MS02-047: Vulnerabilidade NetBIOS pode causar nome duplicado nos conflitos de rede

Traduções deste artigo Traduções deste artigo
ID do artigo: 269239 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

A Microsoft lançou um patch que melhora a capacidade de um administrador para proteger contra ataques de negação de serviço contra computadores baseados no Windows 2000 e Windows NT 4.0.

Os NetBIOS sobre TCP/IP (NBT) protocolos são, por design, não autenticado e, portanto, vulnerável a "falsificação". Um usuário mal-intencionado poderia uso indevido a natureza do protocolo para enviar um datagrama de conflito de nome para um computador de destino para fazer com que abandone o seu nome e pare de responder a consultas que não autenticada.

Ao receber um datagrama de conflito de nome não-solicitado, o computador pára de responder para o nome NetBIOS que está em conflito e pode exibir uma mensagem de erro informando que existe um nome duplicado na rede. Além disso, o computador afetado pode enfrentar um ou mais dos seguintes sintomas:

Problemas intermitentes de conectividade

O computador poderá ter problemas intermitentes de se comunicar com outro computador.

Conflitos de serviço de nomes NetBIOS

  • Ferramentas como o ambiente de rede não funcionam.
  • equivalentes de comando net send não funcionam.
  • Os logons de domínio não são autenticados pelo servidor afetado.
  • Talvez você não é possível obter acesso a recursos compartilhados e serviços NetBIOS fundamentais, como resolução de nomes NetBIOS.
Além disso, o comando nbtstat - n pode exibir um status de "Conflito" ao lado de NetBIOS nome serviço.

Esse patch altera o comportamento do Windows para aceitar um datagrama de conflito de nome apenas em resposta direta a uma tentativa de registro de nome.

Causa

Problemas intermitentes de conectividade

Um computador recebe e, em seguida, armazena em cache um datagrama do serviço de datagrama NetBT não solicitado no cache de nome NetBIOS remoto com o endereço TCP/IP especificado em datagrama não solicitado.

Datagramas de serviço de datagrama são usadas para transportar dados entre computadores diferentes, e eles são enviados e recebidos por NetBT apenas pela porta UDP 138.

Conflitos de serviço de nomes NetBIOS

Um computador recebe um datagrama do serviço de nomes com uma resposta de registro de nome negativo não solicitadas para um nome que está registrado localmente. Por exemplo, a lista a seguir descreve alguns serviços de nome NetBIOS que podem ser afetados por esse problema:
  • Conflitos de nome do computador Browser Service podem inutilizar ferramentas como o ambiente de rede.
  • Conflitos de nome serviço Mensageiro podem inutilizar net send equivalentes de comando.
  • Nome de serviço NetLogon está em conflito pode negar serviços de domínio.
  • Conflitos de nome de serviço do servidor e serviço Estação de trabalho podem negar o acesso a recursos compartilhados.
Datagramas de serviço de nome são usadas principalmente para registrar e resolver nomes na rede e eles são enviados e recebidos pelo NetBT e WINS somente por porta TCP/UDP 137.

Resolução

Para resolver esses problemas, use o método apropriado:

Problemas intermitentes de conectividade

Aplique o hotfix apropriado listado posteriormente neste artigo para o sistema operacional afetado por esse problema. Além disso, pré-carregamento NetBIOS confidenciais nomes no arquivo Lmhosts, que faz com que NetBIOS para descartar os pacotes que tentam substituir a entrada de cache de nomes LMHOSTS pré-carregadas, preservando seu mapeamento de endereço.

Conflitos de serviço de nomes NetBIOS

Aplique o hotfix apropriado para o sistema operacional afetado por esse problema, que faz com que as respostas de registro de nome não solicitados não se originam de um servidor WINS (Windows Internet Name Service) que o computador está registrado com a ser ignorado.

