Atualizações de Segurança da Microsoft de Janeiro de 2016

Qual é o objetivo deste alerta?

 

Esse alerta tem por objetivo fornecer uma visão geral dos novos boletins de segurança disponibilizados em 12 de janeiro de 2016. Novas atualizações de segurança são lançadas mensalmente para tratar vulnerabilidades de segurança que afetam os produtos da Microsoft.

 

Novos Boletins de Segurança

 

A Microsoft está lançando 9 boletins de segurança para solucionar vulnerabilidades recém-descobertas:

 

Identificação do Boletim

Título do Boletim

Nível Máximo de Severidade

Impacto da Vulnerabilidade

Necessidade de Reinicialização

Softwares Afetados

MS16-001

Atualização Cumulativa de Segurança para Internet Explorer (3124903)

Crítica

Execução Remota de Código

Exige reinicialização

Internet Explorer em todas as edições suportadas do Windows.

MS16-002

Atualização Cumulativa de Segurança para Microsoft Edge (3124904)

Crítica

Execução Remota de Código

Exige reinicialização

Microsoft Edge no Microsoft Windows 10.

MS16-003

Atualização Cumulativa de Segurança Para JScript e VBScript Para Corrigir Execução Remota de Código (3125540)

Crítica

Execução Remota de Código

Pode exigir a reinicialização

Mecanismo de script VBScript em edições suportadas do Windows Vista, Windows Server 2008 e instalações Server Core do Windows Server 2008 R2.

MS16-004

Atualização de Segurança para Microsoft Office para Solucionar Execução Remota de Código (3124585)

Crítica

Execução Remota de Código

Pode exigir a reinicialização

Microsoft Office 2007, Office 2010, Office 2013, Office 2013 RT, Office 2016, Office for Mac 2011, Office 2016 for Mac, Office Compatibility Pack SP3, Excel Viewer, Word Viewer, SharePoint Server 2013, SharePoint Foundation 2013 e Visual Basic Runtime 6.0.

MS16-005

Atualização de Segurança para Drivers Modo Kernel do Microsoft Windows Para Corrigir Execução Remota de Código (3124584)

Crítica

Execução Remota de Código

Exige reinicialização

Todas as versões suportadas do Microsoft Windows.

MS16-006

Atualização de Segurança para Silverlight para Corrigir Execução Remota de Código (3126036)

Crítica

Execução Remota de Código

Não requer reinicialização

Microsoft Silverlight 5 e Silverlight 5 Developer Runtime.

MS16-007

Atualização de Segurança para Microsoft Windows para Solucionar Execução Remota de Código (3124901)

Importante

Execução Remota de Código

Exige reinicialização

Todas as versões suportadas do Microsoft Windows.

MS16-008

Atualização de Segurança Para Kernel do Microsoft Windows Para Corrigir Elevação de Privilégio (3124605)

Importante

Elevação de Privilégio

Exige reinicialização

Todas as versões suportadas do Microsoft Windows.

MS16-010

Atualização de Segurança para o Microsoft Exchange Server Para Corrigir Spoofing (3124557)

Importante

Falsificação

Pode exigir a reinicialização

Todas as edições suportadas do Microsoft Exchange Server 2013 e Exchange Server 2016.

Nota: o identificador de boletim MS16-009 foi ignorado intencionalmente. Este não é um erro de impressão.

 

Os resumos dos novos boletins podem ser encontrados em  http://technet.microsoft.com/pt-br/security/bulletin/MS16-jan.

 

Ferramenta de Remoção de Software Mal Intencionado e Atualizações Não Relacionadas à Segurança

 

  • A Microsoft está lançando uma versão atualizada da Ferramenta de Remoção de Software Mal-intencionado do Microsoft Windows no Windows Server Update Services (WSUS), Windows Update (WU) e no Centro de Downloads. Informações sobre a Ferramenta de Remoção de Software Mal-intencionado do Microsoft Windows estão disponíveis aqui: http://support.microsoft.com/?kbid=890830.

 

  • Atualizações Não Relacionadas à Segurança de Alta Prioridade: atualizações Microsoft disponíveis no Microsoft Update (MU), Windows Update (WU), ou Windows Server Update Services (WSUS) são detalhadas no seguinte artigo da Base de Conhecimento: http://support.microsoft.com/?kbid=894199.

 

Novo Comunicado de Segurança

 

A Microsoft publicou três novos comunicados de segurança em 12 de Janeiro de 2016. A seção a seguir fornece uma visão geral destes novos comunicados de segurança:

 

Novo Comunicado de Segurança (1 de 3)

 

Comunicado de Segurança 3109853

Atualização para Melhorar a Interoperabilidade de Reinício de Sessão TLS

Sumário Executivo

A Microsoft está anunciando a disponibilidade de uma atualização para melhorar a interoperabilidade entre clientes TLS baseados em Schannel e servidores TLS de terceiros que habilitam a retomada com base na RFC5077 e que enviam uma mensagem NewSessionTicket no handshake TLS abreviado. A atualização corrige um problema no schannel.dll que pode gerar falhas na retomada de sessão baseada em ticket da RFC5077 e causar um fallback para uma versão menor do protocolo TLS do que aquele que seria negociado de outra forma para clientes baseados no WinInet (por exemplo, o Internet Explorer e o Microsoft Edge). A melhoria é parte dos esforços contínuos para reforçar a eficácia da criptografia no Windows. Para detalhes adicionais e orientações sobre a implantação consulte o Artigo 3109853 da Base de Conhecimento Microsoft.

