Consultoria de Segurança
Comunicado de Segurança da Microsoft 899588
Vulnerabilidade no Plug and Play pode permitir a execução remota de código e elevação de privilégio
Publicado: terça-feira, 11 de agosto de 2005 | Atualizado: August 17, 2005
Zotob é um worm que tem como alvo computadores baseados no Windows 2000 e tira proveito de um problema de segurança que foi resolvido pelo Boletim de Segurança da Microsoft MS05-039. Esse worm e suas variantes instalam software mal-intencionado e, em seguida, procuram outros computadores para infectar.
Se você instalou a atualização lançada com o Boletim de Segurança MS05-039, já está protegido contra o Zotob e suas variantes. Se você estiver usando qualquer versão com suporte do Windows diferente do Windows 2000, você não está em risco de Zotob e suas variantes. Como parte de nosso Processo de Resposta a Incidentes de Segurança de Software, nossa investigação determinou que apenas um pequeno número de clientes foi afetado, e os profissionais de segurança da Microsoft estão trabalhando diretamente com eles. Não vimos nenhum indício de impacto generalizado na Internet. Os clientes que acreditam ter sido atacados devem entrar em contato com o escritório local do FBI ou postar sua reclamação no site do Internet Fraud Complaint Center. Clientes fora dos Estados Unidos devem entrar em contato com a agência nacional de aplicação da lei em seu país.
Para obter mais informações sobre esses worms, para ajudar a determinar se você foi infectado por esses worms e para obter instruções sobre como reparar seu sistema se você tiver sido infectado por esses worms, consulte o site Zotob Security Incident ou a Microsoft Virus Encyclopedia. Para referências da Enciclopédia de Vírus da Microsoft, consulte a seção "Visão geral". Você também pode usar a Ferramenta de Remoção de Software Mal-Intencionado do Microsoft Windows para procurar e remover o worm Zotob e suas variantes do disco rígido.
Outras versões do Windows, incluindo o Windows XP Service Pack 2 e o Windows Server 2003, não são afetadas pelo Worm:Win32/Zotob.A, suas variações e worms semelhantes que tentam explorar a vulnerabilidade do Windows Plug and Play, a menos que já tenham sido comprometidos por outro software mal-intencionado. Os clientes podem se proteger contra ataques que tentam utilizar esta vulnerabilidade instalando as atualizações de segurança fornecidas pelo Boletim de Segurança da Microsoft MS05-039 imediatamente. O boletim de segurança MS05-039 está disponível no seguinte site.
A Microsoft está desapontada que certos pesquisadores de segurança violaram a prática comumente aceita da indústria de reter dados de vulnerabilidade tão perto do lançamento da atualização e publicaram código de exploração, potencialmente prejudicando os usuários de computador. Continuamos a pedir aos pesquisadores de segurança que divulguem informações de vulnerabilidade de forma responsável e permitam que os clientes tenham tempo para implantar atualizações para que não ajudem os criminosos em sua tentativa de tirar proveito das vulnerabilidades de software.
Fatores atenuantes:
- Os sistemas Windows 2000 são os que mais correm risco com esta vulnerabilidade. Os clientes do Windows 2000 que instalaram a atualização de segurança MS05-039 não são afetados por esta vulnerabilidade. Se um administrador tiver desabilitado conexões anônimas alterando a configuração padrão da chave do Registro RestrictAnonymous para um valor de 2, os sistemas Windows 2000 não estarão vulneráveis remotamente a usuários anônimos. No entanto, devido a um grande risco de compatibilidade de aplicativos, não recomendamos que os clientes habilitem essa configuração em ambientes de produção sem antes testar extensivamente a configuração em seu ambiente. Para obter mais informações, procure RestrictAnonymous no site de Ajuda e Suporte da Microsoft.
- Embora não seja o alvo atual desses ataques, é importante observar que, no Windows XP Service Pack 2 e no Windows Server 2003, um invasor deve ter credenciais de logon válidas e ser capaz de fazer logon localmente para explorar essa vulnerabilidade. A vulnerabilidade não pôde ser explorada remotamente por usuários anônimos ou por usuários que tenham contas de usuário padrão no Windows XP Service Pack 2 ou Windows Server 2003. Isso ocorre devido à segurança aprimorada incorporada diretamente no componente afetado. Mesmo que um administrador tenha habilitado conexões anônimas alterando a configuração padrão da chave do Registro RestrictAnonymous, o Windows XP Service Pack 2 e o Windows Server 2003 não serão vulneráveis remotamente por usuários anônimos ou por usuários que tenham contas de usuário padrão. No entanto, o componente afetado está disponível remotamente para usuários que têm permissões administrativas.
- Embora não seja o alvo atual desses ataques, é importante observar que, no Windows XP Service Pack 1, um invasor deve ter credenciais de logon válidas para tentar explorar essa vulnerabilidade. A vulnerabilidade não pôde ser explorada remotamente por usuários anônimos. No entanto, o componente afetado está disponível remotamente para usuários que têm contas de usuário padrão no Windows XP Service Pack 1. Os ataques existentes não foram projetados para fornecer a autenticação necessária para explorar esse problema nesses sistemas operacionais. Mesmo que um administrador tenha habilitado conexões anônimas alterando a configuração padrão da chave do Registro RestrictAnonymous, os sistemas Windows XP Service Pack 1 não são vulneráveis remotamente por usuários anônimos.
