MS03-007: Buffer Não-Verificado no Componente do Windows Pode Comprometer o Servidor Web

ID do artigo: 815021 - Exibir os produtos aos quais esse artigo se aplica.
A Microsoft liberou originalmente este artigo em 17 de Março de 2003. Neste momento, a Microsoft estava atenta a uma exploração disponível publicamente que estava sendo usada para invadir Servidores do Windows 2000 executando o IIS 5.0. O vetor de Ataque neste caso era WebDAV embora a vunerabilidade subjacente fosse em um componente principal do sistema operacional, Ntdll.dll. A Microsoft lanço um patch para proteger os usuários do Windows 2000 rapidamente depois disso, mas também continuou a investigar a vunerabilidade subjacente. O Windows NT 4.0 também contém a vulnerabilidade subjacente em Ntdll.dll, porém este não suporta WebDAV e então a exploração conhecida não foi efetiva contra o Windows NT 4.0. A Microsoft agora tem patches lançados para o Windows NT 4.0. Além disso, a Microsoft estudou recentemente esta vulnerabilidade no Windows XP. Porém, como no Windows NT 4.0, o Windows XP não intala o Internet Information Services (IIS) por padrão. Em 28 de Maio de 2003, a Microsoft lançou um patch para o Windows XP e Windows XP Service Pack 1.

Atenção Se estiver executando o Windows 2000 Service Pack 2 (SP2), você deve verificar a versão do arquivo Ntoskrnl.exe em seu computador antes de instalar esse patch. Para fazer isso:
  1. Abra a pasta %Windir%\System32.
  2. Clique com o botão direito do mouse no arquivo Ntoskrnl.exe, clique em Propriedades, e então clique na guia Versão.
As versões do Ntoskrnl.exe de 5.0.2195.4797 a 5.0.2195.4928 não são compatíveis com esse patch. Essas versões foram distribuídas apenas com os hotfixes do Atendimento Microsoft. Se você instalar o patch descrito neste artigo em um computador que tenha uma versão de Ntoskrnl.exe entre 5.0.2195.4797 e 5.0.2195.4928, o computador pára de responder com uma mensagem "Stop 0x00000071" ao reiniciar o computador. Se isso acontecer, você deve recuperar a instalação do Windows usando o Console de recuperação do Windows 2000, com a cópia de backup do arquivo Ntdll.dll sendo armazenada na pasta Winnt\$NTUninstallQ815021$.

Para atualizar um computador que tenha uma versão de Ntoskrnl.exe distribuída pelo Atendimento Microsoft, você deve entrar em contato com esse serviço antes de aplicar esse patch. Para obter uma lista completa dos números de telefone do Atendimento Microsoft, além de informações sobre os custos de suporte, visite o seguinte site da Microsoft na Web:
http://support.microsoft.com/selectassist
(http://support.microsoft.com/selectassist)
Você também pode atualizar para o Windows 2000 SP3 (Service Pack 3) antes de instalar esse patch.
Expandir tudo | Recolher tudo

Nesta página

Sintomas

O Windows 2000 oferece suporte ao protocolo WebDAV (World Wide Web Distributed Authoring and Versioning). O WebDAV, como está descrito na RFC 2518, é um conjunto de extensões de HTTP (Hyper Text Transfer Protocol) que fornece um padrão para edição e gerenciamento de arquivos entre computadores na Internet. Para visualizar a RFC 2518, acesse o seguinte site Web da RFC:
ftp://ftp.rfc-editor.org/in-notes/rfc2518.txt
(ftp://ftp.rfc-editor.org/in-notes/rfc2518.txt)
A Microsoft fornece informações para o contato com terceiros para ajudá-lo a encontrar suporte técnico. Essas informações para contato podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão dessas informações para contato com terceiros.

Há uma vulnerabilidade de segurança em um componente do Windows usado pelo WebDAV. Essa vulnerabilidade ocorre porque o componente contém um buffer não-verificado.

Um invasor pode explorar essa vulnerabilidade enviando uma solicitação HTTP especial para um computador que estiver executando o IIS (Internet Information Services) da Microsoft. A solicitação pode fazer com que o servidor falhe ou execute o código escolhido pelo invasor. O código seria executado no contexto de segurança do serviço IIS. (Por padrão, o serviço IIS é executado no contexto LocalSystem).

