MS03-026: Memória intermédia sobrecarga na RPC pode permitir execução remota de código


Actualização técnica

  • 10 de Setembro de 2003: Foram efectuadas as seguintes alterações ao presente artigo:
    • As secções "Informações de substituição de patches de segurança" para indicar que este patch foi substituído pelo 824146 (MS03-039) foram actualizadas.
      Para mais informações sobre o patch de 824146 segurança (MS03-039), clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

      824146 MS03-039: uma memória intermédia no RPCSS de sobrecarga da poderia permitir que um atacante execute programas maliciosos

    • As secções "Informações de instalação" para indicar que a Microsoft disponibilizou uma ferramenta que os administradores de rede podem utilizar para analisar uma rede e para identificar computadores anfitriões que não tenham 823980 (MS03-026) e os patches de segurança 824146 (MS03-039) instalados actualizadas.
      Para obter informações adicionais sobre esta ferramenta, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
      827363 como utilizar o KB 824146 ferramenta de verificação para identificar computadores anfitriões que não tenham 823980 (MS03-026) e 824146 (MS03-039) Patches de segurança instalados

    • Actualizada a secção "Informações de substituição de patches de segurança" para Windows NT 4.0 para indicar que este patch de segurança substitui o 305399 (MS01-048) para computadores baseados no Windows NT 4.0.
  • 19 de Agosto de 2003: Actualizada a secção "Mais informação" para incluir uma referência ao artigo 826234 da Base de dados de conhecimento da Microsoft. Este artigo contém informações sobre o vírus do ' worm ' Nachi que tenta explorar a vulnerabilidade corrigida por este patch de segurança.
    Alerta de vírus 826234 sobre o ' Worm ' Nachi

  • 14 de Agosto de 2003: Foram efectuadas as seguintes alterações ao presente artigo:
    • Actualizada a secção "Mais informação" para incluir uma referência ao artigo 826955 da Base de dados de conhecimento da Microsoft. Este artigo contém informações sobre o vírus worm Blaster que tenta explorar a vulnerabilidade corrigida por este patch de segurança.
      826955 alerta de vírus sobre o Worm Blaster e respectivas variantes

    • Actualizada a secção "Informações de instalação" para indicar que a Microsoft disponibilizou uma ferramenta que os administradores de rede podem utilizar para procurar uma rede de sistemas que não tenham este patch de segurança instalado.
    • Actualizadas as secções "Informações de substituição de patches de segurança" para indicar que este patch de segurança substitui o 331953 (MS03-010) para computadores baseados no Windows 2000 e computadores baseados no Windows XP. Para computadores baseados no Windows NT 4.0 e computadores baseados no Windows Server 2003, este patch de segurança não substitui quaisquer outros patches de segurança.
    • Actualização da secção "pré-requisitos" do Windows 2000 para incluir informações sobre o suporte do Windows 2000 Service Pack 2 para este patch.
    • A secção "Como contornar" para fornecer informações adicionais solução alternativa actualizada.
  • 18 de Julho de 2003: Actualizada a secção "Sintomas" e "Factores atenuantes". Foi adicionada uma nota à secção "pré-requisitos" do Windows 2000. Foi adicionada uma nota para a secção "Pré-requisitos" do Windows NT 4.0. Na secção "Windows NT 4.0", alterado a chave de registo "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows NT\SP6\KB823980 foi alterada" para "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q823980". Na secção "Como contornar", alterar o texto na primeira marca ("bloquear a porta 135 no firewall"). Nas secções seguintes, foram alteradas as tabelas de informação: Windows Server 2003, edição de 32 bits; Windows Server 2003, 64-Bit Edition; Windows XP Professional e Windows XP Home Edition; Windows XP 64-Bit Edition.
  • 18 de Agosto de 2003: Actualizada a secção "Pré-requisitos".

Sintomas

A Microsoft lançou originalmente este boletim e patch em de 16 de Julho de 2003, para corrigir uma vulnerabilidade de segurança numa interface do Windows distribuído DCOM Component Object Model () Remote Procedure Call (RPC). O patch foi e continua a ser eficaz no eliminando a vulnerabilidade de segurança. No entanto, a "Factores atenuantes" e a discussão de "Soluções alternativas" no boletim de segurança original não identifique claramente o todas as portas através do qual a vulnerabilidade poderia potencialmente ser explorada. Microsoft actualizou este boletim a enumerar mais claramente as portas através de qual RPC podem invocar os serviços e para se certificar de que os clientes que optem por implementar uma solução temporária antes de instalar o patch disponham das informações necessárias que proteger os seus sistemas. Os clientes que já tenham instalado o patch estão protegidos contra tentativas de explorar esta vulnerabilidade e não é necessário tomar medidas adicionais.

Chamada de procedimento remoto (RPC) é um protocolo utilizado pelo sistema operativo Windows. O protocolo RPC fornece um mecanismo de comunicação entre processos que permite que um programa que está em execução no computador sem problemas, execute código num computador remoto. O protocolo propriamente dito deriva do protocolo Open Software Foundation (OSF) RPC. O protocolo RPC utilizado pelo Windows inclui algumas extensões específicas da Microsoft adicionais.