Softwares Afetados

  • Windows 8.0
  • Windows 8.1
  • Windows RT
  • Windows RT 8.1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 10
  • Windows 10 Versão 1511
  • Windows Server 2012 – Instalação Server Core
  • Windows Server 2012 R2 – Instalação Server Core

Ações Recomendadas

A Microsoft recomenda instalar esta atualização através do Windows Update quando ela for oferecida automaticamente para os sistemas afetados.

Mais Informações

https://technet.microsoft.com/pt-br/library/security/3109853 

 

Novo Comunicado de Segurança (2 de 3)

 

Comunicado de Segurança 3118753

Atualizações para Kill Bits do ActiveX 3118753

Sumário Executivo

A Microsoft está lançando um novo conjunto de kill bits do ActiveX com este comunicado. Os kill bits do ActiveX estão incluídos na atualização cumulativa do Internet Explorer lançada em 12 de janeiro de 2016. Esta atualização define os kill bits para os seguintes softwares de terceiros:

  • IBM Endpoint Manager for Remote Control (versão 9.0.1 and later) e IBM Assist On-site (versão 4.0.0). O identificador de classe a seguir refere-se a uma solicitação feita pela IBM para definir um kill bit para um controle ActiveX vulnerável.
  • O identificador de classe (CLSIDs) para este controle ActiveX é:
    {D4C0DB38-B682-42A8-AF62-DB9247543354}

Softwares Afetados

Versões suportadas do Internet Explorer em todas as edições suportadas do Windows.

Ações Recomendadas

A Microsoft recomenda aos clientes que instalem a atualização cumulativa do Internet Explorer aplicável:

  • Em sistemas executando o Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2, or Windows RT 8.1, instale a atualização 3124275.
  • Para sistemas executando o Windows 10, instale a atualização 3124266.
  • Para sistemas executando o Windows 10 versão 1511, instale a atualização 3124263.

Mais Informações

https://technet.microsoft.com/pt-br/library/security/3118753

 

Novo Comunicado de Segurança (3 de 3)

 

Comunicado de Segurança 3123479

Obsolência do Algoritmo de Hash SHA-1 para o Programa de Certificado Raiz da Microsoft

Sumário Executivo

A Microsoft lançou uma alteração de obsolência de assinatura de código SHA-1 efetiva a partir de 1º de janeiro de 2016, focada na atividade do cliente que pode ocorrer somente quando um cliente faz download de arquivos da Internet. Esta mudança é específica para uma nova configuração padrão do Windows e os clientes podem substituir as configurações padrão em seu ambiente.

Para clientes executando o Internet Explorer ou o Microsoft Edge que fizerem o download de um arquivo assinado com SHA-1 da Internet, datado e disponibilizado a partir de 1 de janeiro de 2016, o filtro SmartScreen marcará o arquivo como não confiável. Esse status não impede que os clientes baixem o arquivo ou executem estes navegadores em seus computadores. Mas os clientes são avisados do status não confiável do arquivo.

Essa alteração afeta somente os arquivos MOTW (Mark-of-the-Web) baixados da Internet. Arquivos datados de antes de 1º de janeiro de 2016 continuarão sendo considerados confiáveis. Drivers com assinaturas verificadas pela Integridade de Código não são afetados por esta alteração. Para estar em conformidade com os mais recentes requisitos de assinatura de driver, consulte o Blog de Certificação de Hardware do Windows.

Softwares Afetados

  • Windows 7
  • Windows Server 2008 R2
  • Windows 8.0
  • Windows 8.1
  • Windows RT
  • Windows RT 8.1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 10
  • Windows 10 Versão 1511
  • Windows Server 2008 R2 – Instalação Server Core
  • Windows Server 2012 – Instalação Server Core
  • Windows Server 2012 R2 – Instalação Server Core

Ações Recomendadas

Analise as alterações nas políticas do Programa de Certificado Raiz do Microsoft

Os clientes que estão interessados em aprender mais sobre o tópico coberto neste comunicado devem ler sobre a Imposição de Assinatura de Código e Carimbo de Data/hora do Authenticode.

 

Atualização de SHA-1 para SHA-2

As autoridades certificadoras já não devem assinar certificados gerados recentemente usando o algoritmo de hash SHA-1. Os clientes devem assegurar que as respectivas autoridades certificadoras estão usando o algoritmo de hash SHA-2 para obter certificados SHA-2 das respectivas autoridades certificadoras. Para assinar código com certificados SHA-2, consulte as orientações sobre este tópico na Imposição de Assinatura de Código e Carimbo de Data/hora do Authenticode.

Impacto da ação: Soluções antigas baseadas em hardware podem exigir atualização para oferecer suporte a essas novas tecnologias.

 

Mantenha o Windows Atualizado

Todos os usuários do Windows devem aplicar as últimas atualizações de segurança da Microsoft para ajudar a garantir que seus computadores estejam protegidos. Se não tiver certeza se o seu software está atualizado, visite o site do Windows Update, faça uma varredura em seu computador em busca das atualizações disponíveis e instale quaisquer atualizações de alta prioridade que estejam disponíveis para você. Se as Atualizações Automáticas estiverem ativadas, as atualizações serão entregues assim que forem lançadas, mas você deve se certificar de que elas foram instaladas.

