Modelo do MSRC ppDocument

Boletim de Segurança da Microsoft MS15-025 - Importante

Vulnerabilidades no kernel do Windows podem permitir elevação de privilégio (3038680)

Publicado em: 10.03.2015 | Atualizado em: 16.03.2015

Versão: 2.0

Sinopse

Esta atualização de segurança elimina vulnerabilidades no Microsoft Windows. A mais severa das vulnerabilidades poderá permitir a elevação de privilégio se um atacante se conectar a um sistema afetado e executar um aplicativo especialmente criado. Um atacante que tenha explorar com êxito as vulnerabilidades pode executar um código arbitrário no contexto de segurança da conta de outro usuário que está conectado no sistema afetado. Um atacante poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com possíveis direitos totais de usuário.

Essa atualização de segurança foi classificada como Importante para todas as versões com suporte do Microsoft Windows. Para obter mais informações, consulte a seção Software Afetado.

A atualização de segurança aborda as vulnerabilidades corrigindo como a Virtualização de Registro do Windows lida com o repositório virtual de outros usuários e como o Windows valida os níveis de representação. Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre vulnerabilidade.

Para obter mais informações sobre essa atualização, consulte o artigo 3038680 da Base de Dados de Conhecimento da Microsoft.

Softwares afetados

As seguinte versões ou edições de software foram afetadas. As versões ou edições que não estão listadas já passaram de seu ciclo de vida do suporte ou não foram afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do suporte da Microsoft.