Embora a Microsoft tenha fornecido um patch para essa vulnerabilidade e recomende que você instale-a imediatamente, foram fornecidas ferramentas adicionais e medidas preventivas que podem ser usadas para bloquear a exploração dessa vulnerabilidade enquanto você estuda o impacto e a compatibilidade do patch. Para obter informações adicionais, clique no número abaixo para consultar o artigo na Base de Dados de Conhecimento da Microsoft:
816930
(http://support.microsoft.com/kb/816930/PT-BR/ )
MS03-007: Como Contornar a Vulnerabilidade Discutida no Artigo 815021

Fatores Atenuantes

  • A configuração padrão do URLScan impede que a vulnerabilidade seja explorada. URLScan é uma parte da ferramenta IIS Lockdown. Para obter mais informações sobre URLScan, visite o seguinte site da Microsoft na Web:
    http://www.microsoft.com/technet/security/URLScan.asp
    (http://www.microsoft.com/technet/security/URLScan.asp)
    Para obter mais informações sobre a ferramenta IIS Lockdown, visite o seguinte site da Microsoft na Web:
    http://www.microsoft.com/technet/security/tools/locktool.mspx
    (http://www.microsoft.com/technet/security/tools/locktool.mspx)
  • A vulnerabilidade só pode ser explorada remotamente se um invasor conseguir estabelecer uma sessão Web com um servidor afetado.
Voltar para o início | Submeter comentários

Resolução

Informações Sobre o Service Pack

Windows 2000

Para resolver esse problema, obtenha o mais recente service pack para o Microsoft Windows 2000. Para obter informações adicionais, clique no número abaixo para visualizar o artigo na Base de Dados do Conhecimento da Microsoft:
260910
(http://support.microsoft.com/kb/260910/PT-BR/ )
Como Obter o Service Pack Mais Recente do Windows 2000

Informações Sobre o Patch de Segurança

Windows XP

Informações sobre o Download
Os seguintes arquivos estão disponíveis para download no Centro de Download da Microsoft:

Windows XP (todos os idiomas)
Recolher esta imagemExpandir esta imagem
Download
Fazer o download do pacote 815021 agora.
(http://microsoft.com/downloads/details.aspx?FamilyId=84FC577D-F2D5-47B8-AB98-77BA7501B00B&displaylang=pt-br)
Windows XP 64-bit Edition
Recolher esta imagemExpandir esta imagem
Download
Fazer o download do pacote 815021 agora.
(http://microsoft.com/downloads/details.aspx?FamilyId=97945A5D-DB0B-40F8-9A2E-DE93CBB5CB3A&displaylang=pt-br)
Data de lançamento: 28 de maio de 2003

Para obter informações adicionais sobre como fazer o download de arquivos de Suporte da Microsoft, clique no número abaixo para consultar o artigo na Base de Dados de Conhecimento da Microsoft:
119591
(http://support.microsoft.com/kb/119591/PT-BR/ )
Como Obter Arquivos de Suporte da Microsoft nos Serviços On-line
A Microsoft verificou esse arquivo em busca de vírus. A Microsoft utilizou o software de detecção de vírus mais recente disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não-autorizada no arquivo.
Pré-requisitos

Esse patch requer a versão já lançada do Windows XP ou do Windows XP Service Pack 1 (SP1). Para obter informações adicionais, clique no número abaixo para consultar o artigo na Base de Dados de Conhecimento da Microsoft:
322389
(http://support.microsoft.com/kb/322389/PT-BR/ )
Como Obter o Service Pack Mais Recente do Windows XP
Informações sobre a Instalação

Esse patch oferece suporte às seguintes opções do Programa de Instalação:
  • /? - Exibe a lista de opções de instalação.
  • /u - Usa o modo Autônomo.
  • /f - Faz com que outros programas sejam encerrados quando o computador é desligado.
  • /n - Não faz backup de arquivos antes da remoção.
  • /o - Sobrescreve os arquivos OEM sem questionar.
  • /z - Não reinicia quando a instalação for concluída.
  • /q - Usa o modo Silencioso (sem interação por parte do usuário).
  • /l: Relaciona os hotfixes instalados.
  • /x - Extrai os arquivos sem executar o Programa de Instalação.
Por exemplo, para instalar o patch sem qualuer intervenção do usuário e para não forçar o computador a reiniciar, use a seguinte linha de comando:
q815021_wxp_sp2_x86_enu /u /q /z
Para verificar se o patch está intalado no computador, confirme se a seguinte chave do registro existe:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021
Removal Information

Para remover essa atualização, use a ferramenta Adicionar ou remover programas do Painel de Controle.

