Artigo: 957097 - �ltima revis�o: quinta-feira, 5 de Mar�o de 2009 - Revis�o: 3.0

MS08-068: Vulnerabilidade no SMB pode permitir execu��o remota de c�digo

Ver produtos para os quais este artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

INTRODU��O

A Microsoft publicou o boletim de seguran�a MS08-068. Para ver o boletim de seguran�a completo, visite um dos seguintes Web sites da Microsoft:

Utilizadores dom�sticos:
http://www.microsoft.com/portugal/athome/security/update/bulletins/200811.mspx (http://www.microsoft.com/portugal/protect/computer/updates/bulletins/200811.mspx)
Ignore os detalhes: Transfira as actualiza��es para o computador dom�stico ou port�til a partir do Web site Microsoft Update agora:
http://update.microsoft.com/microsoftupdate (http://update.microsoft.com/microsoftupdate/)
Profissionais de TI:
http://www.microsoft.com/portugal/technet/seguranca/boletins/MS08-068.mspx (http://www.microsoft.com/portugal/technet/seguranca/boletins/MS08-068.mspx)

Voltar ao topo

Como obter ajuda e suporte para esta actualiza��o de seguran�a

Os utilizadores dom�sticos disp�em de suporte gratuito atrav�s do n�mero 1-866-PCSAFETY nos EUA e no Canad� ou contactando a subsidi�ria local da Microsoft. Para mais informa��es sobre como contactar a subsidi�ria local da Microsoft relativamente a problemas de suporte de actualiza��es de seguran�a, visite o seguinte Web site de Suporte Internacional:

http://support.microsoft.com/common/international.aspx?rdpath=4 (http://support.microsoft.com/common/international.aspx?rdpath=4)

Os clientes da Am�rica do Norte tamb�m podem obter acesso imediato a suporte gratuito ilimitado por correio electr�nico ou a suporte individual ilimitado por chat, visitando o seguinte Web site da Microsoft:

http://support.microsoft.com/oas/default.aspx?&prid=7552 (http://support.microsoft.com/oas/default.aspx?&prid=7552)

No caso de clientes empresariais, o suporte para actualiza��es de seguran�a est� dispon�vel atrav�s dos contactos de suporte normais.

Voltar ao topo

Problemas conhecidos relativamente a esta actualiza��o de seguran�a

Sintomas

Depois de aplicar esta actualiza��o de seguran�a, aplica��es como o Microsoft SQL Server ou Servi�os de Informa��o Internet (IIS) poder�o falhar quando efectuarem pedidos de autentica��o NTLM locais.

Causa

Este problema ocorre porque o NTLM (NT LAN Manager) processa as diferentes conven��es de nomenclatura como entidades remotas em vez de entidades locais. Poder� ocorrer uma falha de autentica��o local quando o cliente calcular e colocar na cache a resposta correcta ao desafio NTLM enviado pelo servidor na mem�ria "lsass" local antes de a resposta ser enviada novamente para o servidor. Quando o c�digo de servidor do NTLM localiza a resposta recebida na cache "lsass" local, o c�digo n�o respeita o pedido de autentica��o, processando-o como um ataque de repeti��o. Este comportamento origina uma falha de autentica��o local.

Resolu��o

Para resolver este problema, tem de desactivar a protec��o de reflex�o para que os sistemas afectados possam ser autenticados. Para obter mais informa��es sobre como fazer isso, clique no seguinte n�mero de artigo para visualizar o artigo da Base de Dados de Conhecimento da Microsoft:

896861� (http://support.microsoft.com/kb/896861/ ) Recebe o erro 401.1 quando navega num Web site que utiliza autentica��o integrada e est� hospedado no IIS 5.1 ou no IIS 6

887993� (http://support.microsoft.com/kb/887993/ ) Os utilizadores detectam problemas de autentica��o quando acedem a uma p�gina Web no IIS 6.0 ou consultam o Microsoft SQL Server 2000 ap�s a instala��o do Windows Server 2003 Service Pack 1

926642� (http://support.microsoft.com/kb/926642/ ) Mensagem de erro ao tentar aceder a um servidor localmente utilizando o respectivo alias FQDN ou CNAME ap�s ter instalado o Windows Server 2003 Service Pack 1: "Acesso negado" ou "Nenhum fornecedor de rede aceitou o caminho de rede indicado"

Como desactivar a protec��o de reflex�o NTLM

Importante Esta sec��o, m�todo ou tarefa cont�m passos que explicam como alterar o registo. No entanto, poder�o ocorrer problemas graves se modificar o registo de forma incorrecta. Assim, certifique-se de que segue estes passos cuidadosamente. Para uma maior seguran�a, efectue uma c�pia de seguran�a do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informa��es sobre como efectuar uma c�pia de seguran�a e restaurar o registo, clique no n�mero de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:

322756� (http://support.microsoft.com/kb/322756/ ) Como efectuar c�pias de seguran�a e restaurar o registo no Windows