**Sistema operacional** **Impacto máximo à segurança** **Avaliação de gravidade agregada** **Atualizações substituídas**
**Windows Server 2003**
[Windows Server 2003 Service Pack 2](http://www.microsoft.com/pt-br/download/details.aspx?id=45968) (3033395-v2) Elevação de privilégio Importante 2859537 em [MS13-063](https://technet.microsoft.com/pt-br/security/bulletin/ms13-063)
[Microsoft Windows Server 2003 x64 Edition Service Pack 2](http://www.microsoft.com/pt-br/download/details.aspx?id=45937) (3033395-v2) Elevação de privilégio Importante 2813170 no [MS13-031](https://technet.microsoft.com/pt-br/security/bulletin/ms13-031)
[Windows Server 2003 com SP2 para sistemas baseados no Itanium](http://www.microsoft.com/downloads/details.aspx?familyid=99af9e61-65f7-4636-847c-8ab6f0cfa748) (3033395-v2) Elevação de privilégio Importante 2813170 no [MS13-031](https://technet.microsoft.com/pt-br/security/bulletin/ms13-031)
**Windows Vista**
[Windows Vista Service Pack 2](http://www.microsoft.com/pt-br/download/details.aspx?id=46008) (3035131) Elevação de privilégio Importante Nenhuma
[Windows Vista x64 Edition Service Pack 2](http://www.microsoft.com/pt-br/download/details.aspx?id=46043) (3035131) Elevação de privilégio Importante Nenhuma
**Windows Server 2008**
[Windows Server 2008 para sistemas de 32 bits Service Pack 2](http://www.microsoft.com/pt-br/download/details.aspx?id=46023) (3035131) Elevação de privilégio Importante Nenhuma
[Windows Server 2008 Service Pack 2 para sistemas baseados em x64](http://www.microsoft.com/pt-br/download/details.aspx?id=46022) (3035131) Elevação de privilégio Importante Nenhuma
[Windows Server 2008 para sistemas Itanium Service Pack 2](http://www.microsoft.com/downloads/details.aspx?familyid=a08d2497-e988-41c2-a190-637acae8bdc4) (3035131) Elevação de privilégio Importante Nenhuma
**Windows 7**
[Windows 7 para sistemas de 32 bits Service Pack 1](http://www.microsoft.com/pt-br/download/details.aspx?id=46017) (3035131)[1] Elevação de privilégio Importante 3023562 no [MS15-010](https://technet.microsoft.com/pt-br/library/security/ms15-010)
[Windows 7 para Sistemas Service Pack 1 baseados em x64](http://www.microsoft.com/pt-br/download/details.aspx?id=46009) (3035131)[1] Elevação de privilégio Importante 3023562 no [MS15-010](https://technet.microsoft.com/pt-br/library/security/ms15-010)
**Windows Server 2008 R2**
[Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em x64](http://www.microsoft.com/pt-br/download/details.aspx?id=45941) (3035131)[1] Elevação de privilégio Importante 3023562 no [MS15-010](https://technet.microsoft.com/pt-br/library/security/ms15-010)
[Windows Server 2008 R2 Service Pack 1 para sistemas baseados no Itanium](http://www.microsoft.com/downloads/details.aspx?familyid=4eca4094-670f-482f-841e-e98f3325159d) (3035131)[1] Elevação de privilégio Importante 3023562 no [MS15-010](https://technet.microsoft.com/pt-br/library/security/ms15-010)
**Windows 8 e Windows 8.1**
[Windows 8 para sistemas baseados em 32 bits](http://www.microsoft.com/pt-br/download/details.aspx?id=45928) (3035131) Elevação de privilégio Importante 3023562 no [MS15-010](https://technet.microsoft.com/pt-br/library/security/ms15-010)
[Windows 8 para sistemas baseados em x64](http://www.microsoft.com/pt-br/download/details.aspx?id=45989) (3035131) Elevação de privilégio Importante 3023562 no [MS15-010](https://technet.microsoft.com/pt-br/library/security/ms15-010)
[Windows 8.1 para sistemas baseados em 32 bits](http://www.microsoft.com/pt-br/download/details.aspx?id=46037) (3035131) Elevação de privilégio Importante 3031432 no [MS15-015](https://technet.microsoft.com/pt-br/library/security/ms15-015)
[Windows 8.1 para sistemas baseados em x64](http://www.microsoft.com/pt-br/download/details.aspx?id=46036) (3035131) Elevação de privilégio Importante 3031432 no [MS15-015](https://technet.microsoft.com/pt-br/library/security/ms15-015)
**Windows Server 2012 e Windows Server 2012 R2**
[Windows Server 2012](http://www.microsoft.com/pt-br/download/details.aspx?id=46020) (3035131) Elevação de privilégio Importante 3023562 no [MS15-010](https://technet.microsoft.com/pt-br/library/security/ms15-010)
[Windows Server 2012 R2](http://www.microsoft.com/pt-br/download/details.aspx?id=45991) (3035131) Elevação de privilégio Importante 3031432 no [MS15-015](https://technet.microsoft.com/pt-br/library/security/ms15-015)
**Windows RT e Windows RT 8.1**
Windows RT[2] (3035131) Elevação de privilégio Importante 3023562 no [MS15-010](https://technet.microsoft.com/pt-br/library/security/ms15-010)
Windows RT 8.1[2] (3035131) Elevação de privilégio Importante 3031432 no [MS15-015](https://technet.microsoft.com/pt-br/library/security/ms15-015)
**Opção de instalação Server Core**
[Windows Server 2008 Service Pack 2 para sistemas de 32 bits](http://www.microsoft.com/pt-br/download/details.aspx?id=46023) (instalação Server Core) (3035131) Elevação de privilégio Importante Nenhuma
[Windows Server 2008 Service Pack 2 para sistemas baseados em x64](http://www.microsoft.com/pt-br/download/details.aspx?id=46022) (instalação Server Core) (3035131) Elevação de privilégio Importante Nenhuma
[Windows Server 2008 R2 Service Pack 1 para sistemas baseados em x64](http://www.microsoft.com/pt-br/download/details.aspx?id=45941) (instalação Server Core) (3035131)[1] Elevação de privilégio Importante 3023562 no [MS15-010](https://technet.microsoft.com/pt-br/library/security/ms15-010)
[Windows Server 2012](http://www.microsoft.com/pt-br/download/details.aspx?id=46020) (instalação Server Core) (3035131) Elevação de privilégio Importante 3023562 no [MS15-010](https://technet.microsoft.com/pt-br/library/security/ms15-010)
[Windows Server 2012 R2](http://www.microsoft.com/pt-br/download/details.aspx?id=45991) (instalação Server Core) (3035131) Elevação de privilégio Importante 3031432 no [MS15-015](https://technet.microsoft.com/pt-br/library/security/ms15-015)
[1]A atualização 3035131 para Windows 7 e Windows Server 2008 R2 afetou binários em comum com a atualização sendo lançada simultaneamente através do [Comunicado de Segurança 3033929](https://technet.microsoft.com/pt-br/library/security/3033929). Consulte a entrada Perguntas Frequentes de Atualização nesse boletim para saber como isso pode impactar os clientes que baixam e instalam atualizações manualmente.

