É necessária a instalação do MS12-020 o mais rápido possível!

  • Article

Olá Pessoal,

Estou aqui para alertar que já existem indícios da disponibilidade da prova de conceito (POC – Proof of Concept) para explorar a vulnerabilidade CVE2012-002. Através desta prova de conceito, pode ser gerado um código malicioso, possibilitando a exploração remota de uma falha de segurança no protocolo RDP (Remote Desktop Protocol).

A Microsoft ainda não possui uma confirmação total desta prova de conceito, mas já existem publicações na Internet em artigos como estes da Sophos e Thread Post. A existência de uma prova de conceito que demonstra como explorar a vulnerabilidade é o primeiro passo para o desenvolvimento de um código de exploração efetivo.

Uma vez que esta vulnerabilidade possa ser explorada por um malware, é possível que num curto espaço de tempo um malware do tipo worm possa ser desenvolvido e que faça a exploração desta vulnerabilidade de forma automática, possivelmente causando infecções em massa.

Esta vulnerabilidade foi coberta pelo boletim de segurança da Microsoft MS12-020 , publicado pela Microsoft na última terça-feira, 13 de Março de 2012. Diante dos fatos aqui explicados, estamos recomendando a instalação desta atualização de segurança o mais rápido possível.

 

Como proteger-me desta vulnerabilidade?

  1. Implementar de forma imediata as soluções alternativas (ver abaixo).
  2. Instalar a atualização o mais rápido possível através do Microsoft Update Catalog. Procure por MS12-020 ou KB2621440 para obter o link das atualizações para todos os Sistemas Operacionais afetados.

Soluções Alternativas

A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade:

  • Solução #1 - Desabilite o Terminal Services, a Área de trabalho Remota, a Assistência Remota e o Windows Small Business Server 2003 Remote Web Workplace se eles não forem mais necessários

Se você não precisa mais destes serviços em seu sistema, desabilite-os como uma melhor prática de seguranã. Desabilitar serviços não utilizadas e desnecessários ajuda a reduzir sua exposição a vulnerabilidades de segurança.

Para obter informação sobre como desabilitar a Área de trabalho Remota manualmente, consulte To disable Remote Desktop.

Para obter informações sobre como desabilitar a Área de trabalho Remota usando a Diretiva de Grupo, consulte o Artigo 306300 (em inglês) da Microsoft Knowledge Base.

Para obter informações sobre Assistência Remota, incluindo instruções sobre como desabilitá-la manualmente e através da Diretiva de Grupo, consulte o artigo do Technet, Remote Assistance.

Para obter informações sobre como desabilitar os recursos Terminal Services e Remote Web Workplace do Windows Small Business Server 2003, consulte o artigo do Technet, Securing Your Windows Small Business Server 2003 Network.

  • Solução #2 - Bloquear porta 3389 do TCP no firewall do perímetro empresarial

A porta 3389 é usada para iniciar uma conexão com o componente afetado. Bloquear esta porta no firewall do perímetro de rede ajudará a proteger os sistemas atrás do firewall contra as tentativas de exploração dessa vulnerabilidade. Isso pode ajudar a proteger as redes contra ataques com origem externa ao perímetro da empresa. Bloquear as portas afetadas no perímetro de empresa é a melhor defesa para ajudar a evitar ataques baseados na Internet. No entanto, sistemas ainda podem ser vulneráveis a ataques por dentro de seu perímetro de empresa.

Além disso, no Windows XP e Windows Server 2003, o firewall do Windows pode ajudar a proteger sistemas individuais. Por padrão, o firewall do Windows não permite conexões a esta porta, exceto no Windows XP Service Pack 2, quando o recurso de Área de trabalho remota é habilitado. Para obter informações sobre como desabilitar a exceção de firewall do Windows para Área de Trabalho Remota nessas plataformas, consulte o artigo do Technet, Habilitar ou desabilitar regra de firewall de área de trabalho remota. Se você não pode desabilitar a exceção de firewall do Windows para Área de trabalho remota, você pode reduzir o escopo desta vulnerabilidade configurando o valor padrão de Todos os computadores (Inclusive esses na Internet) à rede local. Fazer isso ajuda a reduzir a probabilidade de ataques da Internet.