Mais Informações

https://technet.microsoft.com/pt-br/library/security/3123479

 

 

Detalhes Técnicos Sobre os Novos Boletins de Segurança

 

Detalhes técnicos sobre os boletins e comunicados de segurança estão disponíveis na seção correspondente nos modelos de e-mail anexados. Detalhes técnicos sobre os boletins também estão disponíveis internamenteneste neste site: https://microsoft.sharepoint.com/teams/Security/BP/FAQs

 

Novo Boletim de Segurança (1 de 9)

 

Identificador do Boletim

Boletim de Segurança Microsoft MS16-001

[Topo]

Título do Boletim

Atualização Cumulativa de Segurança para Internet Explorer (3116180)

Sumário Executivo

Esta atualização de segurança soluciona vulnerabilidades no Internet Explorer. A mais severa das vulnerabilidades pode permitir a execução remota de código se o usuário exibir a página web especialmente criada usando o Internet Explorer. Um atacante que explorar com sucesso esta vulnerabilidade pode obter os mesmos direitos do usuário conectado. Se o usuário atual estiver conectado com direitos administrativos de usuário, um atacante que explorar esta vulnerabilidade com êxito pode obter controle total do sistema afetado. O atacante poderia então instalar programas, visualizar, alterar ou excluir dados e criar novas contas com privilégio total.

 

A atualização de segurança corrige as vulnerabilidades modificando a forma como o VBScript manipula objetos na memória e ajudando a garantir que diretivas entre domínios sejam aplicadas corretamente no Internet Explorer.

Níveis de Severidade e Softwares Afetados

Esta atualização de segurança foi classificada como Crítica para o Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 em clientes Windows afetados e Moderada para o Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 em servidores Windows afetados.

Vetores de Ataque

Um atacante pode hospedar um site especialmente criado, projetado para explorar esta vulnerabilidade através do Internet Explorer e então convencer o usuário a exibir o site. O atacante também pode tirar proveito de sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário ou publicidade, adicionando conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade.

Fatores de Mitigação

  • Um atacante não teria como forçar um usuário a navegar para um site controlado pelo atacante. O atacante teria que convencer os usuários a clicar em um link, tipicamente em uma mensagem de e-mail ou mensagem instantânea, ou fazendo-o abrir um arquivo anexo enviado por e-mail.
  • A exploração só obtém os mesmos direitos do usuário conectado. Contas configuradas para ter os privilégios mínimos necessários reduzem o risco.
  • Por padrão, todos os clientes de e-mail da Microsoft abrem mensagens de correio eletrônico HTML na zona de Sites Restritos.
  • Por padrão, o Internet Explorer é executado em modo restrito para todos os servidores Windows.

Necessidade de Reinicialização

Esta atualização exige a reinicialização.

Boletins Substituídos por Esta Atualização

MS15-124

Mais Detalhes

https://technet.microsoft.com/pt-br/library/security/MS16-001

 

 

Novo Boletim de Segurança (2 de 9)

 

Identificador do Boletim

Boletim de Segurança Microsoft MS16-002

[Topo]

Título do Boletim

Atualização Cumulativa de Segurança para Microsoft Edge (3124904)

Sumário Executivo

Esta atualização de segurança soluciona vulnerabilidades no Microsoft Edge. As vulnerabilidades podem permitir a execução remota de código se o usuário exibir uma página web especialmente criada usando o Internet Edge. A atualização de segurança corrige as vulnerabilidades modificando a forma como o Microsoft Edge trata objetos na memória.

Níveis de Severidade e Softwares Afetados

Esta atualização de segurança foi classificada como Crítica para o Microsoft Edge no Windows 10.

Vetores de Ataque

Um atacante pode hospedar um site especialmente criado, projetado para explorar esta vulnerabilidade através do Microsoft Edge e então convencer o usuário a exibir o site. O atacante também pode tirar proveito de sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário ou publicidade, adicionando conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Se o usuário atual estiver conectado com direitos administrativos de usuário, um atacante que explorar esta vulnerabilidade com êxito pode obter controle total do sistema afetado. O atacante poderia então instalar programas, visualizar, alterar ou excluir dados e criar novas contas com privilégio total. A atualização de segurança corrige as vulnerabilidades modificando a forma como o Microsoft Edge trata objetos na memória.

Fatores de Mitigação

  • Um atacante não teria como forçar um usuário a navegar para um site controlado pelo atacante. O atacante teria que convencer os usuários a clicar em um link, tipicamente em uma mensagem de e-mail ou mensagem instantânea, ou fazendo-o abrir um arquivo anexo enviado por e-mail.
  • Um atacante que conseguir explorar com sucesso as vulnerabilidades pode obter os mesmos direitos do usuário conectado. Contas configuradas para ter menos direitos no sistema representam um risco menor do que contas configuradas com direitos administrativos.

Necessidade de Reinicialização

Esta atualização exige a reinicialização.