Existe uma vulnerabilidade na parte do RPC que processa a troca de mensagens através de TCP/IP. A falha resulta processamento incorrecto de mensagens mal formadas. Esta vulnerabilidade específica afecta uma interface de componente objecto modelo DCOM (Distributed) com RPC, que efectua a escuta em portas de capacidades de RPC. Esta interface processa pedidos de activação de objectos DCOM enviados por computadores cliente (por exemplo, pedidos de caminho de convenção de Nomenclatura Universal [UNC]) para o servidor. Um intruso que explorasse com sucesso esta vulnerabilidade conseguiria executar código com privilégios de sistema Local num sistema afectado. O atacante conseguiria executar qualquer acção no sistema, incluindo instalar programas, a visualização de dados, alterar dados, eliminar dados ou criar novas contas com todos os privilégios.

Para explorar esta vulnerabilidade, um intruso teria de enviar um pedido especialmente formado para o computador remoto em portas específicas de RPC.

Factores atenuantes
  • Para explorar esta vulnerabilidade, o intruso tem de conseguir enviar um pedido especialmente concebido para a porta 135, porta 139, porta 445 ou qualquer outra porta RPC especificamente configurada no computador remoto. Para ambientes de intranet, estas portas estão normalmente acessíveis, mas para os computadores ligados à Internet, estas portas estão normalmente bloqueadas por uma firewall. Se estas portas não estão bloqueadas, ou num ambiente de intranet, o intruso não tem de ter privilégios adicionais.
  • Procedimentos recomendados incluem o bloqueio de todas as portas de TCP/IP que não estão a ser utilizadas. Por predefinição, a maior parte dos firewalls, incluindo o Windows Internet ligação Firewall (ICF) bloqueiam essas portas. Por este motivo, a maioria dos computadores ligados à Internet devem ter o RPC sobre TCP ou UDP bloqueado. RPC sobre UDP ou TCP não se destina a ser utilizado em ambientes hostis como a Internet. Protocolos mais robustos, como o RPC sobre HTTP, estão previstos em ambientes hostis.

Resolução

Informações sobre patches de segurança

Para mais informações sobre como resolver esta vulnerabilidade, clique na hiperligação apropriada na seguinte lista:

Windows Server 2003 (todas as versões)

Informações de transferência
Os seguintes ficheiros estão disponíveis para transferência a partir do Centro de Transferências da Microsoft:


Windows Server 2003, edição de 32 bitsWindows Server 2003 64-Bit Edition e Windows XP 64-Bit Edition versão 2003Data de edição: 16 de Julho de 2003

Para obter informações adicionais sobre como transferir ficheiros do Microsoft Support, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
119591 como obter ficheiros de suporte da Microsoft a partir de Serviços Online
A Microsoft analisou este ficheiro quanto à presença de virus. A Microsoft utilizou o software de deteção de vírus mais atual, que estava disponível na data em que o ficheiro foi publicado. O ficheiro está armazenado em servidores com segurança melhorada, que ajudam a impedir quaisquer alterações não autorizadas ao ficheiro.
Pré-requisitos
Este patch de segurança requer a versão comercializada do Windows Server 2003.
Informações de instalação
Este patch de segurança suporta os seguintes parâmetros de configuração:
  • /? : Apresenta a lista de parâmetros de instalação.
  • /u : utiliza o modo automático.
  • /f : obrigar outros programas a fechar quando o computador é encerrado.
  • /n : não efectua a cópia de ficheiros para remoção.
  • /o : substituir ficheiros OEM sem pedir confirmação.
  • /z : não reinicia quando a instalação estiver concluída.
  • /q : utilizar o modo silencioso (sem interacção do utilizador).
  • /l : lista os hotfixes instalados.
  • /x : extrair os ficheiros sem executar o programa de configuração.
Microsoft disponibilizou uma ferramenta que os administradores de rede podem utilizar para procurar uma rede para a detectar sistemas que não tenham este patch de segurança instalado.
Para obter informações adicionais sobre esta ferramenta, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
827363 como utilizar o KB 824146 ferramenta de verificação para identificar computadores anfitriões que não tenham 823980 (MS03-026) e 824146 (MS03-039) Patches de segurança instalados

Também pode verificar que o patch de segurança está instalado no computador utilizando o Microsoft Baseline Security Analyzer (MBSA), comparando as versões dos ficheiros no seu computador à lista de ficheiros na secção "Informações de ficheiros" deste artigo ou confirmando que existe a seguinte chave de registo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823980
Para verificar se esta actualização foi instalada, utilize o Microsoft Baseline Security Analyzer (MBSA). Para obter informações adicionais sobre MBSA, consulte o seguinte Web site da Microsoft:
Informações de implementação
Para instalar o patch de segurança sem qualquer intervenção do utilizador, utilize o seguinte comando:
WindowsServer2003-KB823980-x86-ENU /u /q
Para instalar o patch de segurança sem forçar o computador a reiniciar, utilize o seguinte comando:
WindowsServer2003-KB823980-x86-ENU /z
Nota É possível combinar estes parâmetros num comando.