Observação : para esse problema, o hotfix só funciona se o computador afetado é configurado para usar o WINS.

importante : a Microsoft recomenda que esse hotfix só ser aplicadas a computadores que requeiram especificamente que ele, ou seja, os computadores que desempenham um papel central na rede e que o júri administrador pode ser um alvo de ataque. A Microsoft não recomenda aplicar esse hotfix globalmente sem testá-lo em um ambiente específico.

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756Como fazer backup e restaurar o registro no Windows
Execute as seguintes etapas:
  1. Use o Editor do Registro (Regedt32.exe) para exibir a seguinte chave do Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
  2. Modificar o seguinte valor do Registro, ou adicionar o valor se ele não existir:
    Nome do valor: NoNameReleaseOnDemand
    Tipo de valor: REG_DWORD-Booleano
    Dados do valor: 0, 1 (False, True)
    Padrão: 0 (FALSO)
    Recomendação: 1
    Descrição: Este parâmetro determina se o computador libera seu nome de NetBIOS quando ele recebe uma solicitação de liberação de nome de rede. Ele foi adicionado para permitir que o administrador para proteger o computador contra ataques mal-intencionados de liberação de nome.

Windows 2000

Para resolver esse problema, obtenha o service pack mais recente para o Windows 2000. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
260910Como obter o Service Pack mais recente do Windows 2000
Os seguintes arquivos estão disponíveis para download no Centro de download da Microsoft:
Recolher esta imagemExpandir esta imagem
Download
English Language Version

Recolher esta imagemExpandir esta imagem
Download
Arabic Language Version

Recolher esta imagemExpandir esta imagem
Download
Chinese (Simplified) Language Version

Recolher esta imagemExpandir esta imagem
Download
Chinese (Traditional) Language Version

Recolher esta imagemExpandir esta imagem
Download
Czech Language Version

Recolher esta imagemExpandir esta imagem
Download
Danish Language Version

Recolher esta imagemExpandir esta imagem
Download
Dutch Language Version

Recolher esta imagemExpandir esta imagem
Download
Finnish Language Version

Recolher esta imagemExpandir esta imagem
Download
French Language Version

Recolher esta imagemExpandir esta imagem
Download
German Language Version

Recolher esta imagemExpandir esta imagem
Download
Greek Language Version

Recolher esta imagemExpandir esta imagem
Download
Hebrew Language Version

Recolher esta imagemExpandir esta imagem
Download
Hungarian Language Version

Recolher esta imagemExpandir esta imagem
Download
Italian Language Version

Recolher esta imagemExpandir esta imagem
Download
Japanese Language Version

Recolher esta imagemExpandir esta imagem
Download
Japanese NEC Language Version

Recolher esta imagemExpandir esta imagem
Download
Korean Language Version

Recolher esta imagemExpandir esta imagem
Download
Norwegian Language Version

Recolher esta imagemExpandir esta imagem
Download
Polish Language Version

Recolher esta imagemExpandir esta imagem
Download
Portuguese (Brazilian) Language Version

Recolher esta imagemExpandir esta imagem
Download
Portuguese Language Version

Recolher esta imagemExpandir esta imagem
Download
Russian Language Version

Recolher esta imagemExpandir esta imagem
Download
Spanish Language Version

Recolher esta imagemExpandir esta imagem
Download
Swedish Language Version

Recolher esta imagemExpandir esta imagem
Download
Turkish Language Version

Para obter informações adicionais sobre como baixar arquivos de suporte da Microsoft, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
119591Como obter arquivos de suporte da Microsoft a partir de serviços online
Microsoft examinou esse arquivo em busca de vírus. Microsoft utilizou o mais recente software de detecção de vírus que estava disponível na data em que o arquivo foi publicado. O arquivo é armazenado em servidores com segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo. A versão em inglês dessa correção deve ter os seguintes atributos de arquivo ou posteriores:
   Date        Time       Version        Size     File name
   --------------------------------------------------------
   07/20/2000  4:09:13pm  5.0.2195.2103  142,832  Netbt.sys
				

