Dois comunicados de segurança da Microsoft lançados (18012 e 18013) em 21 de Maio de 2018

A Microsoft lançou dois novos comunicados de segurança em 21 de maio de 2018, para fornecer diretrizes aos clientes sobre novas vulnerabilidades de segurança. Essas novas vulnerabilidades de segurança estão relacionadas a vulnerabilidades de segurança de ataque de temporização de execução especulativa divulgadas anteriormente. Esse alerta fornece uma visão geral desses dois novos comunicados de segurança da Microsoft, juntamente com links para fornecer informações adicionais.

Comunicado de Segurança 180012 | Diretrizes da Microsoft para Bypass de Repositório Especulativo ‒ visão geral

Em 21 de maio de 2018, a Microsoft lançou o Comunicado de Segurança 180012 | Diretrizes da Microsoft para Bypass de Repositório Especulativo.  Aqui está uma visão geral:

Comunicado de Segurança da Microsoft 180012 Diretrizes da Microsoft para Bypass de Repositório Especulativo
Sinopse Em 3 de janeiro de 2018, a Microsoft lançou um comunicado e atualizações de segurança relacionadas a uma classe de vulnerabilidades de hardware recém-descobertas (conhecidas como Specter e Meltdown) envolvendo ataques de temporização de execução especulativa que afetam CPUs AMD, ARM e Intel em graus variados. Em 21 de maio de 2018, uma nova subclasse de vulnerabilidades de ataque de temporização de execução especulativa, conhecida como SSB (Bypass de Repositório Especulativo), foi anunciada e atribuída ao CVE-2018-3639.

Um invasor que explorar com êxito essa vulnerabilidade poderá ler dados privilegiados entre limites de confiança. Padrões de código vulneráveis no SO (sistema operacional) ou em aplicativos podem permitir que um invasor explore essa vulnerabilidade. No caso de compiladores JIT (Just-in-Time), como o JavaScript JIT adotado por navegadores modernos, pode ser possível que um invasor forneça JavaScript que produza código nativo que poderia dar origem a uma instância de CVE-2018. 3639 No entanto, o Microsoft Edge, o Internet Explorer e outros dos principais navegadores tomaram medidas para aumentar a dificuldade de criar com êxito um ataque de temporização.

No momento da publicação, não estamos cientes de nenhum padrão de código explorável dessa classe de vulnerabilidade em nosso software ou infraestrutura de serviços em nuvem, mas continuamos a investigar.

Estratégia de Mitigação da Microsoft A Microsoft implementará a seguinte estratégia para mitigar o Bypass de Repositório Especulativo:

  • Se um padrão de código vulnerável for encontrado, nós o abordaremos com uma atualização de segurança.
  • O Microsoft Windows e o Azure adicionarão suporte para SSBD (Desabilitação de Bypass de Repositório Especulativo), conforme documentado pela Intel e pela AMD. O SSBD inibe a ocorrência do Bypass de Repositório Especulativo e, assim, elimina completamente o risco de segurança. A Microsoft está trabalhando com a AMD e a Intel para avaliar a disponibilidade e a preparação desses recursos, incluindo o microcódigo, quando necessário, e o impacto sobre o desempenho.
  • A Microsoft continuará a desenvolver, lançar e implantar mitigações de defesa em profundidade para vulnerabilidades de ataque de temporização de execução especulativa, incluindo o Bypass de Repositório Especulativo.
  • A Microsoft continuará a pesquisar ataques de temporização de execução especulativa, incluindo a comunicação com pesquisadores e o programa de prêmio pela detecção de execução especulativa.
Respostas a perguntas antecipadas Acesse o Comunicado de Segurança 180012 para ver a lista completa de respostas a perguntas antecipadas/frequentes. Essa lista de respostas às perguntas será atualizada à medida que novas informações forem disponibilizadas.
Ações recomendadas
  • Para ser notificado quando o conteúdo for alterado neste e em outros comunicados de segurança da Microsoft, assine as Notificações de Segurança Técnica da Microsoft ‒ Edição Abrangente, nesta página da Web: https://technet.microsoft.com/pt-br/security/dd252948.aspx.
  • Familiarize-se com o conteúdo no Comunicado de Segurança 180012, incluindo detalhes técnicos, ações recomendadas, respostas a perguntas frequentes e links para obter informações adicionais.
  • Avalie a implicação de desempenho do SSBD em seu ambiente quando ele estiver disponível.
  • Continuar a implantar mitigações de Spectre e Meltdown, incluindo a implantação de microcódigo de processador disponível no momento. 
URL do comunicado de segurança 180012: https://portal.msrc.microsoft.com/pt-br/security-guidance/advisory/ADV180012