Boletins Substituídos por Esta Atualização

MS15-125

Mais Detalhes

https://technet.microsoft.com/pt-br/library/security/MS16-002

 

 

Novo Boletim de Segurança (3 de 9)

 

Identificador do Boletim

Boletim de Segurança Microsoft MS16-003

[Topo]

Título do Boletim

Atualização Cumulativa de Segurança Para JScript e VBScript Para Corrigir Execução Remota de Código (3125540)

Sumário Executivo

Esta atualização de segurança resolve uma vulnerabilidade no mecanismo de scripting VBScript no Microsoft Windows. A vulnerabilidade pode permitir a execução remota de código se um usuário visitar um site da web especialmente criado. Um atacante também poderia incorporar um controle ActiveX marcado como "seguro para inicialização" em um aplicativo ou documento do Microsoft Office que hospeda o mecanismo de renderização do IE.  Um atacante que explorar com sucesso esta vulnerabilidade pode obter os mesmos direitos do usuário conectado. Se o usuário atual estiver conectado com direitos administrativos de usuário, um atacante que explorar esta vulnerabilidade com êxito pode obter controle total do sistema afetado. O atacante poderia então instalar programas, visualizar, alterar ou excluir dados e criar novas contas com privilégio total. A atualização de segurança soluciona as vulnerabilidades modificando a forma que o mecanismo de scripting VBScript trata objetos na memória.

Níveis de Severidade e Softwares Afetados

Esta atualização de segurança foi classificada como Crítica para as versões afetadas do mecanismo de scripting VBScript em edições suportadas do Windows Vista, Windows Server 2008 e instalações Server Core do Windows Server 2008 R2.

Vetores de Ataque

Um atacante pode hospedar um site especialmente criado, projetado para explorar esta vulnerabilidade através do Internet Explorer e então convencer o usuário a exibir o site. O atacante também pode tirar proveito de sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário ou publicidade, adicionando conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade.

Fatores de Mitigação

  • Um atacante não teria como forçar um usuário a navegar para um site controlado pelo atacante. O atacante teria que convencer os usuários a clicar em um link, tipicamente em uma mensagem de e-mail ou mensagem instantânea, ou fazendo-o abrir um arquivo anexo enviado por e-mail.
  • A exploração só obtém os mesmos direitos do usuário conectado. Contas configuradas para ter os privilégios mínimos necessários reduzem o risco. 

Necessidade de Reinicialização

Esta atualização pode exigir a reinicialização.

Boletins Substituídos por Esta Atualização

MS15-126

Mais Detalhes

https://technet.microsoft.com/pt-br/library/security/MS16-003

 

 

Novo Boletim de Segurança (4 de 9)

 

Identificador do Boletim

Boletim de Segurança Microsoft MS16-004

[Topo]

Título do Boletim

Atualização de Segurança para Microsoft Office para Solucionar Execução Remota de Código (3124585)

Sumário Executivo

Esta atualização de segurança soluciona vulnerabilidades no Microsoft Office. A mais severa das vulnerabilidades pode permitir a execução remota de código se o usuário abrir um arquivo do Microsoft Office especialmente criado. A atualização de segurança elimina as vulnerabilidades:

  • Corrigindo a forma como o Microsoft Office lida com objetos na memória.
  • Certificando que o Microsoft SharePoint aplique correctamente as definições de configuração do ACP
  • Ajudando a garantir que o Microsoft Office implemente corretamente o recurso de segurança ASLR

Níveis de Severidade e Softwares Afetados

Microsoft Office 2007, Office 2010, Office 2013, Office 2016, Office 2013 RT, Office for Mac 2011, Office 2016 for Mac, Office Compatibility Pack, Microsoft Excel Viewer, Word Viewer, Microsoft SharePoint Foundation 2013 SP1 e Visual Basic Runtime 6.0

Vetores de Ataque

CVE-2016-0010 e 2016 CVE-0035 – Vulnerabilidades de Corrupção de Memória do Office

Para explorar estas vulnerabilidades, o usuário precisa abrir um arquivo especialmente criado com uma versão afetada do software Microsoft Office. Em um cenário de ataque por e-mail, um atacante pode explorar a vulnerabilidade enviando um arquivo especialmente criado para o usuário e convencendo-o a abrir o arquivo. Em um cenário de ataque baseado na web um atacante poderia hospedar um site (ou usar um site comprometido que aceita ou hospeda conteúdo fornecido pelo usuário) que contém um arquivo especialmente criado, projetado para explorar a vulnerabilidade. A atualização de segurança elimina as vulnerabilidades corrigindo a forma como o Office lida com objetos na memória.

 

CVE-2016-0011 e 2016 CVE-0017 – Vulnerabilidades de Passagem Direta por Recurso de Segurança do SharePoint

Para explorar a passagem direta, um atacante poderia adicionar um script à uma web part, que normalmente apenas um administrador de um site do SharePoint poderia adicionar, e então usar a web part em um ataque de scripts entre sites no contexto de um usuário visitando o site do SharePoint. A passagem direta poderia permitir que o atacante leia conteúdo não autorizado e execute ações no site do SharePoint como o usuário, tais como alterar as permissões, excluir conteúdo e injetar conteúdo malicioso no navegador do usuário. A atualização corrige a passagem direta, garantindo que as definições de configuração de ACP sejam aplicadas corretamente.

 

CVE-2016-0012 – Vulnerabilidade de Passagem Direta por ASLR no Office

Uma passagem direta por recurso de segurança existe quando o Microsoft Office falha ao usar o recurso de segurança de randomização de layout de espaço de endereço (ASLR), permitindo que um atacante preveja com maior confiança os deslocamentos de memória de instruções específicas em uma determinada chamada à pilha. Um atacante que explorar com sucesso esta vulnerabilidade poderia passar direto pelo recurso de segurança de randomização de layout de espaço de endereço (ASLR) que ajuda a proteger os usuários de uma ampla classe de vulnerabilidades. O desvio de recurso de segurança por si só não permite a execução de código arbitrário. Um atacante poderia usar esta vulnerabilidade de desvio de recurso de segurança ASLR em conjunto com outra vulnerabilidade, como uma vulnerabilidade de execução remota de código, para executar código arbitrário no sistema de destino. Em um cenário de navegação na web, a exploração bem-sucedida da passagem direta pelo ASLR requer que um usuário faça logon e execute uma versão afetada do Microsoft Office. Seria necessário que o usuário navegasse para um site especialmente criado. Portanto, quaisquer sistemas onde um navegador da web é usado com frequência, como estações de trabalho ou servidores de terminal, têm maior risco em relação a estas vulnerabilidades de passagem direta pelo ASLR. Servidores podem estar em maior risco se os administradores permitem aos usuários navegar e ler e-mails em servidores. No entanto, as melhores práticas desencorajaram fortemente esta permissão. A atualização soluciona o desvio de recurso de segurança ASLR ajudando a garantir que versões afetadas do Microsoft Office implementem corretamente o recurso de segurança ASLR.

Fatores de Mitigação

CVE-2016-0010 e 2016 CVE-0035 – Vulnerabilidades de Corrupção de Memória do Office

  • Um atacante teria que forçar um usuário a navegar para um site. O atacante teria que convencer os usuários a clicar em um link, tipicamente em uma mensagem de e-mail ou mensagem instantânea que convença-o a abrir o arquivo especialmente criado.
  • Um atacante que explorar com sucesso estas vulnerabilidades pode executar código arbitrário sob as credenciais do usuário conectado. Usuários cujas contas estão configuradas com menos direitos sobre o sistema podem ser menos impactados do que aqueles que operam com direitos administrativos.

 

CVE-2016-0012 – Vulnerabilidade de Passagem Direta por ASLR no Office

  • Em um cenário de navegação na web, a exploração bem-sucedida da passagem direta pelo ASLR requer que um usuário faça logon e execute uma versão afetada do Microsoft Office. Seria necessário que o usuário navegasse para um site especialmente criado. Um atacante teria que forçar um usuário a navegar para um site.

Necessidade de Reinicialização

Esta atualização pode exigir a reinicialização.

Boletins Substituídos por Esta Atualização

MS12-060, MS14-124, MS15-110, MS15-116 e MS15-131

Mais Detalhes

https://technet.microsoft.com/pt-br/library/security/MS16-004

 

 

Novo Boletim de Segurança (5 de 9)

 

Identificador do Boletim

Boletim de Segurança Microsoft MS16-005

[Topo]

Título do Boletim

Atualização de Segurança para Drivers Modo Kernel do Microsoft Windows Para Corrigir Execução Remota de Código (3124584)

Sumário Executivo

Esta atualização de segurança soluciona duas vulnerabilidades no Microsoft Windows. A mais severa das vulnerabilidades pode permitir a execução remota de código se o usuário visitar um site especialmente criado. A atualização de segurança elimina a vulnerabilidade corrigindo a forma como o Windows lida com objetos na memória.

 

CVE-2016-0009 – Vulnerabilidade de Execução Remota de Código Win32k

Uma vulnerabilidade de execução remota de código existe na forma que o Windows trata objetos na memória. Um atacante que explorar com sucesso esta vulnerabilidade pode obter controle total do sistema afetado. Para explorar esta vulnerabilidade, um atacante primeiro teria que convencer um usuário a visitar um site mal-intencionado que pode explorar a vulnerabilidade e executar código arbitrário com privilégios do usuário conectado. A atualização de segurança elimina a vulnerabilidade corrigindo a forma como o Windows lida com objetos na memória.

 

CVE-2016-0008 – Vulnerabilidade de Passagem Direta por ASLR na GDI32.dll

Uma vulnerabilidade de passagem direta por recurso de segurança existe na forma que a interface de dispositivo gráfico do Windows manipula objetos na memória, permitindo que um atacante recupere informações que possam levar à uma passagem direta por randomização de layout de espaço de endereço (ASLR). A atualização de segurança corrige a vulnerabilidade alterando a forma como a interface de dispositivo gráfico do Windows manipula endereços de memória, ajudando a proteger a integridade do recurso de segurança ASLR.

Níveis de Severidade e Softwares Afetados

Esta atualização de segurança foi classificada como Crítica para todas as edições suportadas do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2; e classificada como Importante para todas as edições suportadas do Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows 10 e Windows 10 Versão 1511.

Vetores de Ataque

CVE-2016-0009 – Vulnerabilidade de Execução Remota de Código Win32k

Uma vulnerabilidade de execução remota de código existe na forma que o Windows trata objetos na memória. Para explorar esta vulnerabilidade, um atacante primeiro teria que convencer um usuário a visitar um site mal-intencionado que pode explorar a vulnerabilidade e executar código arbitrário com privilégios do usuário conectado. Um atacante que explorar com sucesso esta vulnerabilidade pode obter controle total do sistema afetado.

 

CVE-2016-0008 – Vulnerabilidade de Passagem Direta por ASLR na GDI32.dll

Para explorar esta vulnerabilidade em um cenário de ataque via web, um atacante poderia hospedar um site especialmente criado, projetado para explorar essa vulnerabilidade através do Internet Explorer e então convencer um usuário a exibir o site. Isso também pode incluir sites comprometidos ou sites que aceitam ou hospedam conteúdo fornecido pelo usuário ou anúncios de banner; tais websites podem ter conteúdo especialmente criado, projetado para explorar a vulnerabilidade. Em um cenário de ataque por e-mail, um atacante poderia explorar a vulnerabilidade enviando para os usuários do Outlook um e-mail especialmente criado, ou enviando-os um documento do Office especialmente criado como um anexo, e então convencer o usuário a ler a mensagem ou abrir o arquivo.

 

Um atacante também poderia explorar esta vulnerabilidade hospedando um arquivo mal-intencionado em um compartilhamento de rede e convencendo os usuários a navegar para a pasta no Windows Explorer.

Fatores de Mitigação

CVE-2016-0009 – Vulnerabilidade de Execução Remota de Código Win32k

  • Para explorar esta vulnerabilidade, um atacante teria primeiro que convencer um usuário a visitar um site malicioso. Tal ataque poderia explorar a vulnerabilidade para executar código com privilégios do usuário conectado.

 

CVE-2016-0008 – Vulnerabilidade de Passagem Direta por ASLR na GDI32.dll

  • Um atacante não teria como forçar um usuário a navegar para um site. Um atacante teria que convencer os usuários a visitar um site afetado, tipicamente fazendo-os clicar em um link em uma mensagem de e-mail ou instantânea.
  • Em um cenário de ataque por e-mail, um atacante teria que convencer o usuário alvo a ler a mensagem ou abrir o arquivo anexado.
  • Em um cenário de ataque via compartilhamento de rede, um atacante teria que convencer o usuário alvo a navegar até a pasta no Windows Explorer.

Necessidade de Reinicialização

Esta atualização exige a reinicialização.

Boletins Substituídos por Esta Atualização

MS15-072 e MS15-073

Mais Detalhes

https://technet.microsoft.com/pt-br/library/security/MS16-005

 

 

Novo Boletim de Segurança (6 de 9)

 

Identificador do Boletim

Boletim de Segurança Microsoft MS16-006

[Topo]

Título do Boletim

Atualização de Segurança para Silverlight para Corrigir Execução Remota de Código (3126036)

Sumário Executivo

Esta atualização de segurança soluciona uma vulnerabilidade no Microsoft Silverlight. A vulnerabilidade pode permitir a execução remota de código se um usuário visitar um site comprometido que contenha um aplicativo especialmente criado em Silverlight. Uma vulnerabilidade de execução remota de código existe quando o Microsoft Silverlight decodifica strings usando um decodificador malicioso que pode retornar deslocamentos negativos que fazem com que o Silverlight substitua cabeçalhos de objetos inseguros por conteúdo fornecido pelo atacante. Em um cenário de navegação na web, um atacante que explorar com sucesso esta vulnerabilidade pode obter as mesmas permissões que o usuário conectado no momento. Se o usuário atual estiver conectado com direitos administrativos de usuário, um atacante poderia obter controle total de um sistema afetado. O atacante poderia então instalar programas, visualizar, alterar ou excluir dados e criar novas contas com privilégio total. A atualização de segurança elimina as vulnerabilidades corrigindo a forma como o Microsoft Silverlight valida os resultados do decodificador

Níveis de Severidade e Softwares Afetados

Esta atualização de segurança foi classificada como Crítica para o Microsoft Silverlight 5 e o Microsoft Silverlight 5 Developer Runtime quando instalado no Mac ou em todas as versões suportadas do Microsoft Windows.

Vetores de Ataque

Para explorar esta vulnerabilidade o atacante poderia hospedar um site que contém um aplicativo Silverlight especialmente criado e então convencer o usuário a visitar o site comprometido. O atacante também pode se aproveitar de sites que contém conteúdo especialmente criado, incluindo aqueles que aceitam ou hospedam conteúdo ou anúncios fornecidos pelo usuário. Por exemplo, um atacante poderia exibir conteúdo da web especialmente criado usando banners de anúncios ou outros métodos para entregar o conteúdo da web para os sistemas afetados.

Fatores de Mitigação

  • Um atacante não teria como forçar um usuário a navegar para um site. Um atacante teria que convencer os usuários a visitar o site, tipicamente fazendo-os clicar em um link de uma mensagem de e-mail ou instantânea que leve-os ao site do atacante. 
  • Usuários cujas contas estão configuradas com menos direitos sobre o sistema podem ser menos impactados do que aqueles que operam com direitos administrativos.

Necessidade de Reinicialização

Esta atualização não exige a reinicialização.

