Boletim de Segurança da Microsoft MS16-017 – Importante
Atualização de segurança do driver de exibição da Área de Trabalho Remota para resolver a elevação de privilégio (3134700)
Publicado em: 9 de fevereiro de 2016
Versão: 1.0
Resumo executivo
Essa atualização de segurança resolve uma vulnerabilidade no Microsoft Windows. A vulnerabilidade poderá permitir a elevação de privilégio se um invasor autenticado fizer logon no sistema de destino usando RDP e enviar dados especialmente criados pela conexão. Por padrão, o RDP não está habilitado em nenhum sistema operacional Windows. Sistemas que não têm RDP habilitado não estão em risco.
Esta atualização de segurança é classificada como Importante para todas as edições com suporte do Windows 7, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 e Windows 10. Para obter mais informações, consulte a seção Software Afetado .
A atualização de segurança resolve a vulnerabilidade corrigindo como o RDP lida com objetos na memória. Para obter mais informações sobre a vulnerabilidade, consulte a seção Informações de vulnerabilidade .
Para obter mais informações sobre essa atualização, consulte o Artigo 3134700 da Base de Dados de Conhecimento Microsoft.
Classificações de severidade de vulnerabilidade e software afetadas
As versões ou edições de software a seguir são afetadas. Versões ou edições que não estão listadas estão além do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Suporte da Microsoft Ciclo de vida.
As classificações de severidade indicadas para cada software afetado pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da explorabilidade da vulnerabilidade em relação à classificação de gravidade e ao impacto de segurança, consulte o Índice de Exploração no resumo do boletim de fevereiro.
| Sistema operacional | Vulnerabilidade de elevação de privilégio do PROTOCOLO RDP (Remote Desktop Protocol) – CVE-2016-0036 | Atualizações substituído* |
|---|---|---|
| Windows 7 | ||
| Windows 7 para sistemas de 32 bits Service Pack 1 (3126446)[1] | Importante Elevação de privilégio | 3069762 no MS15-067 |
| Windows 7 para sistemas baseados em x64 Service Pack 1 (3126446)[1] | Importante Elevação de privilégio | 3069762 no MS15-067 |
| Windows 8.1 | ||
| Windows 8.1 para sistemas de 32 bits (3126446) | Importante Elevação de privilégio | 3035017 no MS15-030 |
| Windows 8.1 para sistemas baseados em x64 (3126446) | Importante Elevação de privilégio | 3035017 no MS15-030 |
| Windows Server 2012 e Windows Server 2012 R2 | ||
| Windows Server 2012 (3126446) | Importante Elevação de privilégio | 3067904 no MS15-067 |
| Windows Server 2012 R2 (3126446) | Importante Elevação de privilégio | 3035017 no MS15-030 |
| Windows 10 | ||
| Windows 10 para sistemas de 32 bits[2](3135174) | Importante Elevação de privilégio | 3124266 |
| Windows 10 para sistemas baseados em x64[2](3135174) | Importante Elevação de privilégio | 3124266 |
| Opção de instalação do Server Core | ||
| Windows Server 2012 (instalação Server Core) (3126446) | Importante Elevação de privilégio | 3067904 no MS15-067 |
| Windows Server 2012 R2 (instalação Server Core) (3126446) | Importante Elevação de privilégio | 3035017 no MS15-030 |
[1]As edições Enterprise e Ultimate do Windows 7 são afetadas. Todas as edições com suporte do Windows 7 serão afetadas se o RDP 8.0 estiver instalado no sistema. Consulte as Perguntas frequentes sobre atualização para obter mais informações.
[2]As atualizações do Windows 10 são cumulativas. Além de conter atualizações não relacionadas à segurança, elas também contêm todas as correções de segurança para todas as vulnerabilidades afetadas pelo Windows 10 enviadas com a versão de segurança mensal. A atualização está disponível por meio do Catálogo Windows Update.
*A coluna Atualizações Substituída mostra apenas a atualização mais recente em qualquer cadeia de atualizações substituídas. Para obter uma lista abrangente de atualizações substituídas, acesse o Catálogo do Microsoft Update, pesquise o número de KB de atualização e exiba os detalhes da atualização (as informações substituídas por atualizações são fornecidas na guia Detalhes do Pacote).
Perguntas frequentes sobre atualização
Quais edições do Windows 7 são afetadas?
As edições Enterprise e Ultimate do Windows 7 são afetadas. Todas as edições com suporte do Windows 7 serão afetadas se o RDP 8.0 estiver instalado no sistema. Para clientes que executam o RDP 8.0 em sistemas locais que não precisam dos novos recursos do lado do servidor fornecidos no RDP 8.0, a Microsoft recomenda atualizar para o RDP 8.1 e não aplicar (ou remover) a atualização 3126446.
Informações de vulnerabilidade
Vulnerabilidade de elevação de privilégio do PROTOCOLO RDP (Remote Desktop Protocol) – CVE-2016-0036
Existe uma vulnerabilidade de elevação de privilégio no PROTOCOLO RDP quando um invasor faz logon no sistema de destino usando RDP e envia dados especialmente criados pela conexão autenticada. Um invasor que explorou com êxito essa vulnerabilidade pode executar código com privilégios elevados. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais.
Para explorar essa vulnerabilidade, primeiro um invasor teria que fazer logon no sistema de destino usando o PROTOCOLO RDP. Um invasor poderia executar um aplicativo especialmente criado que foi projetado para criar a condição de falha que leva a privilégios elevados. A atualização resolve a vulnerabilidade corrigindo como o RDP lida com objetos na memória.
A tabela a seguir contém links para a entrada padrão para cada vulnerabilidade na lista Vulnerabilidades e Exposições Comuns:
| Título da vulnerabilidade | Número CVE | Divulgado publicamente | Explorado |
|---|---|---|---|
| Vulnerabilidade de elevação de privilégio do PROTOCOLO RDP | CVE-2016-0036 | Não | Não |
Atenuando fatores
A Microsoft não identificou nenhum fator atenuante para essa vulnerabilidade.
Soluções Alternativas
As seguintes soluções alternativas podem ser úteis em sua situação:
Desabilitar o RDP
Para desabilitar o RDP usando Política de Grupo
Abrir Política de Grupo
Em Configuração do Computador, Modelos Administrativos, Componentes do Windows, Serviços de Terminal, clique duas vezes na configuração Permitir que os usuários se conectem remotamente usando os Serviços de Terminal .
Realize um dos seguintes procedimentos:
- Para habilitar a Área de Trabalho Remota, clique em Habilitado.
- Para desabilitar a Área de Trabalho Remota, clique em Desabilitado.
Se você desabilitar a Área de Trabalho Remota enquanto os usuários estiverem conectados aos computadores de destino, os computadores manterão suas conexões atuais, mas não aceitarão novas conexões de entrada.
Importante Ao habilitar a Área de Trabalho Remota em um computador, você habilita a funcionalidade para que outros usuários e grupos façam logon remotamente no computador. No entanto, você também deve decidir quais usuários e grupos devem ser capazes de fazer logon remotamente e, em seguida, adicioná-los manualmente ao grupo Usuários da Área de Trabalho Remota. Para obter mais informações, consulte Habilitando os usuários a se conectarem remotamente ao servidor e Adicionar usuários ao grupo Usuários da Área de Trabalho Remota.
Você deve testar detalhadamente as alterações feitas em Política de Grupo configurações antes de aplicá-las a usuários ou computadores. Para obter mais informações sobre como testar as configurações de política, consulte Conjunto resultante de política.
Observação:
- Para executar esse procedimento, você deve ser membro do grupo Administradores no computador local ou deve ter recebido a autoridade apropriada. Se o computador estiver em um domínio, é possível que os membros do grupo Admins. do Domínio possam executar esse procedimento. Como prática recomendada de segurança, considere o uso de Executar como para executar esse procedimento.
- Use o procedimento acima para configurar o objeto Política de Grupo local. Para alterar uma política para um domínio ou uma unidade organizacional, você deve fazer logon no controlador de domínio primário como administrador. Em seguida, você deve começar Política de Grupo usando o snap-in Usuários e Computadores do Active Directory.
