Como contornar a vulnerabilidade a ataques de fraude do DNS do ISA Server 2000 e Proxy Server 2.0 descrita no boletim de segurança MS04-039 da Microsoft

Traduções de Artigos Traduções de Artigos
Artigo: 889189 - Ver produtos para os quais este artigo se aplica.

Importante: este artigo contém informações sobre como modificar o registo. Antes de modificar o registo, certifique-se de que efectua uma cópia de segurança e de que compreende como o pode restaurar se ocorrer um problema. Para obter informações sobre como efectuar uma cópia de segurança, restaurar e editar o registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
256986 Descrição do registo do Microsoft Windows

Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).
Expandir tudo | Reduzir tudo

Nesta página

Sumário

O Microsoft Internet Security and Acceleration (ISA) Server 2000 e o Microsoft Proxy Server 2.0 são afectados pela vulnerabilidade de segurança descrita no boletim de segurança MS04-039 da Microsoft. Neste cenário, a cache do DNS do ISA Server 2000 Service Pack 1 (SP1), ISA Server 2000 Service Pack 2 (SP2) ou Proxy Server 2.0 Service Pack 1 (SP1) poderá sofrer um ataque de fraude.

Esta vulnerabilidade é descrita no boletim de segurança MS04-039 da Microsoft. Além disso, o boletim de segurança da Microsoft contém as hiperligações para transferência das actualizações de segurança que resolvem este problema. Este artigo contém instruções que pode utilizar para o ajudar a proteger os seus sistemas contra este problema até poder instalar a actualização de segurança.

Boletim de segurança MS04-039 da Microsoft

INTRODUÇÃO

Este artigo descreve como contornar a vulnerabilidade da cache de DNS descrita no boletim de segurança MS04-039 da Microsoft:
Boletim de segurança MS04-039 da Microsoft

Mais Informação

O boletim de segurança MS04-039 da Microsoft descreve uma vulnerabilidade que pode permitir a um utilizador malicioso forjar conteúdo Internet fidedigno. Neste cenário, os utilizadores podem ser levados a acreditar que estão a visitar um site fidedigno quando estão, na verdade, a visitar um site criado com objectivos maliciosos. Para tentar explorar esta vulnerabilidade, um atacante tem, primeiro, de convencer um utilizador a visualizar o respectivo conteúdo malicioso ou a clicar numa hiperligação para conteúdo malicioso.

Para resolver este problema, instale a actualização de segurança descrita no boletim de segurança MS04-039 da Microsoft.
Boletim de segurança MS04-039 da Microsoft


Para contornar este problema, utilize um dos seguintes métodos.

Microsoft Internet Security and Acceleration Server 2000 Enterprise Edition instalado num array

Aviso: se utilizar o snap-in ADSI Edit, o utilitário LDP ou qualquer outro cliente LDAP versão 3 e modificar de forma incorrecta os atributos de objectos do Active Directory, poderá provocar problemas graves. Estes problemas poderão forçar a reinstalação do Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 ou de ambos (Windows e Exchange). A Microsoft não garante que os problemas resultantes da modificação incorrecta dos atributos de objectos do Active Directory possam ser resolvidos. Todo e qualquer risco decorrente da modificação destes atributos é da responsabilidade do utilizador.

Para contornar este problema no ISA Server 2000 Service Pack 1 (SP1) ou ISA Server 2000 Service Pack 2 (SP2) num array empresarial, siga estes passos:
  1. Inicie a ferramenta LDP. Para tal, clique em Iniciar (Start), clique em Executar (Run), escreva ldp.exe e clique em OK.

    Nota: o Ldp.exe está incluído nas ferramentas de suporte do Microsoft Windows. Para instalar as ferramentas de suporte do Windows no Windows 2000, faça duplo clique em Setup.exe na pasta Support\Tools do CD do Windows 2000. Para instalar as ferramentas de suporte do Windows no Windows Server 2003, faça duplo clique em Supptools.msi na pasta Support\Tools do CD do Windows Server 2003.
  2. Estabeleça ligação com o serviço de directório do Active Directory. Para tal, siga estes passos:
    1. No menu Connection, clique em Connect, deixe a caixa Server vazia e clique em OK.
    2. No menu Connection, clique em Bind.
    3. Na caixa User, escreva o nome de uma conta de utilizador que tenha acesso de escrita aos objectos do ISA Server no Active Directory. Normalmente, esta é uma conta de administrador de domínio.
    4. Na caixa Password, escreva a palavra-passe correspondente à conta de utilizador que tem acesso de escrita aos objectos do ISA Server no Active Directory.
    5. Na caixa Domain, escreva o domínio onde se encontra este computador com o ISA Server e clique em OK.
    6. No painel direito, verifique que é apresentada a seguinte mensagem:
      Authenticated as dn:'Nomedeutilizador'.


