Importantes considerações sobre MS11-100 (Vulnerabilidades no .NET Framework)

Introdução

Existem algumas importantes considerações relacionadas à atualização de segurança extra MS11-100. Abaixo alguns questionamentos comuns e problemas conhecidos ao instalar esta atualização.

Em quais computadores a atualização deve ser instalada?

A atualização de segurança é recomendada para ser instalada nos seguintes produtos afetados pelas vulnerabilidades corrigidas pelo boletim MS11-100:

  • .NET Framework 1.0 SP3 no Windows XP Media Center 2005 SP3 e Tablet PC 2005 SP3
  • .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5 SP1 & 4.0 no Windows XP * 
  • .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5 SP1 & 4.0 no Windows Server 2003 *
  • .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5 SP1 & 4.0 no Windows Vista *
  • .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5 SP1 & 4.0 no Windows Server 2008 *
  • .NET Framework 3.5.1 & 4.0 on Windows 7 *
  • .NET Framework 3.5.1 & 4.0 on Windows Server 2008 R2 *
    * Todas as versões suportadas pela Microsoft

Qual o motivo para aplicar esta atualização o mais breve possível?

Este boletim cobre quatro vulnerabilidades no .NET Framework, uma relacionada a negação de serviço (DoS – Denial of Service), outra a Spoofing e as demais a elevação de privilégio. O problema é que uma delas, negação de serviço, já possui o código malicioso de conhecimento publico. Este sendo o motivo pelo qual este boletim foi publicado de maneira extra, para que os clientes possam atualizar o mais breve possível os computadores afetados pelo problema.

Qual a recomendação na aplicação desta atualização?

A instrumentação destes ataques ocorre através do ASP.NET (subcomponente instalado pelo IIS). É importante notar que o Windows Server e o Windows XP/7 não possuem o IIS instalado por padrão. Também instalado o IIS não significa que o ASP.NET vai ser instalado. O administrador ou aplicação pode selecionar este subcomponente durante o processo de instalação do IIS, conforme figura abaixo (clique nela para expandi-la):

Assim, servidores que possuem o componente ASP.NET instalado serão os que estariam sujeitos a sofrerem o ataque e devem receber a atualização MS11-100 de forma prioritária. Produtos da Microsoft tais como Exchange Server, Sharepoint, Project Server que fazer uso de IIS possuem o ASP.NET instalado e devem também ter esta atualização com alta prioridade, principalmente o servidores estão publicando serviços para a Internet. Produtos de terceiros também podem fazer uso do ASP.NET.

A instalação nas demais servidores ou estação sem o componente também deve ser levada em consideração para que caso o componente seja instalado no futuro também este dispositivos não se tornem vulneráveis.

Há algum problema conhecido após a instalação do Boletim?

Até o momento temos um problema reportando ao instalar a atualização de segurança. Esta atualização altera o formato dos tickets de autenticações para aplicações que utilizam Form Based Authentication. Esta alteração exige que em cenários de balanceamento de carga formada por servidores em Web Farm, todos os servidores membros tenham a atualização de maneira simultânea. Caso isto não seja feito a seguinte mensagem aparecerá no evento de Aplicação (Application Log).

Event ID: 1315
Event code: 4005
Event message: Forms authentication failed for the request. Reason: The ticket supplied was invalid.

Este problema está documentado no seguinte artigo (em inglês):
An ASP.NET forms authentication request that is sent to server in a web farm may fail

https://support.microsoft.com/kb/2661404

Há também uma orientação sobre a forma correta de aplicação desta atualização neste cenário que está coberta pelo artigo (em inglês):
Deployment guidance for security update 2638420, as described in MS11-100https://support.microsoft.com/kb/2659968

Existe alguma forma de detectar/bloquear o ataque de negação de serviço via rede?

O time Security & Research da Microsoft publicou detalhes técnicos de como detectar o ataque de negação de serviço. Há exemplos de assinaturas para IDS/IPS como Snort. Clique aqui.
Para clientes com Forefront TMG 2010 existe uma funcionalidade chamada NIS (Network Inspection System) que já possui uma assinatura que detecta e também pode bloquear o tráfego de ataque.

O URLScan protege o meu servidor do ataque de Negação de Serviço (DoS)?

Não. Pois o URLScan apenas protege o IIS de ataques com código malicioso de requisições no campo de URL. No caso especifico desta vulnerabilidade o ataque é realizado no corpo (Body) da requisição. Para mais informações leia o artigo:
Non-workaround – URLScan

Há como saber quais os módulos que são atualizadas pelo Update?
Sim, no caso basta acessar o artigo KB específico para cada atualização com sua respectiva versão. Por exemplo para a atualização Microsoft .NET Framework 4 o KB é 2656351:
MS11-100: Description of the security update for the .NET Framework 4 on Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2: December 29, 2011.
https://support.microsoft.com/kb/2656351. Na seção File Information ele detalha os componente que são atualizados.

Referencias: