MS08-068: Vulnerabilidades no SMB podem permitir a execução remota de código

A Microsoft lançou o boletim de segurança MS08-068. Para exibir o boletim de segurança completo, visite um dos seguintes sites da Microsoft:

• Usuários domésticos:
  http://www.microsoft.com/brasil/protect/computer/updates/bulletins/200811.mspx (http://www.microsoft.com/brasil/protect/computer/updates/bulletins/200811.mspx)
  Ignore os detalhes: Baixe agora as atualizações para o computador particular ou laptop pelo site Microsoft Update:
  http://update.microsoft.com/microsoftupdate (http://update.microsoft.com/microsoftupdate/)
• Profissionais de TI:
  http://www.microsoft.com/technet/security/bulletin/MS08-068.mspx (http://www.microsoft.com/brasil/technet/security/bulletin/MS08-068.mspx)

Como obter ajuda e suporte para esta atualização de segurança

Os usuários domésticos podem contactar o suporte gratuito através do telefone 1-866-PCSAFETY (Estados Unidos e Canadá) ou da subsidiária local da Microsoft. Para obter mais informações sobre como contatar sua subsidiária local da Microsoft para problemas de suporte com atualizações de segurança, visite o site de Suporte Internacional da Microsoft: Os clientes da América do Norte podem obter acesso instantâneo a suporte por email gratuito ilimitado ou a suporte individual por chat ilimitado visitando o seguinte site da Microsoft : Para clientes empresariais, o suporte para atualizações de segurança está disponível por meio dos seus contatos de suporte normais.

Problemas conhecidos desta atualização de segurança

Sintomas

Depois que você aplicar esta atualização de segurança, aplicativos como o Microsoft SQL Server ou o Internet Information Services (IIS) podem falhar ao realizarem solicitações de autenticação NTLM local.

Causa

Esse problema ocorre porque o NTLM (NT Lan Manager) trata diferentes convenções de nomenclatura como entidades remotas em vez de entidades locais. Pode ocorrer uma falha de autenticação local quando o cliente calcular e armazenar em cache a resposta correta ao desafio do NTLM enviado pelo servidor na memória "lsass" local antes que a resposta seja enviada de volta ao servidor. Quando o código do servidor para NTLM encontrar a resposta recebida no cache "lsass" local, o código não respeitará a solicitação de autenticação e a tratará como um ataque de repetição. Esse comportamento leva a uma falha de autenticação local.

Resolução

Para resolver esse problema, você deve desabilitar a proteção de reflexo para que os sistemas afetados possam ser autenticados. Para obter mais informações sobre como fazer isso, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

Como desabilitar a proteção de reflexo do NTLM

Importante Este método, seção ou tarefa contém etapas que informam sobre como alterar o Registro. No entanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Por isso, certifique-se de que essas etapas sejam seguidas cuidadosamente. Para obter mais proteção, faça um backup do Registro antes de modificá-lo. Dessa forma, você poderá restaurar o Registro se ocorrer um problema. Para obter informações adicionais sobre como fazer backup e restaurar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
Para desativar a proteção de reflexo NTLM, você deve modificar uma chave do Registro no computador cliente. Para fazer isso, execute as seguintes etapas no computador cliente:

1. Clique em Iniciar, em Executar, digite regedit na caixa Abrir e clique em OK.
2. Localize e clique na seguinte subchave do Registro:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. No menu Editar, aponte para Novo e clique em Valor DWORD.
4. Digite DisableLoopbackCheck como o nome do DWORD e pressione ENTER.
5. Clique com o botão direito do mouse em DisableLoopbackCheck e clique em Modificar.
6. Na caixa Dados do valor, digite 1 e clique em OK.
7. Saia do Editor do Registro e reinicie o computador.

Observação É necessário reiniciar o computador para que essa alteração tenha efeito.

O efeito da desativação da proteção de reflexo do NTLM

Como a proteção de reflexo do NTLM é parte da correção dessa vulnerabilidade no SMB, desabilitá-la em um sistema afetado ao configurar DisableLoopbackCheck para 1 fará com que o sistema retorne a um estado vulnerável. Portanto, recomendamos o uso da chave do Registro BackConnectionHostNames se necessário.

Como reabilitar a proteção de reflexo do NTLM

Para reabilitar a proteção de reflexo do NTLM, você deve modificar uma entrada do Registro no computador cliente. Para fazer isso, execute as seguintes etapas no computador cliente:

1. Clique em Iniciar, em Executar, digite regedit na caixa Abrir e clique em OK.
2. Localize e clique na seguinte subchave do Registro:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. Clique com o botão direito do mouse em DisableLoopbackCheck e clique em Modificar.
4. Na caixa Dados do valor, digite 0 e clique em OK.
5. Saia do Editor do Registro e reinicie o computador.

Observação É necessário reiniciar o computador para que essa alteração tenha efeito.

Como desabilitar a proteção de reflexo do NTLM para um determinado SPN

Você pode desabilitar a proteção de reflexo do NTLM de um SPN (Nome principal de serviço) que esteja causando falha na autenticação correspondente. Para fazer isso, execute as seguintes etapas no computador cliente:

1. Clique em Iniciar, em Executar, digite regedit na caixa Abrir e clique em OK.
2. Localize e clique na seguinte subchave do Registro:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
3. No menu Editar, aponte para Novo e clique em Valor de seqüência múltipla.
4. Digite BackConnectionHostNames para o nome do valor de seqüência múltipla e pressione ENTER.
   