[2]A atualização está disponível apenas no Windows Update.

Perguntas frequentes de atualização

Como a atualização 3035131 está relacionada ao Comunicado de Segurança 3033929?
Para Windows 7 e Windows Server 2008 R2, a atualização 3035131 discutida nesse boletim compartilha binários afetados com a atualização sendo lançada simultaneamente através do Comunicado de Segurança 3033929. Essa sobreposição nos binários afetados necessita que uma atualização substitua a outra e, nesse caso, a atualização do comunicado 3033929 que substitui a atualização 3035131. Os clientes com atualização automática habilitada devem enfrentar comportamento de instalação incomum; ambas as atualizações devem ser instaladas automaticamente e devem aparecer na lista de atualizações instaladas. No entanto, para clientes que baixaram e instalaram atualizações manualmente, a ordem na qual as atualizações são instaladas determinará o comportamento observado como a seguir:

  1. Cenário 1 (preferido): O cliente primeiro instala a atualização 3035131 e, em seguida, instala a atualização do comunicado 3033929. Resultado: As duas atualizações devem instalar normalmente e devem aparecer na lista de atualizações instaladas.   
  2. Cenário 2: O cliente primeiro instala atualização do comunicado 3033929 e, em seguida, tenta instalar a atualização 3035131. Resultado: O instalador notifica o usuário de que a atualização 3035131 já está instalada no sistema; e a atualização 3035131 NÃO é adicionada à lista de atualizações instaladas.

Classificação de gravidade e Identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, dentro de 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de exploração no resumo de boletins de março.

**A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado**
**Softwares afetados** [**Vulnerabilidade de elevação de privilégio da virtualização do registro - CVE-2015-0073**](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-0073) [**Vulnerabilidade de elevação de privilégio de verificação do nível de representação - CVE-2015-0075**](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-0075) **Avaliação de gravidade agregada**
**Windows Server 2003**
Windows Server 2003 Service Pack 2 (3033395-v2) Não Aplicável **Importante** Elevação de Privilégio **Importante**
Microsoft Windows Server 2003 x64 Edition Service Pack 2 (3033395-v2) Não Aplicável **Importante** Elevação de Privilégio **Importante**
Windows Server 2003 com SP2 para sistemas baseados no Itanium (3033395-v2) Não Aplicável **Importante** Elevação de Privilégio **Importante**
**Windows Vista**
Windows Vista Service Pack 2 (3035131) **Importante** Elevação de Privilégio **Importante** Elevação de Privilégio **Importante**
Windows Vista x64 Edition Service Pack 2 (3035131) **Importante** Elevação de Privilégio **Importante** Elevação de Privilégio **Importante**
**Windows Server 2008**
Windows Server 2008 para sistemas de 32 bits Service Pack 2 (3035131) **Importante** Elevação de Privilégio **Importante** Elevação de Privilégio **Importante**
Windows Server 2008 Service Pack 2 para sistemas baseados em x64 (3035131) **Importante** Elevação de Privilégio **Importante** Elevação de Privilégio **Importante**
Windows Server 2008 para sistemas Itanium Service Pack 2 (3035131) **Importante** Elevação de Privilégio **Importante** Elevação de Privilégio **Importante**
**Windows 7**
Windows 7 para sistemas de 32 bits Service Pack 1 (3035131) **Importante** Elevação de Privilégio **Importante** Elevação de Privilégio **Importante**
Windows 7 para Sistemas Service Pack 1 baseados em x64 (3035131) **Importante** Elevação de Privilégio **Importante** Elevação de Privilégio **Importante**
**Windows Server 2008 R2**
Windows Server 2008 R2 para Sistemas Service Pack 1 baseados em x64 (3035131) **Importante** Elevação de Privilégio **Importante** Elevação de Privilégio **Importante**
Windows Server 2008 R2 Service Pack 1 para sistemas baseados no Itanium (3035131) **Importante** Elevação de Privilégio **Importante** Elevação de Privilégio **Importante**
**Windows 8 e Windows 8.1**
Windows 8 para sistemas baseados em 32 bits (3035131) **Importante** Elevação de Privilégio Não Aplicável **Importante**
Windows 8 para sistemas baseados em x64 (3035131) **Importante** Elevação de Privilégio Não Aplicável **Importante**
Windows 8.1 para sistemas baseados em 32 bits (3035131) **Importante** Elevação de Privilégio Não Aplicável **Importante**
Windows 8.1 para sistemas baseados em x64 (3035131) **Importante** Elevação de Privilégio Não Aplicável **Importante**
**Windows Server 2012 e Windows Server 2012 R2**
Windows Server 2012 (3035131) **Importante** Elevação de Privilégio Não Aplicável **Importante**
Windows Server 2012 R2 (3035131) **Importante** Elevação de Privilégio Não Aplicável **Importante**
**Windows RT e Windows RT 8.1**
Windows RT (3035131) **Importante** Elevação de Privilégio Não Aplicável **Importante**
Windows RT 8.1 (3035131) **Importante** Elevação de Privilégio Não Aplicável **Importante**
**Opção de instalação Server Core**
Windows Server 2008 Service Pack 2 para sistemas de 32 bits (instalação Server Core) (3035131) **Importante** Elevação de Privilégio **Importante** Elevação de Privilégio **Importante**
Windows Server 2008 Service Pack 2 para sistemas baseados em x64 (instalação Server Core) (3035131) **Importante** Elevação de Privilégio **Importante** Elevação de Privilégio **Importante**
Windows Server 2008 R2 Service Pack 1 para sistemas baseados em x64 (instalação Server Core) (3035131) **Importante** Elevação de Privilégio **Importante** Elevação de Privilégio **Importante**
Windows Server 2012 (instalação Server Core) (3035131) **Importante** Elevação de Privilégio Não Aplicável **Importante**
Windows Server 2012 R2 (instalação Server Core) (3035131) **Importante** Elevação de Privilégio Não Aplicável **Importante**