Boletins Substituídos por Esta Atualização

MS15-129

Mais Detalhes

https://technet.microsoft.com/pt-br/library/security/MS16-006

 

 

Novo Boletim de Segurança (7 de 9)

 

Identificador do Boletim

Boletim de Segurança Microsoft MS16-007

[Topo]

Título do Boletim

Atualização de Segurança para Microsoft Windows para Solucionar Execução Remota de Código (3124901)

Sumário Executivo

As atualizações de segurança discutidas neste boletim corrigem seis vulnerabilidades no Microsoft Windows. A mais severa das vulnerabilidades pode permitir a execução remota de código se um atacante fizer logon no sistema e executar um aplicativo especialmente criado. A atualização de segurança elimina as vulnerabilidades:

  • Corrigindo a forma como o Windows valida a entrada antes de carregar arquivos DLL,
  • Corrigindo a forma como o Microsoft DirectShow valida a entrada do usuário
  • Impondo a configuração padrão de não permitir logon remoto para contas sem senhas.

Níveis de Severidade e Softwares Afetados

Esta atualização de segurança foi classificada como Importante para todas as edições suportadas do Microsoft Windows.

Vetores de Ataque

CVE-2016-0014 e 2016 CVE-0020 – Vulnerabilidades de Elevação de Privilégio de Carregamento de DLL

Duas vulnerabilidades de elevação de privilégio existem quando o Windows valida incorretamente a entrada antes de carregar arquivos DLL. Um atacante que explorar com sucesso estas vulnerabilidades pode elevar seus privilégios no sistema afetado. Para explorar as vulnerabilidades, um atacante teria primeiro que fazer logon no sistema afetado. O atacante poderia então executar um aplicativo especialmente criado para explorar as vulnerabilidades e obter controle total do sistema afetado. A atualização de segurança corrige as vulnerabilidades alterando a forma como o Windows valida a entrada antes de carregar os arquivos DLL.

 

CVE-2016-0016 e 2016 CVE-0018 – Vulnerabilidades de Execução Remota de Código de Carregamento de DLL

Duas vulnerabilidades de execução remota de código existem quando o Windows valida incorretamente a entrada antes de carregar arquivos DLL. Um atacante que explorar com sucesso esta vulnerabilidade pode obter controle total do sistema afetado. O atacante poderia então instalar programas, visualizar, alterar ou excluir dados e criar novas contas com privilégio total. Usuários cujas contas estão configuradas com menos direitos sobre o sistema podem ser menos impactados do que aqueles que operam com direitos administrativos. Para explorar estas vulnerabilidades, um atacante teria que fazer login em um sistema afetado e executar um aplicativo especialmente criado. A atualização de segurança corrige as vulnerabilidades alterando a forma como o Windows valida a entrada antes de carregar os arquivos DLL.

 

CVE-2016-0015 – Vulnerabilidade de Execução Remota de Código do DirectShow

Uma vulnerabilidade de execução remota de código existe quando o Microsoft DirectShow valida incorretamente a entrada do usuário. Um atacante que explorar com sucesso esta vulnerabilidade pode executar código arbitrário sob as credenciais do usuário conectado. Se o usuário atual estiver conectado com direitos administrativos de usuário, um atacante poderia obter controle total de um sistema afetado. O atacante poderia então instalar programas, visualizar, alterar ou excluir dados e criar novas contas com privilégio total. Usuários cujas contas estão configuradas com menos direitos sobre o sistema podem ser menos impactados do que aqueles que operam com direitos administrativos. Para um ataque ser bem-sucedido, esta vulnerabilidade requer que um usuário abra um arquivo especialmente criado. Em um cenário de ataque por e-mail, um atacante poderia explorar a vulnerabilidade enviando um arquivo especialmente criado para o usuário e convencendo-o a abrir o mesmo. A atualização de segurança elimina a vulnerabilidade corrigindo a forma como o DirectShow valida a entrada do usuário.

 

CVE-2016-0019 – Vulnerabilidade de Passagem Direta de Segurança no RDP do Windows

Uma vulnerabilidade de passagem direta por recurso de segurança existe no protocolo RDP do Windows, causado quando hosts com Windows 10 executando serviços RDP não conseguem evitar o logon remoto de contas que não possuem senhas. Um atacante que explorar esta vulnerabilidade com sucesso poderia obter acesso ao host remoto como outro usuário, possivelmente com privilégios elevados. Um atacante poderia explorar esta vulnerabilidade usando uma versão mais antiga do cliente RDP para se conectar ao host Windows 10. Uma vez conectado, o atacante poderia gerar uma lista de contas de usuário no host e tenta fazer logon como esses usuários. Se uma das contas de usuário não tiver senha definida, o atacante conseguirá fazer logon com esse usuário, apesar da configuração de sistema padrão restringir o acesso a contas sem senhas apenas ao logon local. A atualização de segurança corrige a vulnerabilidade ao impor uma configuração padrão de não permitir logon remoto para contas sem senhas.

Fatores de Mitigação

CVE-2016-0016 e 2016 CVE-0018 – Vulnerabilidades de Execução Remota de Código de Carregamento de DLL

  • Usuários cujas contas estão configuradas com menos direitos sobre o sistema podem ser menos impactados do que aqueles que operam com direitos administrativos.

 

CVE-2016-0015 – Vulnerabilidade de Execução Remota de Código do DirectShow

  • Usuários cujas contas estão configuradas com menos direitos sobre o sistema podem ser menos impactados do que aqueles que operam com direitos administrativos.
  • Para um ataque ser bem-sucedido, esta vulnerabilidade requer que um usuário abra um arquivo especialmente criado. Em um cenário de ataque por e-mail, o usuário alvo teria de ser convencido a abrir um arquivo recebido do atacante.