- Se a configuração Permitir que os usuários se conectem remotamente usando os Serviços de Terminal Política de Grupo estiver definida como Não Configurado, a configuração Habilitar Área de Trabalho Remota neste computador (na guia Remoto da caixa de diálogo Propriedades do Sistema) nos computadores de destino terá precedência. Caso contrário, a configuração Permitir que os usuários se conectem remotamente usando os Serviços de Terminal Política de Grupo terá precedência.
- Esteja ciente das implicações de segurança de logons remotos. Os usuários que fazem logon remotamente podem executar tarefas como se estivessem sentados no console. Por esse motivo, você deve garantir que o servidor esteja por trás de um firewall. Para obter mais informações, consulte Servidores VPN e configuração de firewall e Informações de segurança para IPSec.
- Você deve exigir que todos os usuários que fazem conexões remotas usem uma senha forte. Para obter mais informações, consulte Senhas fortes.
- A Área de Trabalho Remota é desabilitada por padrão em sistemas operacionais Windows Server 2003.
Para desabilitar o RDP usando propriedades do sistema
- Abra o Sistema em Painel de Controle.
- Na guia Remoto, selecione ou desmarque a caixa Habilitar Área de Trabalho Remota neste computador marcar e clique em OK.
Importante Ao habilitar a Área de Trabalho Remota em um computador, você habilita a funcionalidade para que outros usuários e grupos façam logon remotamente no computador. No entanto, você também deve decidir quais usuários e grupos devem ser capazes de fazer logon remotamente e, em seguida, adicioná-los manualmente ao grupo Usuários da Área de Trabalho Remota. Para obter mais informações, consulte Habilitando os usuários a se conectarem remotamente ao servidor e Adicionar usuários ao grupo Usuários da Área de Trabalho Remota.
Observação:
- Você deve estar conectado como membro do grupo Administradores para habilitar ou desabilitar a Área de Trabalho Remota.
- Para abrir um item do Painel de Controle, clique em Iniciar, Painel de Controle e, em seguida, clique duas vezes no ícone apropriado.
- Qualquer conjunto de configurações com Política de Grupo substitui o conjunto de configurações usando propriedades do sistema, conforme descrito neste procedimento.
- Esteja ciente das implicações de segurança de logons remotos. Os usuários que fazem logon remotamente podem executar tarefas como se estivessem sentados no console. Por esse motivo, você deve garantir que o servidor esteja por trás de um firewall. Para obter mais informações, consulte Servidores VPN e configuração de firewall e Informações de segurança para IPSec.
- Você deve exigir que todos os usuários que fazem conexões remotas usem uma senha forte. Para obter mais informações, consulte Senhas fortes.
- A Área de Trabalho Remota é desabilitada por padrão em sistemas operacionais Windows Server 2003.
Perguntas frequentes
A área de trabalho remota está habilitada por padrão?
Não, o RDP para administração não está habilitado por padrão. No entanto, os clientes que não habilitaram o RDP ainda receberão essa atualização para ajudar a garantir a proteção de seus sistemas. Para obter mais informações sobre essa configuração, consulte o artigo TechNet Como habilitar e configurar a Área de Trabalho Remota para Administração no Windows Server 2003. Observe que este artigo também se aplica a versões posteriores do Microsoft Windows.
Implantação de atualização de segurança
Para obter informações sobre implantação de atualização de segurança, consulte o artigo da Base de Dados de Conhecimento da Microsoft referenciado no Resumo Executivo.
Agradecimentos
A Microsoft reconhece os esforços daqueles da comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Confira Confirmações para obter mais informações.
Isenção de responsabilidade
As informações fornecidas na Base de Dados de Conhecimento da Microsoft são fornecidas "como estão" sem garantia de qualquer tipo. A Microsoft isenta todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação para uma finalidade específica. Em nenhum caso, a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, conseqüentes, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou a limitação da responsabilidade por danos conseqüentes ou incidentais, portanto, a limitação anterior pode não se aplicar.
Revisões
- V1.0 (9 de fevereiro de 2016): Boletim publicado.
Página gerada 2016-02-03 13:33-08:00.