Horário na ferramenta Data e Hora, no Painel de Controle.

Windows Server 2003, Web Edition; Windows Server 2003, Standard Edition; Windows Server 2003, Datacenter Edition; Windows Server 2003, Enterprise Edition; Windows Small Business Server 2003; Windows Server 2003, Web Edition com SP1; Windows Server 2003, Standard Edition com SP1; Windows Server 2003, Enterprise Edition com SP1; Windows Server 2003, Datacenter Edition com SP1; Windows Server 2003 R2, Web Edition; Windows Server 2003 R2, Standard Edition; Windows Server 2003 R2, Datacenter Edition; Windows Server 2003 R2, Enterprise Edition; Windows Small Business Server 2003 R2:

Windows Server 2003 Enterprise Edition para sistemas baseados no Itanium; Windows Server 2003, Datacenter Edition para sistemas baseados no Itanium; Windows Server 2003, Enterprise Edition com SP1 para sistemas baseados no Itanium e Windows Server 2003, Datacenter Edition com SP1 para sistemas baseados no Itanium:

Windows Server 2003, Standard x64 Edition; Windows Server 2003, Enterprise x64 Edition; e Windows Server 2003, Datacenter x64 Edition; Windows Server 2003 R2, Standard x64 Edition; Windows Server 2003 R2, Enterprise x64 Edition; e Windows Server 2003 R2, Datacenter x64 Edition:

Observações Quando você instalar estas atualizações de segurança, o instalador verificará se um ou mais arquivos que estão sendo atualizados no sistema já foram atualizados por um hotfix da Microsoft.

Se você já tiver instalado um hotfix para atualizar um desses arquivos, o instalador copiará os arquivos RTMQFE, SP1QFE ou SP2QFE para o sistema. Do contrário, o instalador copiará os arquivos RTMGDR, SP1GDR ou SP2GDR para o sistema. As atualizações de segurança podem não conter todas as variações desses arquivos. Para obter mais informações sobre esse comportamento, consulte o artigo 824994 (em inglês) da Base de Conhecimento Microsoft.

Para obter mais informações sobre esse comportamento, consulte o artigo 824994 (em inglês) da Base de Conhecimento Microsoft.

Para obter mais informações sobre o instalador Update.exe, visite o site Microsoft TechNet.

Para obter mais informações sobre a terminologia que aparece neste boletim, como hotfix, consulte o artigo 824684 (em inglês) da Base de Conhecimento Microsoft.

Verificando a aplicação da atualização