ATUALIZADO - Patch EXTRA para o Windows divulgado hoje

  • Article

A Microsoft estará divulgando um patch EXTRA fora do nosso calendário habitual na tarde de hoje (23 de Outubro), por volta das 3 da tarde horário de Brasília. Esta correção se refere a uma vulnerabilidade crítica do Microsoft Windows que na nossa avaliação de riscos não pode esperar pelo próximo dia habitual de divulgação na segunda terça-feira de Novembro.

Um webcast sobre esta correção será conduzida também hoje as 6 da tarde hora de Brasília. Ela será feita em inglês e você pode se registrar para participar aqui.

UPDATE - O patch foi divulgado e está disponível já para download no Windows Update, Microsoft Update, Windows Server Update Services (WSUS) ou diretamente para download no nosso site (veja os links no boletim de segurança). Aqui estão mais alguns detalhes desta correção:

A vulnerabilidade afeta o serviço Server ("Servidor") que é o responsável entre outras coisas por fazer o sistema compartilhar arquivos e impressoras. O que torna esta correção tão crítica para os sistemas Windows 2000, XP e 2003 é que este serviço está sempre ligado por default e a exploração da vulnerabilidade não requer autenticação, além do fato da vulnerabilidade estar sendo já usada para comprometer sistemas na Internet.

No Windows Vista e Windows Server 2008 a atualização é somente classificada como Importante (e não Crítica) porque a sua exploração exige que o atacante primeiro se autentique com sucesso no sistema. Isto acontece porque no Vista e 2008 as chamadas anônimas (sem autenticação) feitas via RPC são sempre tratadas com nível de integridade Untrusted (o mais baixo), impedindo que a vulnerabilidade seja explorada. Esta é mais uma das medidas de defesa de profundidade incorporadas nos novos sistema.

Você pode utilizar as seguintes medidas como contorno para se proteger contra ataques enquanto a correção não é instalada:

¦ Usar um firewall pessoal para bloquear as conexões vindas nas portas TCP 139 e 445. Estas são as portas TCP utilizadas pelo serviço Server. O Windows Firewall nativo nos Windows XP e posteriores pode ser utilizado aqui, e para maior garantia você pode optar por temporariamente ligar ele sem permitir nenhuma exceção de entrada.

¦ Se o seu firewall permite filtrar tráfego RPC Microsoft por UUID específico, como o firewall do Windows Vista e Windows Server 2008, você pode filtrar especificamente o UUID 4b324fc8-1670-01d3-1278-5a47bf6ee188.

¦ Parar os serviços Server ("Servidor") e Computer Browser ("Localizador de Computadores"). Note que ao parar estes serviços o seu computador continuará acessando arquivos e impressoras compartilhados em outros sistemas (funcionalidade que é fornecida pelo serviço Workstation) mas nenhum computador da rede conseguirá acessar recursos do seu computador. Outras aplicações podem ser também afetadas, por isto teste bem antes de utilizar este caminho.

(Nota: se estes serviços já estavam parados no seu computador então ele não está vulnerável)

Informações mais detalhadas sobre a correção podem ser encontrados no nosso boletim MS08-067, e uma descrição técnica da vulnerabilidade e possíveis defesas está disponível no blog do time de Security Vulnerability and Research.