Para obter informações sobre como implementar este patch de segurança com os Software Update Services, visite o seguinte Web site da Microsoft:
Requisito de reinício
Tem de reiniciar o computador depois de aplicar este patch de segurança.
Informações de remoção
Para remover este patch de segurança, utilize a ferramenta Adicionar ou remover programas no painel de controlo.

Os administradores de sistema podem utilizar o utilitário Spuninst.exe para remover este patch de segurança. O utilitário Spuninst.exe. exe está localizado na pasta %Windir%\$NTUninstallKB823980$\Spuninst. O utilitário suporta os seguintes parâmetros de configuração:
  • /? : Apresenta a lista de parâmetros de instalação.
  • /u : utiliza o modo automático.
  • /f : obrigar outros programas a fechar quando o computador é encerrado.
  • /z : não reinicia quando a instalação estiver concluída.
  • /q : utilizar o modo silencioso (sem interacção do utilizador).
Informações de substituição de patches de segurança
Para computadores baseados no Windows Server 2003, este patch de segurança não substitui quaisquer outros patches de segurança.

Este patch de segurança é substituído pelo 824146 (MS03-039).
Para mais informações sobre o patch de 824146 segurança (MS03-039), clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

824146 MS03-039: uma memória intermédia no RPCSS de sobrecarga da poderia permitir que um atacante execute programas maliciosos

Informações de ficheiro
A versão inglesa desta correcção tem os atributos de ficheiro (ou posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são listadas na hora universal coordenada (UTC). Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador Fuso horário na ferramenta Data e hora no painel de controlo.


Windows Server 2003, edição de 32 bits:
   Date         Time   Version            Size    File name    Folder
-------------------------------------------------------------------
05-Jul-2003 18:03 5.2.3790.68 1,182,720 Ole32.dll \rtmgdr
05-Jul-2003 18:03 5.2.3790.59 657,920 Rpcrt4.dll \rtmgdr
05-Jul-2003 18:03 5.2.3790.68 217,088 Rpcss.dll \rtmgdr
05-Jul-2003 18:01 5.2.3790.68 1,182,720 Ole32.dll \rtmqfe
05-Jul-2003 18:01 5.2.3790.63 658,432 Rpcrt4.dll \rtmqfe
05-Jul-2003 18:01 5.2.3790.68 217,600 Rpcss.dll \rtmqfe



Windows Server 2003 64-Bit Edition e Windows XP 64-Bit Edition versão 2003:
   Date         Time   Version            Size    File name                Folder
----------------------------------------------------------------------------------
05-Jul-2003 18:05 5.2.3790.68 3,549,184 Ole32.dll (IA64) \Rtmgdr
05-Jul-2003 18:05 5.2.3790.59 2,127,872 Rpcrt4.dll (IA64) \Rtmgdr
05-Jul-2003 18:05 5.2.3790.68 660,992 Rpcss.dll (IA64) \Rtmgdr
05-Jul-2003 18:03 5.2.3790.68 1,182,720 Wole32.dll (X86) \Rtmgdr\Wow
05-Jul-2003 18:03 5.2.3790.59 539,648 Wrpcrt4.dll (X86) \Rtmgdr\Wow
05-Jul-2003 18:03 5.2.3790.68 3,548,672 Ole32.dll (IA64) \Rtmqfe
05-Jul-2003 18:03 5.2.3790.63 2,128,384 Rpcrt4.dll (IA64) \Rtmqfe
05-Jul-2003 18:03 5.2.3790.68 662,016 Rpcss.dll (IA64) \Rtmqfe
05-Jul-2003 18:01 5.2.3790.68 1,182,720 Wole32.dll (X86) \Rtmqfe\Wow
05-Jul-2003 18:01 5.2.3790.63 539,648 Wrpcrt4.dll (X86) \Rtmqfe\Wow

Nota Quando instala este patch de segurança num computador que esteja a executar o Windows Server 2003 ou um Windows XP 64-Bit Edition versão 2003, o programa de instalação verifica se algum dos ficheiros que estão a ser actualizados no computador foram actualizados anteriormente através de um hotfix da Microsoft. Se instalou anteriormente um hotfix para actualizar um destes ficheiros, o programa de instalação copia os ficheiros de correcção para o computador. Caso contrário, o programa de instalação copia os ficheiros GDR para o computador.
Para obter informações adicionais, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
824994 descrição do conteúdo de um pacote de actualização de produto do Windows Server 2003

Pode verificar os ficheiros que este patch de segurança examinando a seguinte chave de registo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003 \ SP1\KB823980\Filelist

Windows XP (todas as versões)