Informações sobre a vulnerabilidade

Vulnerabilidade de elevação de privilégio da virtualização do registro - CVE-2015-0073

Há uma vulnerabilidade de elevação de privilégio na forma que a Virtualização do Registro do Windows permite incorretamente um usuário a modificar o repositório virtual de outro usuário. Um atacante que tenha explorar com êxito essa vulnerabilidade pode executar um código arbitrário no contexto de segurança da conta de outro usuário que está conectado no sistema afetado. Um atacante poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com possíveis direitos totais de usuário.

Para explorar essa vulnerabilidade, primeiro o atacante precisa fazer logon no sistema. Um atacante pode executar um aplicativo especialmente criado que pode explorar a vulnerabilidade e tomar controle da conta de outro usuário que está conectado no sistema afetado. A atualização aborda a vulnerabilidade corrigindo como a Virtualização de Registro do Windows lida com o repositório virtual de outros usuários.

A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. Quando esse boletim de segurança foi originalmente emitido, a Microsoft ainda não tinha recebido informações que indicassem que a vulnerabilidade tinha sido usada de forma pública para atacar clientes.

Fatores atenuantes

Os seguintes fatores atenuantes podem ser úteis no seu caso:

  • Somente os processos que usam Virtualização de Registro são afetados por essa vulnerabilidade.
    • A virtualização de Registro está habilitada somente para o seguinte:

      • processos interativos de 32 bits

      • Chaves em HKEY_LOCAL_MACHINE\Software

      • Chaves que um administrador pode gravar.

        (Se um administrador não pode gravar em uma chave, o aplicativo pode ter falhado nas versões anteriores do Windows mesmo se foi executado por um administrador.)

    • A virtualização de Registro está desabilitada para o seguinte:

      • processos de 64 bits não são interativos, como serviços.
        Observação Usando o Registro como mecanismo de comunicação entre processos (IPC) entre um serviço (ou qualquer outro processo que não tem a virtualização habilitada) e um aplicativo não funcionará corretamente se a chave for virtualizada. Por exemplo, se um serviço antivírus atualiza seus arquivos de assinatura baseados em um valor definido por um aplicativo, o serviço nunca atualizará seus arquivos de assinatura porque o serviço lê do repositório global, mas o aplicativo grava no repositório virtual. Processos que representam um usuário. Se um processo tenta uma operação enquanto representa um usuário, essa operação não será virtualizada. Processos do modo kernel como drivers.