Os administradores do sistema podem usar o utilitário Spunist.exe para remover esse patch. Spuninst.exe está na pasta %Windir%\$NTUninstallQ815021$\Spuninst, e oferece suporte às seguintes opções do Programa de Instalação:
  • /? - Exibe a lista de opções de instalação.
  • /u - Usa o modo Autônomo.
  • /f - Faz com que outros programas sejam encerrados quando o computador é desligado.
  • /z - Não reinicia quando a instalação for concluída.
  • /q - Usa o modo Silencioso (sem interação por parte do usuário).
Requisitos de Reinicialização

Você precisa reiniciar o seu computador após aplicar esse patch porque Ntdll.dll é um binário de sistema principal carregado durante a inicialização do sistema. Seu computador estará vulnerável até ser reiniciado.

Informações sobre o arquivo

A versão em inglês dessa correção apresenta os atributos de arquivo (ou posteriores) relacionados na seguinte tabela. As datas e horas desses arquivos estão listados em formato UTC. Quando você visualiza as informações do arquivo, elas são convertidas para a hora local. Para saber a diferença entre UTC e a hora local, use a guia Fuso horário na ferramenta Data e hora do Painel de controle.

Windows XP
   Data         Hora   Versão        Tamanho     Caminho e Nome do Arquivo
   ---------------------------------------------------------------------------------
   02-Mai-2003  15:03  5.1.2600.114    651.264  %Windir%\System32\Ntdll.exe    pré-SP1
   01-Mai-2003  20:56  5.1.2600.1151  654.336  %Windir%\System32\Ntdll.dll    com SP1

Windows XP 64-Bit Edition
   Data         Hora   Versão        Tamanho     Caminho e Nome do Arquivo
   ------------------------------------------------------------------------------------
   02-Mai-2003  15:03  5.1.2600.114    1.498.112  %WinDir%\System32\Ntdll.dll    pré-SP1
   01-Mai-2003  14:57  5.1.2600.114     654.336  %WinDir%\System32\Wntdll.dll  pré-SP1
   01-Mai-2003  20:56  5.1.2600.1217  1.508.864  %WinDir%\System32\Ntdll.dll   com SP1
   30-Abr-2003  21:43  5.1.2600.1217    657.408  %WinDir%\System32\Wntdll.dll  com SP1
Também é possível verificar os arquivos que esse patch instalou revisando a seguinte chave de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021\Filelist

Windows 2000

Informações sobre o Download

Os seguintes arquivos estão disponíveis para download no Centro de Download da Microsoft:

Todos os Idiomas Exceto em Japonês NEC
Recolher esta imagemExpandir esta imagem
Download
Fazer o download do pacote 815021 agora.
(http://www.microsoft.com/downloads/details.aspx?FamilyId=C9A38D45-5145-4844-B62E-C69D32AC929B&displaylang=pt-br)
Japonês NEC
Recolher esta imagemExpandir esta imagem
Download
Fazer o download do pacote 815021 agora.
(http://www.microsoft.com/downloads/details.aspx?FamilyId=FBCF9847-D3D6-4493-8DCF-9BA29263C49F&displaylang=ja)
Data de lançamento: 17 de março de 2003

Para obter informações adicionais sobre como fazer o download de arquivos de Suporte da Microsoft, clique no número abaixo para consultar o artigo na Base de Dados de Conhecimento da Microsoft:
119591
(http://support.microsoft.com/kb/119591/PT-BR/ )
Como Obter Arquivos de Suporte da Microsoft nos Serviços On-line
A Microsoft verificou esse arquivo em busca de vírus. A Microsoft utilizou o software de detecção de vírus mais recente disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não-autorizada no arquivo. Pré-requisitos

Esse patch requer o Windows 2000 Service Pack 2 (SP2) ou o Windows 2000 Service Pack 3 (SP3). Para obter informações adicionais sobre como obter o service pack mais recente, clique no número abaixo para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
260910
(http://support.microsoft.com/kb/260910/PT-BR/ )
Como Obter o Service Pack Mais Recente do Windows 2000
Nota: Se você estiver usando o Windows 2000 Service Pack 2 (SP2), consulte o aviso no início deste artigo antes de aplicar esse patch.