Informações de transferência
Os seguintes ficheiros estão disponíveis para transferência a partir do Centro de Transferências da Microsoft:


Windows XP Professional e Windows XP Home EditionWindows XP 64-Bit Edition versão 2002Data de edição: 16 de Julho de 2003

Para obter informações adicionais sobre como transferir ficheiros do Microsoft Support, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
119591 como obter ficheiros de suporte da Microsoft a partir de Serviços Online
A Microsoft analisou este ficheiro quanto à presença de virus. A Microsoft utilizou o software de deteção de vírus mais atual, que estava disponível na data em que o ficheiro foi publicado. O ficheiro está armazenado em servidores com segurança melhorada, que ajudam a impedir quaisquer alterações não autorizadas ao ficheiro.
Pré-requisitos
Este patch de segurança requer a versão comercializada do Windows XP ou Windows XP Service Pack 1 (SP1). Para obter informações adicionais, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
322389 como obter o Service Pack mais recente do Windows XP
Informações de instalação
Este patch de segurança suporta os seguintes parâmetros de configuração:
  • /? : Apresenta a lista de parâmetros de instalação.
  • /u : utiliza o modo automático.
  • /f : obrigar outros programas a fechar quando o computador é encerrado.
  • /n : não efectua a cópia de ficheiros para remoção.
  • /o : substituir ficheiros OEM sem pedir confirmação.
  • /z : não reinicia quando a instalação estiver concluída.
  • /q : utilizar o modo silencioso (sem interacção do utilizador).
  • /l : lista os hotfixes instalados.
  • /x : extrair os ficheiros sem executar o programa de configuração.
Microsoft disponibilizou uma ferramenta que os administradores de rede podem utilizar para procurar uma rede para a detectar sistemas que não tenham este patch de segurança instalado.
Para obter informações adicionais sobre esta ferramenta, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
827363 como utilizar o KB 824146 ferramenta de verificação para identificar computadores anfitriões que não tenham 823980 (MS03-026) e 824146 (MS03-039) Patches de segurança instalados

Também pode verificar que o patch de segurança está instalado no computador utilizando o Microsoft Baseline Security Analyzer (MBSA), comparando as versões dos ficheiros no seu computador à lista de ficheiros na secção "Informações de ficheiros" deste artigo ou confirmando que existe a seguinte chave de registo:

Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980
Windows XP com Service Pack 1 (SP1):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980
Para obter informações adicionais sobre o Microsoft Baseline Security Analyzer (MBSA), clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
320454 está disponível o Microsoft Baseline Security Analyzer (MBSA) versão 1.1.1

Informações de implementação
Para instalar o patch de segurança sem qualquer intervenção do utilizador, utilize o seguinte comando:
WindowsXP-KB823980-x86-ENU /u /q
Para instalar o patch de segurança sem forçar o computador a reiniciar, utilize o seguinte comando:
WindowsXP-KB823980-x86-ENU /z
Nota É possível combinar estes parâmetros num comando.

Para obter informações sobre como implementar este patch de segurança com os Software Update Services, visite o seguinte Web site da Microsoft:
Requisito de reinício
Tem de reiniciar o computador depois de aplicar este patch de segurança.
Informações de remoção
Para remover este patch de segurança, utilize a ferramenta Adicionar ou remover programas no painel de controlo.

Os administradores de sistema podem utilizar o utilitário Spuninst.exe para remover este patch de segurança. O utilitário Spuninst.exe. exe está localizado na pasta %Windir%\$NTUninstallKB823980$\Spuninst. O utilitário suporta os seguintes parâmetros de configuração:
  • /? : Apresenta a lista de parâmetros de instalação.
  • /u : utiliza o modo automático.
  • /f : obrigar outros programas a fechar quando o computador é encerrado.
  • /z : não reinicia quando a instalação estiver concluída.
  • /q : utilizar o modo silencioso (sem interacção do utilizador).
Informações de substituição de patches de segurança
Para computadores baseados no Windows XP, este patch de segurança substitui o 331953 (MS03-010).

Este patch é substituído pelo 824146 (MS03-039).
Para mais informações sobre o patch de 824146 segurança (MS03-039), clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

824146 MS03-039: uma memória intermédia no RPCSS de sobrecarga da poderia permitir que um atacante execute programas maliciosos

Informações de ficheiro
A versão inglesa desta correcção tem os atributos de ficheiro (ou posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são listadas na hora universal coordenada (UTC). Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador Fuso horário na ferramenta Data e hora no painel de controlo.