Para obter informações adicionais sobre como instalar o Windows 2000 e hotfixes do Windows 2000 ao mesmo tempo, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
249149Instalando o Microsoft Windows 2000 e Hotfixes do Windows 2000

Windows NT 4.0

Para resolver esse problema, obtenha o pacote individual mencionado abaixo ou obtenha o Windows NT 4.0 Security Rollup Package. Para obter informações adicionais sobre o SRP, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
299444Posterior ao Windows NT 4.0 Service Pack 6a Security Rollup Package (SRP)
O seguinte arquivo está disponível para download no Centro de download da Microsoft:
Recolher esta imagemExpandir esta imagem
Download
Download Q269239i.exe now
Para obter informações adicionais sobre como baixar arquivos de suporte da Microsoft, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
119591Como obter arquivos de suporte da Microsoft a partir de serviços online
Microsoft examinou esse arquivo em busca de vírus. Microsoft utilizou o mais recente software de detecção de vírus que estava disponível na data em que o arquivo foi publicado. O arquivo é armazenado em servidores seguros que evitam qualquer alteração não autorizada para o arquivo.

A versão em inglês dessa correção deve ter os seguintes atributos de arquivo ou posteriores:
   Date        Time    Size     File name  Platform
   -----------------------------------------------------
   08/29/2000  4:39pm  123,600  Netbt.sys  x86
				

Windows NT Server 4.0, Terminal Server Edition

Para resolver esse problema, adquira o hotfix mencionado nesta seção ou o Windows NT Server 4.0, Terminal Server Edition, Security Rollup Package (SRP). Para obter informações adicionais sobre o SRP, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
317636Windows NT Server 4.0, Terminal Server Edition, Security Rollup Package
Uma correção suportada está agora disponível da Microsoft, mas destina-se somente a corrigir o problema descrito neste artigo. Aplique-o somente aos computadores que apresentarem esse problema específico.

Para resolver esse problema, contate o Atendimento Microsoft para obter a correção. Para obter uma lista completa dos números de telefone do Atendimento Microsoft do e informações sobre os custos de suporte, visite o seguinte site:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
Observação : em alguns casos, as taxas cobradas pelas ligações para chamadas de suporte podem ser canceladas se um profissional de suporte da Microsoft determinar que uma atualização específica resolverá o problema. Os custos normais de suporte serão aplicados a questões e problemas que não se qualificam à atualização específica em questão de suporte adicionais.

O seguinte arquivo está disponível para download no Centro de download da Microsoft:
Recolher esta imagemExpandir esta imagem
Download
Download Q269239i.exe now
Para obter informações adicionais sobre como baixar arquivos de suporte da Microsoft, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
119591Como obter arquivos de suporte da Microsoft a partir de serviços online
Microsoft examinou esse arquivo em busca de vírus. Microsoft utilizou o mais recente software de detecção de vírus que estava disponível na data em que o arquivo foi publicado. O arquivo é armazenado em servidores seguros que evitam qualquer alteração não autorizada para o arquivo.

A versão em inglês dessa correção deve ter os seguintes atributos de arquivo ou posteriores:
   Date        Time    Size     File name  Platform
   -----------------------------------------------------
   08/29/2000  06:23p  123,536  Netbt.sys  x86
				

Windows Millennium Edition

Como de 14 de agosto de 2000, não há nenhum hotfix disponível para esse sistema operacional.

Para contornar esses problemas, configurar um firewall para bloquear portas 137-139, que impede que usuários externos explorar este NetBIOS vulnerabilidade.

Você também pode solucionar o problema de conflito de serviço de nomes NetBIOS executando uma operação que faz com que a pilha TCP/IP remover e, em seguida, reenvie notificações de endereço TCP/IP. Você pode disparar isso usando um dos seguintes métodos:
  • Se o computador afetado for um DHCP cliente DHCP (protocolo), liberar e, em seguida, renovar o endereço TCP/IP.
  • Força uma mídia desconectar no adaptador de rede afetado e, em seguida, reconectá-lo.
  • Reinicie o computador.