 

CVE-2016-0019 – Vulnerabilidade de Passagem Direta de Segurança no RDP do Windows

  • Certificar-se de que todas as contas de usuário tenham uma senha definida. Idealmente, definir uma política que exige complexidade de senha. 

Necessidade de Reinicialização

Esta atualização exige a reinicialização.

Boletins Substituídos por Esta Atualização

MS12-004, MS13-011, MS13-062, MS13-101, MS14-041 e MS14-071.

Mais Detalhes

https://technet.microsoft.com/pt-br/library/security/MS16-007

 

 

Novo Boletim de Segurança (8 de 9)

 

Identificador do Boletim

Boletim de Segurança Microsoft MS16-008

[Topo]

Título do Boletim

Atualização de Segurança Para Kernel do Windows Para Solucionar Elevação de Privilégio (3124605)

Sumário Executivo

Esta atualização de segurança soluciona duas vulnerabilidades no Microsoft Windows. As vulnerabilidades podem permitir a elevação de privilégio se um atacante fizer login no sistema e executar um aplicativo especialmente criado. A atualização de segurança elimina as vulnerabilidades corrigindo a forma como o Windows lida com certos cenários envolvendo a criação de ponto de montagem.

Níveis de Severidade e Softwares Afetados

Esta atualização de segurança foi classificada como Importante para todas as edições suportadas do Microsoft Windows.

Vetores de Ataque

Duas vulnerabilidades existem no Windows ao validar os pontos de nova análise sendo definidos por aplicativos em sandbox. Um atacante que explorar com sucesso estas vulnerabilidades pode executar código arbitrário sob as credenciais do sistema local. O atacante poderia então instalar programas, visualizar, alterar ou excluir dados e criar novas contas com privilégio total. 

Fatores de Mitigação

Para explorar a vulnerabilidade, um atacante teria primeiro que fazer logon no sistema.

Necessidade de Reinicialização

Esta atualização exige a reinicialização.

Boletins Substituídos por Esta Atualização

MS15-111, MS15-122.

Mais Detalhes

https://technet.microsoft.com/pt-br/library/security/MS16-008

 

 

Novo Boletim de Segurança (9 de 9) Nota: O identificador do boletim MS16-009 foi ignorado intencionalmente. Este não é um erro de impressão.

 

Identificador do Boletim

Boletim de Segurança Microsoft MS16-010

[Topo]

Título do Boletim

Atualização de Segurança do Microsoft Exchange Server Para Corrigir Spoofing (3124557)

Sumário Executivo

Esta atualização de segurança soluciona vulnerabilidades no Microsoft Exchange Server. A mais severa das vulnerabilidades pode permitir spoofing se o Outlook Web Access (OWA) falhar em tratar adequadamente as solicitações apropriadas da web e sanitizar a entrada do usuário e o conteúdo do e-mail.  A atualização de segurança elimina as vulnerabilidades corrigindo a forma como o OWA do Microsoft Exchange manipula as solicitações da web e ajudando a garantir que o OWA sanitiza corretamente a entrada do usuário e o conteúdo do e-mail.

Níveis de Severidade e Softwares Afetados

Esta atualização de segurança foi classificada como Importante para todas as edições suportadas do Microsoft Exchange Server 2013 e Microsoft Exchange Server 2016.

Vetores de Ataque

Múltiplas vulnerabilidades de spoofing existem no Microsoft Exchange Server quando o Outlook Web Access (OWA) não consegue tratar adequadamente as solicitações da web. Um atacante que explorar com sucesso as vulnerabilidades poderia executar ataques de injeção de conteúdo ou de scripts e tentar enganar o usuário para divulgação de informações críticas. Um atacante também pode redirecionar o usuário para um site malicioso que poderia falsificar conteúdo ou ser usado como pivô para encadear um ataque com outras vulnerabilidades em serviços da web. Para explorar as vulnerabilidades, um atacante pode enviar um e-mail especialmente criado contendo um link mal-intencionado para um usuário. Um atacante também poderia usar um cliente de bate-papo para aplicar engenharia social a um usuário e convencê-lo a clicar em um link malicioso.

Fatores de Mitigação

Em ambos os cenários de ataque (e-mail e cliente de bate-papo), o usuário deve ser convencido (via engenharia social) a clicar no link malicioso. Um atacante não teria como forçar um usuário a visitar o site malicioso.

Necessidade de Reinicialização

Esta atualização pode exigir a reinicialização.

Boletins Substituídos por Esta Atualização

MS15-103

Mais Detalhes

https://technet.microsoft.com/pt-br/library/security/MS16-010

 

Nota Sobre a Consistência das Informações

 

Nos esforçamos para fornecer informações precisas em conteúdo estático (esta correspondência) e dinâmico (baseado na Web). O conteúdo de segurança da Microsoft publicado na Web é atualizado ocasionalmente para refletir informações alteradas. Se isso resultar em inconsistência entre as informações aqui contidas e aquelas no conteúdo de segurança baseado na Web da Microsoft, as informações no conteúdo de segurança baseado na Web da Microsoft é o oficial.

 

 

Atenciosamente,

Equipe de Segurança Microsoft CSS