Windows XP Professional e Windows XP Home Edition:

   Date         Time   Version            Size    File name
-------------------------------------------------------------------
05-Jul-2003 19:14 5.1.2600.115 1,092,096 Ole32.dll pre-SP1
05-Jul-2003 19:14 5.1.2600.109 439,296 Rpcrt4.dll pre-SP1
05-Jul-2003 19:14 5.1.2600.115 203,264 Rpcss.dll pre-SP1
05-Jul-2003 19:12 5.1.2600.1243 1,120,256 Ole32.dll with SP1
05-Jul-2003 19:12 5.1.2600.1230 504,320 Rpcrt4.dll with SP1
05-Jul-2003 19:12 5.1.2600.1243 202,752 Rpcss.dll with SP1

Windows XP 64-Bit Edition versão 2002:

   Date         Time   Version            Size    File name
--------------------------------------------------------------------------------
05-Jul-2003 19:15 5.1.2600.115 4,191,744 Ole32.dll (IA64) pre-SP1
05-Jul-2003 19:15 5.1.2600.109 2,025,472 Rpcrt4.dll (IA64) pre-SP1
05-Jul-2003 19:15 5.1.2600.115 737,792 Rpcss.dll (IA64) pre-SP1
05-Jul-2003 19:12 5.1.2600.1243 4,292,608 Ole32.dll (IA64) with SP1
05-Jul-2003 19:12 5.1.2600.1230 2,292,224 Rpcrt4.dll (IA64) with SP1
05-Jul-2003 19:12 5.1.2600.1243 738,304 Rpcss.dll (IA64) with SP1
05-Jul-2003 18:37 5.1.2600.115 1,092,096 Wole32.dll (X86) pre-SP1
03-Jan-2003 02:06 5.1.2600.109 440,320 Wrpcrt4.dll (X86) pre-SP1
05-Jul-2003 18:07 5.1.2600.1243 1,120,256 Wole32.dll (X86) with SP1
04-Jun-2003 17:35 5.1.2600.1230 505,344 Wrpcrt4.dll (X86) with SP1


Nota As versões do Windows XP deste patch são fornecidas como pacotes com duplo modo.
Para obter informações adicionais sobre pacotes de modo duplo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
Descrição de 328848 dos pacotes com duplo modo de actualização para o Windows XP


Pode verificar os ficheiros que este patch de segurança examinando a seguinte chave de registo:

Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980\Filelist
Windows XP com Service Pack 1 (SP1):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980\Filelist

Windows 2000 (todas as versões)

Informações de transferência
O ficheiro seguinte está disponível para transferência a partir do Centro de transferências da Microsoft:

Data de edição: 16 de Julho de 2003

Para obter informações adicionais sobre como transferir ficheiros do Microsoft Support, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
119591 como obter ficheiros de suporte da Microsoft a partir de Serviços Online
A Microsoft analisou este ficheiro quanto à presença de virus. A Microsoft utilizou o software de deteção de vírus mais atual, que estava disponível na data em que o ficheiro foi publicado. O ficheiro está armazenado em servidores com segurança melhorada, que ajudam a impedir quaisquer alterações não autorizadas ao ficheiro.


Nota Este patch não é suportado no Windows 2000 Datacenter Server. Para obter informações sobre como obter um patch de segurança para o Windows 2000 Datacenter Server, contacte o seu fornecedor OEM.
Para obter informações adicionais sobre o Windows 2000 Datacenter Server, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
265173 o programa Datacenter e produto de servidor do Windows 2000 Datacenter

Pré-requisitos
Este patch de segurança requer o Windows 2000 Service Pack 2 (SP2), Windows 2000 Service Pack 3 (SP3) ou Windows 2000 Service Pack 4 (SP4).

Para obter informações adicionais, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
260910 como obter o Service Pack mais recente do Windows 2000

Informações de instalação
Este patch de segurança suporta os seguintes parâmetros de configuração:
  • /? : Apresenta a lista de parâmetros de instalação.
  • /u : utiliza o modo automático.
  • /f : obrigar outros programas a fechar quando o computador é encerrado.
  • /n : não efectua a cópia de ficheiros para remoção.
  • /o : substituir ficheiros OEM sem pedir confirmação.
  • /z : não reinicia quando a instalação estiver concluída.
  • /q : utilizar o modo silencioso (sem interacção do utilizador).
  • /l : lista os hotfixes instalados.
  • /x : extrair os ficheiros sem executar o programa de configuração.
Microsoft disponibilizou uma ferramenta que pode utilizar para analisar uma rede para a detectar sistemas que não tenham este patch de segurança instalado.
Para obter informações adicionais sobre esta ferramenta, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
827363 como utilizar o KB 824146 ferramenta de verificação para identificar computadores anfitriões que não tenham 823980 (MS03-026) e 824146 (MS03-039) Patches de segurança instalados

Também pode verificar que o patch de segurança está instalado no computador utilizando o Microsoft Baseline Security Analyzer (MBSA), comparando as versões dos ficheiros no seu computador à lista de ficheiros na secção "Informações de ficheiros" deste artigo ou confirmando que existe a seguinte chave de registo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980
Para obter informações adicionais sobre o Microsoft Baseline Security Analyzer (MBSA), clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
320454 está disponível o Microsoft Baseline Security Analyzer (MBSA) versão 1.1.1

Informações de implementação
Para instalar o patch de segurança sem qualquer intervenção do utilizador, utilize o seguinte comando:
Windows2000-KB823980-x86-ENU /u /q
Para instalar o patch de segurança sem forçar o computador a reiniciar, utilize o seguinte comando:
Windows2000-KB823980-x86-ENU /z
Nota É possível combinar estes parâmetros num comando.