      Nota: se esta mensagem não for apresentada, o utilizador não é autenticado. Não poderá prosseguir até ser autenticado com êxito no Active Directory.
  3. Aceda à árvore do Active Directory. Para tal, siga estes passos:
    1. No menu View, clique em Tree e clique em OK.
    2. No painel da esquerda, expanda DC=exemplo,DC=com, em que exemplo.com é o nome do seu domínio.
    3. Faça duplo clique em CN=System,DC=exemplo,DC=com para expandir este objecto.
    4. Faça duplo clique em CN=Fpc,CN=System,DC=exemplo,DC=com para expandir este objecto.
    5. Faça duplo clique em CN=Arrays,CN=Fpc,CN=System,DC=exemplo,DC=com para expandir este objecto.
  4. Aceda ao objecto de política da cada array. Para tal, siga estes passos:
    1. Sob o objecto de cada array, faça duplo clique em CN=GUIDArray,CN=Arrays,CN=Fpc,CN=System,DC=exemplo,DC=com para expandir este objecto.

      Substitua GUIDArray pelo GUID apresentado sob o objecto Arrays. Este GUID é semelhante ao seguinte:
      {4014C4B7-BE69-4DCB-89B4-296651D8E59D}
    2. Faça duplo clique em CN=ArrayPolicy,CN=GUIDArray,CN=Arrays,CN=Fpc,CN=System,DC=exemplo,DC=com para expandir este objecto.
  5. Modifique o tamanho da cache do DNS do serviço de firewall. Para tal, siga estes passos:
    1. Em CN=ArrayPolicy,CN=GUIDArray,CN=Arrays,CN=Fpc,CN=System,DC=exemplo,DC=com, clique com o botão direito do rato em CN=Proxy-WSP,CN=ArrayPolicy,CN=GUIDArray,CN=Arrays,CN=Fpc,CN=System,DC=exemplo,DC=com e clique em Modify.
    2. Deixe o valor predefinido na caixa Dn, escreva msFPCDnsCacheSize na caixa Attribute e escreva 0 (zero) na caixa Values.
    3. Em Operation, clique em Replace, clique em Enter e clique em Run.
    Se a operação tiver êxito, serão apresentadas informações semelhantes às seguintes, no painel direito:
    ***Call Modify...
             ldap_modify_s(ld, 'CN=Proxy-WSP,CN=ArrayPolicy,CN={4014C4B7-BE69-4DCB-89B4-296651D8E59D},CN=Arrays,CN=Fpc,CN=System,DC=exemplo,DC=com',[1] attrs);
             Modified 
  6. Modifique o tamanho da cache do DNS do serviço Web Proxy. Para tal, siga as instruções do passo 5. No entanto, neste passo, substitua todas as instâncias de CN=Proxy-WSP por CN=WebProxy.
  7. Efectue os passos 4 a 6 para modificar o tamanho da cache do DNS do serviço de firewall e o tamanho da cache do DNS do serviço Web Proxy em todos os objectos CN=GUIDArray apresentados no objecto CN=Arrays.
  8. Saia do LDP.
  9. Reinicie os serviços do ISA Server na empresa. Para tal, siga estes passos:
    1. Inicie a ferramenta de gestão do ISA. Para tal, clique em Iniciar (Start), aponte para Programas (Programs), aponte para Microsoft ISA Server e clique em ISA Management.
    2. Expanda Servers and Arrays, expanda o seu array, expanda Monitoring e clique em Services.
    3. Clique com o botão direito do rato num serviço Web Proxy do ISA Server e clique em Stop.
    4. Quando o serviço parar, clique com o botão direito do rato no mesmo serviço e clique em Start.
    5. Clique com o botão direito do rato num serviço de firewall do ISA Server e clique em Stop.
    6. Quando o serviço parar, clique com o botão direito do rato no mesmo serviço e clique em Start.
    7. Efectue os passos c a f para reiniciar os serviços de todos os servidores de ISA do array.
    8. Efectue os passos b a g para reiniciar os serviços de todos os servidores de ISA de outros arrays.
  10. Saia do snap-in ISA Management da consola de gestão da Microsoft (MMC, Microsoft Management Console).

Microsoft Internet Security and Acceleration Server 2000 Standard Edition ou ISA Server 2000 Enterprise Edition em modo autónomo

Aviso: a utilização incorrecta do Editor de registo (Registry Editor) poderá provocar problemas graves que poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que os problemas resultantes da utilização incorrecta do Editor de registo (Registry Editor) possam ser resolvidos. Todo e qualquer risco decorrente da utilização do Editor de registo (Registry Editor) é da responsabilidade do utilizador.