Comunicado de Segurança 180013 |
MDiretrizes da Microsoft para Leitura Não Autorizada de Registro do Sistema ‒ visão geral

Em 21 de maio de 2018, a Microsoft lançou o Comunicado de Segurança 180013 | Diretrizes da Microsoft para Leitura Não Autorizada de Registro do Sistema.  Aqui está uma visão geral:

Comunicado de Segurança da Microsoft 180013 Diretrizes da Microsoft para Leitura Não Autorizada de Registro do Sistema
Sinopse Em 3 de janeiro de 2018, a Microsoft lançou um comunicado e atualizações de segurança relacionadas a uma classe de vulnerabilidades de hardware recém-descobertas (conhecidas como Specter e Meltdown) envolvendo ataques de temporização de execução especulativa que afetam CPUs AMD, ARM e Intel em graus variados. Em 21 de maio de 2018, a Intel anunciou a Vulnerabilidade de Leitura Não Autorizada de Registro do Sistema e atribuiu o CVE-2018-3640.

Um invasor que explorar essa vulnerabilidade com êxito poderá ignorar as proteções KASLR (Aleatorização de Layout de Espaço de Endereço de Kernel). Para explorar esta vulnerabilidade, o invasor teria que fazer logon no sistema afetado e executar um aplicativo especialmente criado. A mitigação dessa vulnerabilidade é realizada exclusivamente por meio de uma atualização de microcódigo/firmware, e não há nenhuma atualização adicional do sistema operacional Microsoft Windows.

Respostas a perguntas antecipadas Acesse o Comunicado de Segurança 180013 para ver a lista completa de respostas a perguntas antecipadas/frequentes. Essa lista de respostas às perguntas será atualizada à medida que novas informações forem disponibilizadas.
Ações recomendadas
  • Para ser notificado quando o conteúdo for alterado neste e em outros comunicados de segurança da Microsoft, assine as Notificações de Segurança Técnica da Microsoft ‒ Edição Abrangente, nesta página da Web: https://technet.microsoft.com/pt-br/security/dd252948.aspx.
  • Familiarize-se com o conteúdo no Comunicado de Segurança 180013, incluindo detalhes técnicos, ações recomendadas, respostas a perguntas frequentes e links para obter informações adicionais.
  • Implante o microcódigo atualizado quando ele estiver disponível. Os clientes do Surface receberão um microcódigo atualizado na forma de uma atualização de firmware por meio do Windows Update. Para hardware de dispositivo OEM de terceiros, recomendamos que os clientes consultem o fabricante do dispositivo para obter atualizações de microcódigo/firmware.
URL do comunicado de segurança 180013: https://portal.msrc.microsoft.com/pt-br/security-guidance/advisory/ADV180013

O Guia de Atualização de Segurança da Microsoft

O Guia de Atualizações de Segurança é nosso recurso recomendado para informações sobre atualizações de segurança. Você pode personalizar suas exibições e criar planilhas de softwares afetados, além de baixar dados por meio de uma API RESTful. Como lembrete, o Guia de Atualizações de Segurança agora substituiu formalmente as páginas de boletins de segurança tradicionais.

Portal do Guia de Atualizações de Segurança:  https://aka.ms/securityupdateguide

Página da Web de perguntas frequentes sobre o Guia de Atualizações de Segurança: https://technet.microsoft.com/pt-br/security/mt791750

Sobre a consistência das informações

Nós nos empenhamos para fornecer a você informações precisas usando conteúdos estáticos (esta mensagem) e dinâmicos (baseados na Web). O conteúdo de segurança da Microsoft postado na Web é atualizado ocasionalmente para informar sobre novidades. Se isso resultar em uma inconsistência entre as informações descritas aqui e as informações no conteúdo de segurança baseado na Web da Microsoft, as informações no conteúdo de segurança baseado na Web da Microsoft prevalecerão.

Em caso de dúvidas sobre este aviso, entre em contato com seu Gerente Técnico de Conta (TAM)/Gerente de Prestação de Serviços (SDM).

Obrigado,

Equipe de Segurança Microsoft CSS