Para desactivar a protec��o de reflex�o NTLM, tem de modificar uma chave do Registo no computador cliente. Para o fazer, siga estes passos no computador cliente:

Clique em Iniciar, clique em Executar, escreva regedit na caixa Abrir e clique em OK.
Localize e clique na seguinte subchave, no Registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
No menu Editar, aponte para Novo e clique em Valor DWORD.
Escreva DisableLoopbackCheck para o nome da DWORD e prima ENTER.
Clique com o bot�o direito do rato em DisableLoopbackCheck e clique em Modificar.
Na caixa Dados do valor, escreva 1 e clique em OK.
Saia do Editor de registo e, em seguida, reinicie o computador.

Nota Tem de reiniciar o computador para que esta altera��o produza efeitos.

O efeito da desactiva��o da protec��o de reflex�o NTLM

Uma vez que a protec��o de reflex�o NTLM faz parte da correc��o para esta vulnerabilidade do SMB, a desactiva��o da protec��o de reflex�o NTLM num sistema afectado, ao definir DisableLoopbackCheck como 1, devolve o sistema a um estado de vulnerabilidade. Por conseguinte, recomendamos vivamente que utilize a chave de registo BackConnectionHostNames, se necess�rio.

Como reactivar a protec��o de reflex�o NTLM

Para reactivar a protec��o de reflex�o NTLM, tem de modificar uma entrada do Registo no computador cliente. Para o fazer, siga estes passos no computador cliente:

Clique em Iniciar, clique em Executar, escreva regedit na caixa Abrir e clique em OK.
Localize e clique na seguinte subchave, no Registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Clique com o bot�o direito do rato em DisableLoopbackCheck e clique em Modificar.
Na caixa Dados do valor, escreva 0 e clique em OK.
Saia do Editor de registo e, em seguida, reinicie o computador.

Nota Tem de reiniciar o computador para que esta altera��o produza efeitos.

Como desactivar a protec��o de reflex�o NTLM para um SPN espec�fico

Pode desactivar a protec��o de reflex�o NTLM para um SPN (Service Principal Name) espec�fico que esteja a causar a interrup��o da autentica��o correspondente. Para o fazer, siga estes passos no computador cliente:

Clique em Iniciar, clique em Executar, escreva regedit na caixa Abrir e clique em OK.
Localize e clique na seguinte subchave, no Registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
No menu Editar, aponte para Novo e, em seguida, clique em Valor de M�ltiplas Cadeias.
Escreva BackConnectionHostNames para o nome do Valor de M�ltiplas Cadeias e prima ENTER.

Nota Se a entrada do Registo BackConnectionHostNames existir como REG_DWORD, tem de eliminar a entrada do Registo BackConnectionHostNames.
Clique com o bot�o direito do rato em BackConnectionHostNames e clique em Modificar.
Na caixa Dados do valor, escreva o CNAME ou o alias de DNS utilizado para as partilhas locais no computador e clique em OK.

Nota Tem de escrever cada nome de anfitri�o numa linha separada.
Saia do Editor de registo e, em seguida, reinicie o computador.

Nota Tem de reiniciar o computador para que esta altera��o produza efeitos.

Efeito da desactiva��o da protec��o de reflex�o NTLM para um SPN espec�fico

Uma vez que a protec��o de reflex�o NTLM faz parte da correc��o desta vulnerabilidade SMB, a desactiva��o da protec��o de reflex�o NTLM num sistema afectado colocar� o sistema novamente num estado vulner�vel relativamente ao SPN espec�fico para o qual a protec��o de reflex�o foi desactivada.

Como reactivar a protec��o de reflex�o NTLM para um SPN espec�fico

Para o fazer, siga estes passos no computador cliente:

Clique em Iniciar, clique em Executar, escreva regedit na caixa Abrir e clique em OK.
Localize e clique na seguinte subchave, no Registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
Clique com o bot�o direito do rato em BackConnectionHostNames e clique em Modificar.
Na caixa Dados do valor, elimine o CNAME ou o alias de DNS utilizado para as partilhas locais no computador e clique em OK.

Nota Tem de escrever cada nome de anfitri�o numa linha separada.
Saia do Editor de registo e, em seguida, reinicie o computador.

Nota Tem de reiniciar o computador para que esta altera��o produza efeitos.

Voltar ao topo

Informa��es sobre os ficheiros

A vers�o inglesa (Estados Unidos) desta actualiza��o de software instala ficheiros que t�m os atributos listados nas tabelas seguintes. As datas e horas destes ficheiros s�o indicadas no formato de Hora Universal Coordenada (UTC). As datas e horas destes ficheiros s�o apresentadas no computador local com a hora local e com a compensa��o da hora de Ver�o (DST) actual. Al�m disso, as datas e horas podem ser alteradas quando s�o executadas determinadas opera��es nos ficheiros.