Para contornar este problema num computador com o ISA Server 2000 Standard Edition (SP1) ou ISA Server 2000 Standard Edition SP2, siga estes passos:
  1. Inicie o Editor de registo (Registry Editor). Para tal, clique em Iniciar (Start), clique em Executar (Run), escreva regedit e clique em OK.
  2. Localize e clique na seguinte subchave do registo:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Arrays\<GUIDArray>\ArrayPolicy
    Substitua GUIDArray pelo GUID apresentado sob a subchave de registo Arrays. Este GUID é semelhante ao seguinte:
    {88F55145-3365-4D10-8DE5-FD433537CFC6}
  3. Altere o valor do tamanho da cache do DNS do serviço Web Proxy para zero. Para tal, siga estes passos:
    1. Em ArrayPolicy, clique em WebProxy.
    2. No painel da direita, clique com o botão do rato em msFPCDnsCacheSize e clique em Modificar (Modify).
    3. Na caixa Dados do valor (Value data), escreva 0 (zero) e clique em OK.
  4. Altere o valor do tamanho da cache do DNS do serviço de firewall para zero. Para tal, siga estes passos:
    1. Em ArrayPolicy, clique em Proxy-WSP.
    2. No painel da direita, clique com o botão do rato em msFPCDnsCacheSize e clique em Modificar (Modify).
    3. Na caixa Dados do valor (Value data), escreva 0 (zero) e clique em OK.
  5. Saia do Editor de registo (Registry Editor).
  6. Inicie a ferramenta de gestão do ISA. Para tal, clique em Iniciar (Start), aponte para Programas (Programs), aponte para Microsoft ISA Server e clique em ISA Management.
  7. Expanda Servers and Arrays, expanda o seu servidor, expanda Monitoring e clique em Services.
  8. No menu View, clique em Advanced.
  9. Clique com o botão direito do rato no serviço Web Proxy e clique em Stop.
  10. Quando o serviço parar, clique com o botão direito do rato no mesmo serviço e clique em Start.
  11. Clique com o botão direito do rato no serviço de firewall e clique em Stop.
  12. Quando o serviço parar, clique com o botão direito do rato no mesmo serviço e clique em Start.

Microsoft Proxy Server 2.0

Aviso: a utilização incorrecta do Editor de registo (Registry Editor) poderá provocar problemas graves que poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que os problemas resultantes da utilização incorrecta do Editor de registo (Registry Editor) possam ser resolvidos. Todo e qualquer risco decorrente da utilização do Editor de registo (Registry Editor) é da responsabilidade do utilizador.

Para contornar este problema num computador com o Microsoft Proxy Server 2.0 Service Pack 1 (SP1), siga estes passos:
  1. Inicie o Editor de registo (Registry Editor). Para tal, clique em Iniciar (Start), clique em Executar (Run), escreva regedit e clique em OK.
  2. Localize e clique na seguinte subchave de registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters
  3. Altere o valor do tamanho da cache do DNS do serviço Web Proxy para zero. Para tal, siga estes passos:
    1. No painel da direita, clique com o botão do rato em DnsCacheSize e clique em Modificar (Modify).
    2. Na caixa Dados do valor (Value data), escreva 0 (zero) e clique em OK.
  4. Saia do Editor de registo (Registry Editor).
  5. Inicie a ferramenta de gestão do Proxy. Para tal, clique em Iniciar (Start), aponte para Programas (Programs), aponte para Microsoft Proxy Server e clique em Microsoft Management Console.
  6. Expanda o nó do computador do Proxy Server 2.0 SP1.
  7. Clique em Winsock proxy e clique em Parar (Stop) no menu Acção (Action).
  8. Quando o serviço parar, clique em Iniciar (Start) no menu Acção (Action).
  9. Clique em Web Proxy e clique em Parar (Stop) no menu Acção (Action).
  10. Quando o serviço parar, clique em Iniciar (Start) no menu Acção (Action).
Nota: está disponível um script para automatizar os passos descritos neste artigo. Este script foi concebido para funcionar no ISA Server 2000 e no Proxy Server 2.0. O Microsoft Internet Security and Acceleration (ISA) Server 2004 não é afectado por esta vulnerabilidade e este script não foi concebido para ser executado no ISA Server 2004. Para obter este script, visite o seguinte Web site:
http://isatools.org/ms04-039.js


Para limpar a cache do proxy da Web do ISA Server 2000, utilize a ferramenta Clrcache.cmd. Para obter esta ferramenta, visite o seguinte Web site:
http://isatools.org/clrcache.cmd
A Microsoft fornece informações sobre contactos de outros fabricantes para o ajudar na obtenção de suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. A Microsoft não garante o rigor das informações sobre o contacto destes fabricantes.

Para obter informações adicionais sobre como limpar a cache do proxy da Web do Proxy Server 2.0, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
811086 How to clear the cache in Microsoft Proxy Server 2.0


Para obter informações adicionais sobre o ciclo de vida do suporte do Proxy Server 2.0, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/isaserver/evaluation/previousversions/ending.mspx

Propriedades

Artigo: 889189 - Última revisão: 3 de dezembro de 2007 - Revisão: 3.1
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 1
  • Microsoft Small Business Server 2000 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Proxy Server 2.0 Standard Edition
  • Microsoft Internet Security and Acceleration Server 2000 Service Pack 2
Palavras-chave: 
kbinfo kbbug kbqfe kbfirewall kbprb kbhotfixserver KB889189

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com