Para obter informações sobre como implementar este patch de segurança com os Software Update Services, visite o seguinte Web site da Microsoft:
Requisito de reinício
Tem de reiniciar o computador depois de aplicar este patch de segurança.
Informações de remoção
Para remover este patch de segurança, utilize a ferramenta Adicionar ou remover programas no painel de controlo.

Os administradores de sistema podem utilizar o utilitário Spuninst.exe para remover este patch de segurança. O utilitário Spuninst.exe. exe está localizado na pasta %Windir%\$NTUninstallKB823980$\Spuninst. O utilitário suporta os seguintes parâmetros de configuração:
  • /? : Apresenta a lista de parâmetros de instalação.
  • /u : utiliza o modo automático.
  • /f : obrigar outros programas a fechar quando o computador é encerrado.
  • /z : não reinicia quando a instalação estiver concluída.
  • /q : utilizar o modo silencioso (sem interacção do utilizador).
Informações de substituição de patches de segurança
Para computadores baseados no Windows 2000, este patch de segurança substitui o 331953 (MS03-010).

Este patch é substituído pelo 824146 (MS03-039).
Para mais informações sobre o patch de 824146 segurança (MS03-039), clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

824146 MS03-039: uma memória intermédia no RPCSS de sobrecarga da poderia permitir que um atacante execute programas maliciosos

Informações de ficheiro
A versão inglesa desta correcção tem os atributos de ficheiro (ou posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são listadas na hora universal coordenada (UTC). Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador Fuso horário na ferramenta Data e hora no painel de controlo.


   Date         Time   Version            Size    File name
--------------------------------------------------------------
05-Jul-2003 17:15 5.0.2195.6769 944,912 Ole32.dll
05-Jul-2003 17:15 5.0.2195.6753 432,400 Rpcrt4.dll
05-Jul-2003 17:15 5.0.2195.6769 188,688 Rpcss.dll

Pode verificar os ficheiros que este patch de segurança examinando a seguinte chave de registo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980\Filelist
Agora tem uma correcção suportada disponível na Microsoft, mas destina-se apenas a corrigir o problema descrito neste artigo. Aplique-a apenas em sistemas que tenham este problema específico.

Para resolver este problema, contacte o suporte técnico da Microsoft para obter a correcção. Para obter uma lista completa dos números de telefone do suporte técnico da Microsoft e informações sobre os custos de suporte, visite o seguinte Web site da Microsoft:Nota Em casos especiais, os custos normalmente inerentes às chamadas de suporte poderão ser anulados se um técnico de suporte da Microsoft determinar que uma actualização específica resolverá o problema. Os custos de normais do suporte serão aplicados a questões de suporte adicionais e problemas que não se enquadrem na atualização específica em questão.

Windows NT 4.0 (todas as versões)

Informações de transferência
Os seguintes ficheiros estão disponíveis para transferência a partir do Centro de Transferências da Microsoft:


Windows NT 4.0 Server:Servidor do Windows NT 4.0, Terminal Server Edition:Data de edição: 16 de Julho de 2003

Para obter informações adicionais sobre como transferir ficheiros do Microsoft Support, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
119591 como obter ficheiros de suporte da Microsoft a partir de Serviços Online
A Microsoft analisou este ficheiro quanto à presença de virus. A Microsoft utilizou o software de deteção de vírus mais atual, que estava disponível na data em que o ficheiro foi publicado. O ficheiro está armazenado em servidores com segurança melhorada, que ajudam a impedir quaisquer alterações não autorizadas ao ficheiro.
Pré-requisitos
Este patch de segurança requer o Windows NT 4.0 Service Pack 6a (SP6a) ou Windows NT Server 4.0, Terminal Server Edition Service Pack 6 (SP6).

Nota Este patch de segurança será instalado no Windows NT 4.0 Workstation. No entanto, a Microsoft já não suporta esta versão, em conformidade com a política de Microsoft Lifecycle Support. Além disso, este patch de segurança não foi testado no Windows NT 4.0 Workstation. Para obter informações sobre a política de Microsoft Lifecycle Support, visite o seguinte Web site da Microsoft:Para obter informações adicionais, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
152734 como obter o Service Pack mais recente do Windows NT 4.0

Informações de instalação
Este patch de segurança suporta os seguintes parâmetros de configuração:
  • /y : executar a remoção (apenas com /m ou /q ).
  • /f : forçar os programas a fechar no encerramento.
  • /n : não criar uma pasta Uninstall.
  • /z : não reiniciar após conclusão da actualização.
  • /q : modo silencioso de utilização ou automático sem interface de utilizador (este parâmetro é inclui o parâmetro /m ).
  • /m : utilizar o modo automático com interface de utilizador.
  • /l : lista os hotfixes instalados.
  • /x : extrair os ficheiros sem executar o programa de configuração.
Microsoft disponibilizou uma ferramenta que pode utilizar para analisar uma rede para a detectar sistemas que não tenham este patch de segurança instalado.
Para obter informações adicionais sobre esta ferramenta, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
827363 como utilizar o KB 824146 ferramenta de verificação para identificar computadores anfitriões que não tenham 823980 (MS03-026) e 824146 (MS03-039) Patches de segurança instalados