Informações sobre a Instalação

Esse patch oferece suporte às seguintes opções do Programa de Instalação:
  • /? - Exibe a lista de opções de instalação.
  • /u - Usa o modo Autônomo.
  • /f - Faz com que outros programas sejam encerrados quando o computador é desligado.
  • /n - Não faz backup de arquivos antes da remoção.
  • /o - Sobrescreve os arquivos OEM sem questionar.
  • /z - Não reinicia quando a instalação for concluída.
  • /q - Usa o modo Silencioso (sem interação por parte do usuário).
  • /l: Relaciona os hotfixes instalados.
  • /x - Extrai os arquivos sem executar o Programa de Instalação.
Por exemplo, para instalar o patch sem qualquer intervenção usuário e em seguida não forçar o computador a reiniciar, use a seguinte linha de comando:
q815021_w2k_sp4_x86_en /u /q /z
Para verificar se o patch está instalada em seu computador, confirme se a seguinte chave de registro existe:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021
Informações sobre Remoção

Você pode remover esse patch usando a ferramenta Adiciona ou Remover Programas no Painel de Controle para remover "Windows 2000 Hotfix (SP4) Q815021".

Os administradores do sistema podem usar o utilitário Spunist.exe para remover esse patch. Spuninst.exe está na pasta %Windir%\$NTUninstallQ815021$\Spuninst, e oferece suporte às seguintes opções do Programa de Instalação:
  • /? - Exibe a lista de opções de instalação.
  • /u - Usa o modo Autônomo.
  • /f - Faz com que outros programas sejam encerrados quando o computador é desligado.
  • /z - Não reinicia quando a instalação for concluída.
  • /q - Usa o modo Silencioso (sem interação por parte do usuário).
Requisitos de Reinicialização

Você precisa reiniciar seu computador após aplicar esse patch porque Ntdll.dll é um binário de sistema principal que é carregado durante a inicialização do sistema. Seu computador estará vulnerável até ser reiniciado.

Informações sobre o arquivo

A versão em inglês dessa correção apresenta os atributos de arquivo (ou posteriores) relacionados na seguinte tabela. As datas e horas desses arquivos estão listados em formato UTC. Quando você visualiza as informações do arquivo, elas são convertidas para a hora local. Para saber a diferença entre UTC e a hora local, use a guia Fuso horário na ferramenta Data e hora do Painel de controle. 

   Data         Hora   Versão        Tamanho     Caminho e Nome do Arquivo
   -----------------------------------------------------------------------
   15-Mar-2003  01:23  5.0.2195.6685  476.944  %Windir%\System32\Ntdll.dll

Também é possível verificar os arquivos instalados por esse patch, revisando a seguinte chave de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021\Filelist
Voltar para o início | Submeter comentários

Windows NT 4.0 (todas as versões)

O IIS (Microsoft Internet Information Server) não foi criado para ser usado no Windows NT Server 4.0, Terminal Server Edition, além de não ser suportado. A Microsoft recomenda aos usuários que utilizem o IIS 4.0 no Microsoft NT Server 4.0, no Terminal Server Edition, protegendo seus sistemas através da remoção do IIS 4.0.

Informações sobre Download

Os seguintes arquivos estão disponíveis para download no Centro de Download da Microsoft:

Windows NT 4.0:

Todos os idiomas exceto Japonês NEC e Chinês - Hong Kong:
Recolher esta imagemExpandir esta imagem
Download
Fazer o download do pacote 815021 agora.
(http://www.microsoft.com/downloads/details.aspx?FamilyId=9A64851A-05AE-4912-9967-3AA3B4D5A76F&displaylang=pt-br)
Japonês NEC:
Recolher esta imagemExpandir esta imagem
Download
Fazer o download do pacote 815021 agora.
(http://www.microsoft.com/downloads/details.aspx?FamilyId=E20A695D-977D-4247-AF3B-4B58850B1795&displaylang=ja)
Chinês - Hong Kong:
Recolher esta imagemExpandir esta imagem
Download
Fazer o download do pacote 815021 agora.
(http://www.microsoft.com/downloads/details.aspx?FamilyId=55483A84-A8C7-48AF-BD83-9EC4B99F87CD&displaylang=zh-tw)
Windows NT Server 4.0, Terminal Server Edition:

Todos os idiomas:
Recolher esta imagemExpandir esta imagem
Download
Fazer o download do pacote 815021 agora.
(http://www.microsoft.com/downloads/details.aspx?FamilyId=AE57F47F-DC4D-40E9-8879-41A09767111F&displaylang=pt-br)
Data de lançamento: 23 de abril de 2003

Para obter informações adicionais sobre como fazer o download de arquivos de Suporte da Microsoft, clique no número abaixo para consultar o artigo na Base de Dados de Conhecimento da Microsoft:
119591
(http://support.microsoft.com/kb/119591/PT-BR/ )
Como Obter Arquivos de Suporte da Microsoft nos Serviços On-line
A Microsoft verificou esse arquivo em busca de vírus. A Microsoft utilizou o software de detecção de vírus mais recente disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não-autorizada no arquivo.