O Windows 95, Windows 95 OSR 2, Windows 98 e Windows 98 Second Edition

A versão em inglês dessa correção deve ter os seguintes atributos de arquivo ou posteriores:
  Date       Time    Version    Size    File Name Platform
  -------------------------------------------------------------------------
  07/31/2000 11:11a  4.10.1659  87,769  Vnbt.386  Windows 95, all versions
  07/10/2000 11:23a  4.10.1721  87,749  Vnbt.386  Windows 98
  07/10/2000 11:36a  4.10.2149  90,893  Vnbt.386  Windows 98 Second Edition
				

Situação

Esse problema foi corrigido primeiro no Windows 2000 Service Pack 2.

Mais Informações

Para obter mais informações, consulte o seguinte boletim de segurança da Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS00-047.mspx
Os NetBIOS sobre protocolos TCP/IP não são autenticados por design e, portanto, são vulneráveis a "falsificação". Essa vulnerabilidade não resulta de uma falha de produto em qualquer um dos sistemas operacionais afetados, ele é simplesmente um resultado da natureza do protocolo padrão da indústria que está sendo usado. Um usuário mal-intencionado poderia uso indevido a natureza não autenticada do protocolo para enviar um datagrama de serviço de nomes para um computador de destino, fazendo com que ele ceder seu nome e pare de responder a consultas.

Conflitos de nome NetBIOS especificados na RFC 1001 (seção 15.1.3.5) ocorrem quando um nome NetBIOS exclusivo é registrado por mais de um nó. Em circunstâncias normais, conflitos de nome são detectados durante o processo de descoberta de nomes NetBIOS; um nome NetBIOS deve ser marcado somente em conflito quando um nó está resolvendo ativamente um nome NetBIOS.

A entrega de um datagrama não solicitado do nome do serviço NetBIOS para um computador que está executando qualquer um dos sistemas operacionais Microsoft Windows listados neste artigo coloca um nome NetBIOS registrado em um estado em conflito. Nomes de NetBIOS em conflito com eficiência são desligados porque eles são incapaz de responder às solicitações de descoberta de nome, a ser usada para estabelecimento de sessão ou para ser usado para enviar e receber datagramas NetBIOS.

Para nomes não protegidos (nomes que não são pré-carregadas no arquivo Lmhosts), somente a comunicação com o nome cujo endereço TCP/IP é modificado por datagrama não solicitado é afetada; esse nome é liberado do cache NetBIOS dentro de 5 segundos. Para manter o cache de nome remoto corrompido, o invasor suspeito precisa enviar um fluxo de datagramas não-solicitadas, arriscar expor sua identidade.

Os clientes que precisam de 100 por cento proteção contra ataques de "falsificação" talvez queira considerar o uso IP Security Protocol (IPSec) no Windows 2000 para estabelecer sessões autenticadas através de portas 137-139.

Em algumas circunstâncias, essa correção pode causar vários 4320 erros registrados pelo NetBT no log de evento do sistema, que pode parecer confuso para o usuário. O motivo para isso é as solicitações de lançamento para nomes de grupo comuns que está sendo transmitidos para a sub-rede de outros computadores durante o desligamento, se 'nó b' ou configurado incorretamente 'h nó' computadores estiverem na mesma sub-rede.

Para obter informações adicionais sobre os hotfixes do Windows 95, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
161020Implementação de atualizações do Windows 95
Para obter informações adicionais sobre os hotfixes do Windows 98 e Windows 98 Second Edition, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
206071Informações gerais sobre os Hotfixes SE e Windows 98

Propriedades

ID do artigo: 269239 - Última revisão: terça-feira, 20 de fevereiro de 2007 - Revisão: 8.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows Millennium Edition
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
Palavras-chave: 
kbmt kbhotfixserver kbqfe kbbug kbfix kbgraphxlinkcritical kbnetwork kbsecbulletin kbsecurity kbsecvulnerability kbwin2000presp2fix KB269239 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 269239

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com