Também pode verificar que o patch de segurança está instalado no computador utilizando o Microsoft Baseline Security Analyzer (MBSA), comparando as versões dos ficheiros no seu computador à lista de ficheiros na secção "Informações de ficheiros" deste artigo ou confirmando que existe a seguinte chave de registo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Hotfix\Q823980
Para obter informações adicionais sobre o Microsoft Baseline Security Analyzer (MBSA), clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
320454 está disponível o Microsoft Baseline Security Analyzer (MBSA) versão 1.1.1

Informações de implementação
Para instalar o patch de segurança sem qualquer intervenção do utilizador, utilize o seguinte comando:
Q823980i /q
Para instalar o patch de segurança sem forçar o computador a reiniciar, utilize o seguinte comando:
Q823980i /z
Nota É possível combinar estes parâmetros num comando.

Para obter informações sobre como implementar este patch de segurança com os Software Update Services, visite o seguinte Web site da Microsoft:
Requisito de reinício
Tem de reiniciar o computador depois de aplicar este patch de segurança.
Informações de remoção
Para remover este patch de segurança, utilize a ferramenta Adicionar ou remover programas no painel de controlo.

Os administradores de sistema podem utilizar o utilitário Spuninst.exe para remover este patch de segurança. O utilitário Spuninst.exe. exe está localizado na pasta %Windir%\$NTUninstallKB823980$\Spuninst. O utilitário suporta os seguintes parâmetros de configuração:
  • /? : Apresenta a lista de parâmetros de instalação.
  • /u : utiliza o modo automático.
  • /f : obrigar outros programas a fechar quando o computador é encerrado.
  • /z : não reinicia quando a instalação estiver concluída.
  • /q : utilizar o modo silencioso (sem interacção do utilizador).
Informações de substituição de patches de segurança
Para computadores baseados no Windows NT 4.0, este patch de segurança substitui o patch de segurança que é fornecido com o boletim de segurança da Microsoft MS01-048.

Este patch é substituído pelo 824146 (MS03-039).
Para mais informações sobre o patch de 824146 segurança (MS03-039), clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

824146 MS03-039: uma memória intermédia no RPCSS de sobrecarga da poderia permitir que um atacante execute programas maliciosos

Informações de ficheiro
A versão inglesa desta correcção tem os atributos de ficheiro (ou posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são listadas na hora universal coordenada (UTC). Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador Fuso horário na ferramenta Data e hora no painel de controlo.


Windows NT 4.0 Server:
   Date         Time  Version           Size     File name
--------------------------------------------------------------
05-Jul-2003 5:26 4.0.1381.7224 701,200 Ole32.dll
05-Jul-2003 5:26 4.0.1381.7219 345,872 Rpcrt4.dll
05-Jul-2003 5:26 4.0.1381.7224 107,280 Rpcss.exe

Servidor do Windows NT 4.0, Terminal Server Edition:
   Date         Time  Version           Size     File name
--------------------------------------------------------------
07-Jul-2003 3:29 4.0.1381.33549 701,712 Ole32.dll
07-Jul-2003 3:29 4.0.1381.33474 345,360 Rpcrt4.dll
07-Jul-2003 3:29 4.0.1381.33549 109,328 Rpcss.exe

Para verificar que o patch de segurança foi instalado no computador, confirme se todos os ficheiros que estão listados na tabela estão presentes no seu computador.

Solução alternativa

Embora a Microsoft aconselhe todos os clientes a aplicarem o patch de segurança na primeira oportunidade, existem várias formas de contornar que pode utilizar entretanto para ajudar a impedir o vector que é utilizado para explorar esta vulnerabilidade.

Estas medidas são temporárias. Apenas ajudam a bloquear os caminhos de ataque. Não corrigem a vulnerabilidade subjacente.

As secções seguintes fornecem informações que pode utilizar para ajudar a proteger o computador contra ataques. Cada secção descreve as soluções alternativas que pode utilizar, dependendo da configuração do computador e o nível de funcionalidade necessário.
  • UDP de bloquear as portas 135, 137, 138 e 445 e portas TCP 135, 139, 445 e 593 no firewall e desactivar os serviços de Internet COM (CIS) e RPC sobre HTTP, que escutam nas portas 80 e 443, nos computadores afectados. Estas portas são utilizadas para iniciar uma ligação de RPC com um computador remoto. O bloqueio destas portas na firewall ajuda a impedir que sistemas atrás da firewall sejam atacados por tentativas de explorar estas vulnerabilidades. Também deverá bloquear outras portas RPC especificamente configuradas no computador remoto.