Observação o Windows Small Business Server 2003 usa um recurso chamado Remote Web Workplace. Este recurso usa a porta 4125 do TCP para captar conexões de RDP. Se você usa este recurso, deve validar que esta porta também seja bloqueada da Internet além da porta 3389.

Observação é possível alterar manualmente os componentes afetados para usarem outras portas. Se você executou estas ações, você também deve bloquear essas portas adicionais.

  • Solução #3 - Ative a Autenticação no Nível de Rede nos sistemas executando edições com suporte do Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2

    Você pode ativar a Autenticação no Nível de Rede para impedir que invasores não autenticados explorem esta vulnerabilidade. Com a Autenticação no Nível de Rede ligada, um invasor primeiro precisaria autenticar a Serviços de Área de Trabalho Remota usando uma conta válida no sistema de destino antes de poder explorar a vulnerabilidade.

Observação Consulte o Artigo 2671387 (em inglês) da Microsoft Knowledge Base para usar a solução automatizada Microsoft Fix it para ativar esta solução alternativa.

 Para usar a Autenticação no Nível de Rede, seu ambiente deve satisfazer os seguintes requisitos:

    • O computador cliente deve estar usando pelo menos o Remote Desktop Connection 6.0.
    • O computador cliente deve estar usando um sistema operacional, como o Windows 7 ou Windows Vista, que suporte o protocolo CredSSP (Credential Security Support Provider).
    • O servidor Host da Sessão da Área de Trabalho Remota deve estar executando o Windows Server 2008 R2 ou o Windows Server 2008.

Para configurar a Autenticação no Nível de Rede para uma conexão, execute as seguintes etapas:

    1. No servidor Host da Sessão da Área de Trabalho Remota, abra Configuração do Host da Sessão da Área de Trabalho Remota. Para abrir a Configuração do Host da Sessão da Área de Trabalho Remota, clique em Iniciar, aponte para FerramentasAdministrativas, aponte para Serviços de Área de Trabalho Remota e clique em Configuração do Host da Sessão da Área de Trabalho Remota.

    2. Em Conexões, clique com o botão direito do mouse no nome da conexão e, em seguida, clique em Propriedades.

    3. Na guia Geral, selecione a caixa de seleção Permitir conexões somente de computadores que estejam executando a Área de Trabalho Remota com Autenticação em Nível de Rede.

      Caso a caixa de seleção Permitir conexões somente de computadores que estejam executando a Área de Trabalho Remota com Autenticação em Nível de Rede esteja selecionada e não ativada, a configuração da Diretiva de Grupo Solicitar autenticação de usuário de conexões remotas usando Autenticação no Nível da Rede foi habilitada e aplicada ao servidor Host da Sessão da Área de Trabalho Remota.

    4. Clique em OK.

Impacto da solução alternativa. Os computadores clientes que não são compatíveis com o protocolo CredSSP (Credential Security Support Provider) não poderão acessar os servidores protegidos com Autenticação no Nível de Rede. Observação Para administradores implantando esta solução alternativa em um ambiente de rede misto em que o Windows XP Service Pack 3 deve usar a Área de Trabalho Remota, consulte o Artigo 951608 (em inglês) da Microsoft Knowledge Base para obter informações sobre como habilitar o CredSSP no Windows XP Service Pack 3.

Para obter mais informações sobre Autenticação no Nível de Rede, inclusive como ativar a Autenticação no Nível de Rede usando a Diretiva de Grupo, consulte o artigo do Technet (em inglês), Configure Network Level Authentication for Remote Desktop Services Connections.