      • Processos quem têm requestedExecutionLevel especificado em seus manifestos.

      • Chaves e subchaves de HKEY_LOCAL_MACHINE\Software\Classes, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows e HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT.

        Consulte Virtualização do Registro para obter mais informações.

Soluções alternativas

As seguintes soluções alternativas podem ser úteis em seu caso:

  • Desabilitar Virtualização do Registro

    Usando Diretiva de Grupo:

    O Controle de Conta de Usuário: A configuração da política Virtualizar o arquivo e falhas de gravação do Registro para locais por usuário controla se as falhas de gravação do aplicativo são redirecionadas para o Registro definido e locais do sistema de arquivo. Essa configuração da política reduz os aplicativos que executam como administrador e gravam dados do aplicativo de tempo de execução para %ProgramFiles%, %Windir%, %Windir%\system32 ou HKLM\Software.

    As opções são:

    • Habilitado. (Padrão) Falhas de gravação do aplicativo são redirecionadas no tempo de execução para locais definidos pelo usuário para o sistema de arquivos e o Registro.
    • **Desabilitado.**Aplicativos que gravam dados em locais protegidos falham.

    Usando as configurações do Registro:

    Na chave do Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, defina o valor DWORD "EnableVirtualization" para 0 para desabilitar a virtualização de arquivo e Registro ou 1 para habilitar (esse é o padrão)

    Para obter mais informações, consulte Controle de Conta de Usuário: Virtualizar falhas de gravação de arquivo e Registro para locais por usuário.

    Impacto da solução alternativa. Software que depende de poder gravar no Registro protegido e locais do sistema de arquivos podem não funcionar corretamente.

Vulnerabilidade de elevação de privilégio de verificação do nível de representação - CVE-2015-0075

Existe uma vulnerabilidade na elevação de privilégio quando o Windows falha em validar corretamente e impor os níveis de representação. Um atacante que tenha explorado com êxito essa vulnerabilidade poderá ignorar verificações de conta de usuário para obter privilégios elevados.

Para explorar essa vulnerabilidade, primeiro o atacante precisa fazer logon no sistema. O atacante pode executar um aplicativo especialmente criado projetado para aumentar os privilégios. A atualização aborda a vulnerabilidade corrigindo como o Windows valida os níveis de representação.

A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. Quando esse boletim de segurança foi originalmente emitido, a Microsoft ainda não tinha recebido informações que indicassem que a vulnerabilidade tinha sido usada de forma pública para atacar clientes.

Fatores atenuantes

A Microsoft não identificou quaisquer fatores atenuantes para essa vulnerabilidade.

Soluções alternativas

A Microsoft não identificou nenhuma solução alternativa para esta vulnerabilidade.

 

Agradecimentos

A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação responsável de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (10.03.15): Boletim publicado.
  • V2.0 (16.03.2015): Para abordar um problemas de empacotamento para clientes para os quais a atualização de segurança 3033395 está sendo oferecida novamente quando instalada em sistemas executando as edições com suporte do Windows Server 2003, a Microsoft lançou a atualização 3033395-v2 para todas as edições com suporte do Windows Server 2003. Os clientes que ainda não instalaram a atualização 3033395 devem instalar a atualização 3033395-v2 para estarem totalmente protegidos desta vulnerabilidade. Para evitar a possibilidade de problemas de lógica de detecção futuros, a Microsoft recomenda que os clientes que estão executando o Windows Server 2003 que já instalaram com sucesso a atualização 3033395 também apliquem a atualização 3033395-v2 mesmo que já estejam protegidos desta vulnerabilidade. Os clientes que executam outros sistemas operacionais da Microsoft não são afetados por este relançamento e não precisam tomar nenhuma providência. Consulte o artigo 3033395 da Base de Dados de Conhecimento Microsoft para obter mais informações.

Página gerada em 16.03.15 14:59Z-07:00.