    Se activado, CIS e RPC sobre HTTP permitem chamadas DCOM funcionar em portas TCP 80 (e a porta 443 no Windows XP e Windows Server 2003). Certifique-se de que os CIS e RPC sobre HTTP estão desactivados em todos os computadores afectados.

    Para obter informações adicionais sobre como desactivar o CIS, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
    825819 como remover COM Internet Services (CIS) e o RPC sobre HTTP Proxy suporte

    Para obter informações adicionais sobre RPC sobre HTTP, visite o seguinte Web site da Microsoft:Além disso, os clientes poderão ter configurado serviços ou protocolos que utilizam RPC, que também poderão ser acedido a partir da Internet. Os administradores de sistemas são fortemente encorajados para examinar as portas RPC que são expostas à Internet e que bloqueiem estas portas no firewall ou para aplicar imediatamente o patch.
  • Firewall de ligação à Internet de utilização e desactivar os serviços de Internet COM (CIS) e RPC sobre HTTP, que escutam nas portas 80 e 443, nos computadores afectados. Se estiver a utilizar a funcionalidade de Firewall de ligação à Internet no Windows XP ou no Windows Server 2003 para ajudar a proteger a ligação à Internet, por predefinição bloqueará RPC a receber o tráfego da Internet. Certifique-se de que os CIS e RPC sobre HTTP estão desactivados em todos os computadores afectados.
    Para obter informações adicionais sobre como desactivar o CIS, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
    825819 como remover COM Internet Services (CIS) e o RPC sobre HTTP Proxy suporte

    Para obter informações adicionais sobre RPC sobre HTTP, visite o seguinte Web site da Microsoft:
  • Bloquear as portas afectadas utilizando um filtro IPSEC e desactivar serviços de Internet COM (CIS) e RPC sobre HTTP, que escutam nas portas 80 e 443, nos computadores afectados Pode proteger as comunicações de rede em computadores baseados no Windows 2000 se utilizar a segurança do protocolo Internet (IPSec).
    Para obter informações adicionais sobre o IPSec e sobre como aplicar filtros, clique nos números de artigo que se segue para visualizar os artigos na Microsoft Knowledge Base:
    313190 como: utilizar o filtro IP da IPSec lista no Windows 2000

    813878 como bloquear portas e protocolos de rede específicos, utilizando IPSec

    Certifique-se de que os CIS e RPC sobre HTTP estão desactivados em todos os computadores afectados. Para obter informações adicionais sobre como desactivar o CIS, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
    825819 como remover COM Internet Services (CIS) e o RPC sobre HTTP Proxy suporte

  • Desactivar DCOM em todos os computadores afectados: Quando um computador fizer parte de uma rede, o protocolo de rede DCOM permite que objectos COM nesse computador comuniquem com objectos COM existentes noutros computadores.

    Pode desactivar o DCOM para um determinado computador para ajudar a proteger contra esta vulnerabilidade, mas este procedimento desactiva todas as comunicações entre objectos nesse computador e noutros computadores. Se desactivar o DCOM num computador remoto, pode, em seguida, não é possível aceder remotamente a esse computador para reactivar DCOM. Para reactivar DCOM, tem de ter acesso físico a esse computador.
    Para obter informações adicionais sobre como desactivar o DCOM, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
    825750 como desactivar DCOM Support in Windows

    Nota Para o Windows 2000, os métodos descritos na Microsoft Knowledge Base artigo 825750 para desactivar o DCOM irá apenas funcionam em computadores que executem o Windows 2000 Service Pack 3 ou posterior. Os clientes que utilizem o Service Pack 2 ou anterior devem actualizar para um service pack mais recente ou utilizar uma das outras soluções.

Estado

A Microsoft confirmou que este problema pode causar um grau de vulnerabilidade da segurança nos produtos da Microsoft listados no início deste artigo.

Mais informações

Para mais informações sobre esta vulnerabilidade, visite o seguinte Web site da Microsoft:Para mais informações sobre como proteger o RPC em clientes e servidores, visite o seguinte Web site da Microsoft:Para mais informações sobre as portas utilizadas pelo RPC, visite o seguinte Web site da Microsoft:Para obter informações adicionais sobre o vírus worm Blaster que tenta explorar a vulnerabilidade corrigida por este patch de segurança, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
826955 alerta de vírus sobre o Worm Blaster e respectivas variantes

Para obter informações adicionais sobre o vírus do ' worm ' Nachi que tenta explorar a vulnerabilidade corrigida por este patch de segurança, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
Alerta de vírus 826234 sobre o ' Worm ' Nachi

Para obter informações adicionais sobre como obter uma correcção para o Windows 2000 Datacenter Server, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
265173 o programa Datacenter e produto de servidor do Windows 2000 Datacenter

Propriedades

ID do Artigo: 823980 - Última Revisão: 21/02/2017 - Revisão: 2

Comentários