Pré-requisitos

Esse patch requer o Windows NT 4.0 Service Pack 6a (SP6a) ou o Windows NT Server 4.0, Terminal Server Edition Service Pack 6 (SP6). Para obter informações adicionais, clique no número abaixo para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
152734
(http://support.microsoft.com/kb/152734/PT-BR/ )
How to Obtain the Latest Windows NT 4.0 Service Pack


Informações sobre a Instalação

Esse patch oferece suporte às seguintes opções do Programa de Instalação:
  • /y: Executa a remoção (somente com /m ou /q).
  • /f - Faz com que programas sejam fechados durante o desligamento.
  • /n - Não cria uma pasta Uninstall.
  • /z - Não reinicia quando a atualização for concluída.
  • /q - Usa o modo Silencioso ou Autônomo sem interface de usuário. (Esta opção é uma substituição de /m .)
  • /m - Usa o modo Autônomo com interface de usuário.
  • /l: Relaciona os hotfixes instalados.
  • /x - Extrai os arquivos sem executar o Programa de Instalação.
Para verificar se o patch está instalado no seu computador, veja se existe a seguinte chave de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q815021
Por exemplo, para instalar o patch sem qualquer intervenção usuário e em seguida não forçar o computador a reiniciar, use a seguinte linha de comando:
q815021i /q /z
Informações sobre Remoção

Para remover esse patch, use a ferramenta Adicionar/remover programas do Painel de controle.

Os administradores do sistema podem usar o utilitário Spunist.exe para remover esse patch. Spuninst.exe está na pasta %Windir%\$NTUninstallQ815021$\Spuninst, e oferece suporte às seguintes opções do Programa de Instalação:
  • /? - Exibe a lista de opções de instalação.
  • /u - Usa o modo Autônomo.
  • /f - Faz com que outros programas sejam encerrados quando o computador é desligado.
  • /z - Não reinicia quando a instalação for concluída.
  • /q - Usa o modo Silencioso (sem interação por parte do usuário).
Requisitos de Reinicialização

Você precisa reiniciar seu computador após aplicar esse patch porque Ntdll.dll é um binário de sistema principal que é carregado durante a inicialização do sistema. Seu computador estará vulnerável até ser reiniciado.

Informações sobre o arquivo

A versão em inglês dessa correção apresenta os atributos de arquivo (ou posteriores) relacionados na seguinte tabela. As datas e horas desses arquivos estão listados em formato UTC. Quando você visualiza as informações do arquivo, elas são convertidas para a hora local. Para saber a diferença entre UTC e a hora local, use a guia Fuso horário na ferramenta Data e hora do Painel de controle. 

   Data         Hora   Versão        Tamanho     Caminho e Nome do arquivo  SO
   ----------------------------------------------------------------------------------------
   24-Mar-2003  10:38  4.0.1381.7212   367.376  %WinDir%\System32\Ntdll.dll  Windows NT 4.0
   24-Mar-2003  07:12  4.0.1381.33546  369.936  %WinDir%\System32\Ntdll.dll  TSE

Voltar para o início | Submeter comentários

Situação

A Microsoft confirmou que esse problema pode causar um certo grau de vulnerabilidade na segurança dos produtos Microsoft que estão listados no começo deste artigo.

Apenas para Windows 2000

Esse problema foi corrigido primeiro no Microsoft Windows 2000 Service Pack 4.
Voltar para o início | Submeter comentários

Mais Informações

Para obter mais informações sobre essa vulnerabilidade, acesse o seguinte site da Microsoft na Web:
http://www.microsoft.com/technet/security/bulletin/MS03-007.asp
(http://www.microsoft.com/technet/security/bulletin/MS03-007.asp)


Caso o seu computador tenha vários processadores, você precisa executar a ferramenta MBSA (Microsoft Baseline Security Analyzer) com a opção /nosum para desativar as análises da soma de verificação. Para obter informações adicionais, clique no número abaixo para consultar o artigo na Base de Dados de Conhecimento da Microsoft:
320454
(http://support.microsoft.com/kb/320454/PT-BR/ )
Microsoft Baseline Security Analyzer (MBSA) Version 1.1.1 Is Available
Voltar para o início | Submeter comentários

Propriedades

ID do artigo: 815021 - Última revisão: sábado, 1 de dezembro de 2007 - Revisão: 13.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Professional
Palavras-chave: 
kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbwinxppresp2fix kbwin2ksp4fix kbhotfixserver KB815021
Voltar para o início | Submeter comentários

Submeter comentários

 
Voltar para o inícioVoltar para o início