Boletim de Segurança da Microsoft MS08-041 – Crítica

No cenário de ataque na Web, o invasor terá que hospedar um site contendo uma página da Web usada para explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário podem conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Um invasor tem que persuadir os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um email ou em uma mensagem do Instant Messenger que leva o usuário ao site do invasor.

O invasor que explorar com êxito a vulnerabilidade poderá obter os mesmos direitos que o usuário local. Os usuários cujas contas são configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles que possuem direitos administrativos.

Por padrão, todas as versões com suporte do Microsoft Outlook e do Microsoft Outlook Express abrem emails em HTML na zona Sites restritos. A zona Sites restritos ajuda a reduzir o número de ataques bem-sucedidos que exploram essa vulnerabilidade, ao evitar que os controles ActiveX e de Script Ativos sejam usados durante a leitura de email em HTML. Entretanto, se um usuário clicar em um link dentro de um email, ele ainda estará vulnerável a este problema, de acordo com o cenário de ataque baseado na Web.

Observação Não se pode descartar a possibilidade de esta vulnerabilidade ser explorada sem scripts ativos. No entanto, o uso de scripts ativos aumenta significativamente a probabilidade de uma exploração bem-sucedida. Como resultado, esta vulnerabilidade recebeu a classificação de gravidade crítica no Windows Server 2003 e Windows Server 2008.

Por padrão, o Internet Explorer no Windows Server 2003 e no Windows Server 2008 é executado em um modo restrito, conhecido como Configuração de Segurança Reforçada. Esse modo define o nível de segurança para a zona da Internet como Alto. Este é um fator atenuante para sites que não tenham sido adicionados à zona Sites confiáveis do Internet Explorer.

Impeça que objetos COM sejam executados no Internet Explorer

Você pode desativar as tentativas de instanciar o objeto COM no Internet Explorer definindo o kill bit do controle no Registro.

Aviso O uso incorreto do Editor do Registro pode causar problemas graves e exigir a reinstalação do sistema operacional. A Microsoft não garante a solução de problemas resultantes do uso incorreto do Editor do Registro. Você é responsável pelo uso do Editor do Registro.

Para obter informações sobre como evitar que um controle seja executado no Internet Explorer, consulte o Artigo 240797 (em inglês) da Base de Conhecimento Microsoft. Esse artigo mostra como criar um valor de Compatibility Flags no Registro e evitar que um objeto COM seja instanciado no Internet Explorer.

Cole o texto a seguir em um editor de texto como o Bloco de Notas. Em seguida, salve o arquivo usando a extensão de nome de arquivo .reg.

                Editor de Registro do Windows Versão 5.00
                [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}]
                "Compatibility Flags"=dword:00000400

                [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}]
                "Compatibility Flags"=dword:00000400

                [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F2175210-368C-11D0-AD81-00A0C90DC8D9}]
                "Compatibility Flags"=dword:00000400
              

Você pode aplicar este arquivo .reg em sistemas individuais clicando duas vezes nele. Você também pode aplicá-lo entre domínios usando a Diretiva de Grupo. Para obter mais informações sobre a Diretiva de Grupo, visite estes sites da Microsoft:

Observação Você deve reiniciar o Internet Explorer para que as alterações tenham efeito.

Impacto da solução alternativa. O controle ActiveX não irá mais instanciar no Internet Explorer. Os clientes que contam com este controle para ver um instantâneo de um relatório sem ter as versões padrão ou em execução do Microsoft Office Access 2000 até o Microsoft Office Access 2007 instaladas poderão notar que seus relatórios não são exibidos se usarem o controle ActiveX para Snapshot Viewer pelo Internet Explorer.

Configure o Internet Explorer para notificá-lo antes da execução de scripts ativos ou desative os scripts ativos na zona de segurança da Internet e da intranet local

Para se proteger contra a exploração dessa vulnerabilidade, altere as configurações para ser notificado antes da execução de scripts ativos ou desabilite os scripts ativos na zona de segurança da Internet e da intranet local. Para isso, siga estas etapas:

Observação A desativação dos scripts ativos nas zonas de segurança da Internet e da intranet local poderá fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permitirá que o site funcione adequadamente.

Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

Para isso, siga estas etapas:

Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de scripts ativos. Muitos sites que não estão na Internet ou na intranet usam scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução dos scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado freqüentemente quando ativar essa solução alternativa. Para cada notificação, se achar que confia no site que está visitando, clique em Sim para executar os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer.

Defina as configurações de zona de segurança da Internet e da intranet local como "Alto" para ser notificado antes da execução de controles ActiveX e scripts ativos nessas zonas

Você pode ajudar na proteção contra a exploração dessa vulnerabilidade alterando as configurações para que a zona de segurança da Internet solicite uma confirmação antes de executar controles ActiveX e scripts ativos. É possível fazer isso configurando a segurança do navegador como Alta.

Para aumentar o nível de segurança da navegação no Internet Explorer, faça o seguinte:

Observação Se o controle deslizante não estiver visível, clique em Nível padrão e então mova o controle deslizante para Alto.

Observação A configuração do nível como Alto pode fazer com que alguns sites não funcionem corretamente. Se você encontrar dificuldades ao usar um site após alterar a configuração, mas tiver certeza de que o site é seguro, é possível adicionar esse site à lista de sites confiáveis. Isso permite que o site funcione corretamente, mesmo com a configuração de segurança definida como Alta.

Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer

Depois de definir o Internet Explorer para solicitar confirmação antes de executar controles ActiveX e scripts ativos na zona da Internet e da Intranet local, você pode adicionar sites confiáveis à zona de Sites confiáveis do Internet Explorer. Isso permitirá que você continue usando os sites confiáveis exatamente como faz atualmente, enquanto ajuda a proteger-se de ataques em sites não confiáveis. É recomendável adicionar somente sites nos quais você confia à zona de Sites confiáveis.

Para isso, siga estas etapas:

Observação Adicione os sites que você tem certeza de que não realizarão ações mal-intencionadas em seu sistema. Dois em particular que você pode desejar adicionar são *.windowsupdate.microsoft.com e *.update.microsoft.com. Estes são os sites que hospedam a atualização, e é preciso ter um controle ActiveX para instalar a atualização.

Impacto da solução alternativa. Há efeitos colaterais para notificação antes da execução de controles ActiveX e scripts ativos. Muitos sites que não estão na Internet ou na intranet usam controles ActiveX e scripts ativos para fornecer funcionalidade adicional. Por exemplo, um site de comércio eletrônico ou bancário online pode usar controles ActiveX para fornecer menus, formulários de pedidos ou até mesmo extratos de contas. A notificação antes da execução de controles ActiveX ou scripts ativos é uma configuração global que afeta todos os sites da Internet e da intranet. Você será notificado freqüentemente quando ativar essa solução alternativa. Em cada notificação, se você sentir que confia no site que está visitando, clique em Sim para executar os controles ActiveX ou os scripts ativos. Se não quiser ser avisado para todos esses sites, use os passos descritos em Adicione sites confiáveis à zona Sites confiáveis do Internet Explorer.

Ele está incluído em todas as versões do Access com suporte - contudo não é instalado por padrão

Também está disponível como um download autônomo separado de modo que os clientes que não tenham o Access instalado possam ver instantâneos do banco de dados do Access