   Observação Se a entrada do Registro BackConnectionHostNames existir como um REG_DWORD, você deverá excluí-la.
5. Clique com o botão direito do mouse em BackConnectionHostNames e clique em Modificar.
6. Na caixa Dados do valor, digite o CNAME ou o alias de DNS usado para os compartilhamentos locais no computador e clique em OK.
   
   Observação Você deve digitar cada nome de host em uma linha separada.
7. Saia do Editor do Registro e reinicie o computador.

Observação É necessário reiniciar o computador para que essa alteração tenha efeito.

O efeito de desabilitar a proteção de reflexo do NTLM para um SPN específico

Como a proteção de reflexo do NTLM é parte da correção dessa vulnerabilidade no SMB, desabilitá-la em um sistema afetado fará com que o sistema retorne a um estado vulnerável ao SPN específico para o qual a proteção de reflexo foi desabilitada.

Como reabilitar a proteção de reflexo do NTLM para um SPN específico

Para fazer isso, siga estas etapas em um computador cliente:

1. Clique em Iniciar, em Executar, digite regedit na caixa Abrir e clique em OK.
2. Localize e clique na seguinte subchave do Registro:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
3. Clique com o botão direito do mouse em BackConnectionHostNames e clique em Modificar.
4. Na caixa Dados do valor, exclua o CNAME ou o alias de DNS usado para os compartilhamentos locais no computador e clique em OK.
   
   Observação Você deve digitar cada nome de host em uma linha separada.
5. Saia do Editor do Registro e reinicie o computador.

Observação É necessário reiniciar o computador para que essa alteração tenha efeito.

Informação sobre o arquivo

A versão em inglês (Estados Unidos) dessa atualização de software possui os atributos listados nas tabelas a seguir. As datas e horas desses arquivos estão listadas em formato UTC (Tempo Universal Coordenado). As datas e os horários desses arquivos em seu computador local são exibidos em sua hora local com a diferença do horário de verão atual. Além disso, as datas e horas também podem ser alteradas quando você realizar algumas operações nos arquivos.

Para todas as edições compatíveis do Microsoft Windows 2000 Service Pack 4

Informações sobre o arquivo do Windows XP e do Windows Server 2003

• Os arquivos que se aplicam a uma etapa específica (RTM, SPn) e ramificação do serviço (QFE, GDR) são observados nas colunas ?Requisito de SP? e ?Ramificação do serviço?.
• As ramificações do serviço GDR contém somente as correções amplamente disponibilizadas para resolver problemas críticos bastante conhecidos. As ramificações do serviço QFE contém hotfixes, além de correções amplamente disponibilizadas.
• Além dos arquivos listados nessas tabelas, essa atualização de software também instala um arquivo associado do catálogo de segurança (KBnúmero.cat) que possui uma assinatura digital da Microsoft.

Para todas as versões baseadas em x86 compatíveis do Windows XP

Para todas as versões baseadas em x86 compatíveis do Windows Server 2003 e do Windows XP Professional x64 edition

Para todas as versões baseadas em x86 compatíveis do Windows Server 2003

Para todas as versões compatíveis com base em IA-64 do Windows Server 2003

Informações sobre o arquivo do Windows XP e do Windows Server 2008

• Os arquivos que se aplicam à uma etapa específica (RTM, SPn) e ramificação do serviço (LDR, GDR) podem ser identificados ao examinar os números da versão do arquivo, como mostrado na tabela a seguir.
  Recolher esta tabelaExpandir esta tabela

  Versão	Produto	Etapa	Ramificação do serviço
  6.0.600 0. 16xxx	Windows Vista	RTM	GDR
  6.0.600 0. 20xxx	Windows Vista	RTM	LDR
  6.0.600 1. 18xxx	Windows Vista SP1 e Windows Server 2008 SP1	SP1	GDR
  6.0.600 1. 22xxx	Windows Vista SP1 e Windows Server 2008 SP1	SP1	LDR

• O Service Pack 1 está integrado na versão de lançamento do Windows Server 2008. Por isso, os arquivos da etapa RTM se aplicam somente ao Windows Vista. Os arquivos da etapa RTM tem um número de versão 6.0.0000.xxxxxx.
• As ramificações do serviço GDR contém somente as correções amplamente disponibilizadas para resolver problemas críticos bastante conhecidos. As ramificações do serviço LDR contém hotfixes, além de correções amplamente disponibilizadas.
• Os arquivos MANIFEST (.manifest) e os arquivos MUM (.mum) instalados para cada ambiente são listados separadamente. Os arquivos NUM e MANIFEST, e os arquivos associados do catálogo de segurança (.cat) são importantes para manter o estado do componente atualizado. Os arquivos do catálogo de segurança (atributos não listados) possuem uma assinatura digital da Microsoft.

Para todas as versões baseadas em x86 compatíveis do Windows Server 2008 e do Windows Vista

Para todas as versões baseadas em x64 compatíveis do Windows Server 2008 e do Windows Vista

Para todas as versões compatíveis com base em IA-64 do Windows Server 2008

Informações de arquivo adicionais para o Windows Server 2008 e o Windows Vista

Arquivos adicionais para todas as versões baseadas em x86 compatíveis do Windows Server 2008 e do Windows Vista

Arquivos adicionais para todas as versões baseadas em x64 compatíveis do Windows Server 2008 e do Windows Vista

Arquivos adicionais para todas as versões baseadas em IA-64 compatíveis com o Windows Server 2008