- Esse problema não afeta o Windows 98, Windows 98 SE ou Windows Millennium Edition.
Informações Gerais
Visão geral
Objetivo do Comunicado: Notificação de ataques ativos a clientes e a disponibilidade de uma atualização de segurança para ajudar a proteger contra essa ameaça potencial.
Status do Comunicado: Comunicado publicado. Como esse problema já foi resolvido como parte do boletim de segurança MS05-039 , nenhuma atualização adicional é necessária.
Recomendação: Os clientes devem usar a Ferramenta de Remoção de Software Mal-Intencionado do Microsoft Windows para verificar e remover a infecção por Zotob e instalar a atualização de segurança MS05-039 para ajudar a proteger contra esta vulnerabilidade.
| Referências | Identificação |
|---|---|
| Referências de vulnerabilidade | |
| Referência CVE | CAN-2005-1983 |
| Boletim de Segurança | MS05-039 |
| Detalhes de exploração e worm | |
| Incidente de segurança do Zotob | Site |
| Ferramenta de remoção de software mal-intencionado | Site |
| Enciclopédia de vírus da Microsoft | Worm: Win32/Zotob.A, Worm: Win32/Zotob.B, Worm: Win32/Zotob.C, Worm: Win32/Zotob.D, Worm: Win32/Zotob.EWorm: Win32/Esbot.A, Worm: Win32/Rbot.MA, Worm: Win32/Rbot.MB, Worm: Win32/Rbot.MC, Bobax.O |
| Symantec | W32. Zotob.A, W32. Zotob.B, W32. Zotob.D, W32. Zotob.E, W32. Zotob.G |
| F-Secure | Zotob.A, Zotob.B, Zotob.C, Bozori.A, Bozori.B, Bozori.C |
| McAfee | W32/Zotob.worm, W32/Zotob.worm.b, W32/Zotob.worm.c, W32/Bozori.worm.b, W32/IRCbot.worm! MS05-039, W32/Sdbot.worm! MS05-039,W32/Sdbot.worm!51326 |
Observação Este comunicado não será atualizado para variações futuras, a menos que sejam materialmente diferentes das versões existentes.
Este comunicado aborda o seguinte software.
| Software relacionado |
| Microsoft Windows 2000 Service Pack 4 |
| Microsoft Windows XP Service Pack 1 |
| Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) |
| Microsoft Windows XP Service Pack 2 |
| Microsoft Windows XP 64-Bit Edition Versão 2003 (Itanium) |
| Microsoft Windows XP Professional x64 Edição |
| Microsoft Windows Server 2003 |
| Microsoft Windows Server 2003 para sistemas baseados em Itanium |
| Microsoft Windows Server 2003 Service Pack 1 |
| Microsoft Windows Server 2003 com SP1 para sistemas baseados em Itanium |
| Microsoft Windows Server 2003 x64 Edição |
| Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) e Microsoft Windows Millennium Edition (ME) |
Perguntas frequentes
Qual o escopo da assessoria?
Zotob é um worm que tem como alvo computadores baseados no Windows 2000 e tira proveito de um problema de segurança que foi resolvido pelo Boletim de Segurança da Microsoft MS05-039. Esse worm e suas variantes instalam software mal-intencionado e, em seguida, procuram outros computadores para infectar. Se você instalou a atualização lançada com o Boletim de Segurança MS05-039, já está protegido contra o Zotob e suas variantes. Se você estiver usando qualquer versão com suporte do Windows diferente do Windows 2000, você não está em risco de Zotob e suas variantes.
Esta é uma vulnerabilidade de segurança que exige que a Microsoft emita uma atualização de segurança adicional?
Não. Os clientes que instalaram as atualizações de segurança MS05-039 não são afetados por esta vulnerabilidade.
O que causa essa ameaça?
Um buffer não verificado no serviço Plug and Play. Consulte o Boletim de segurança MS05-039 para obter mais detalhes sobre a vulnerabilidade.
Para que um invasor pode usar essa função?
O invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais.
Ações sugeridas
Verifique e remova a infecção por Zotob.
Você pode usar a Ferramenta de Remoção de Software Mal-Intencionado do Microsoft Windows para procurar e remover o worm Zotob e suas variantes do disco rígido.
Os clientes devem instalar asatualizações de segurança MS05-039para ajudar a proteger contra esta vulnerabilidade.
Os sistemas Windows 2000 são os que mais correm risco com esta vulnerabilidade. Os clientes que instalaram a atualização de segurança MS05-039 não são afetados por esta vulnerabilidade.
Os clientes que acreditam ter sido atacados devem entrar em contato com o escritório local do FBI ou postar sua reclamação no site do Internet Fraud Complaint Center. Clientes fora dos EUA devem entrar em contato com a agência nacional de aplicação da lei em seu país.
Os clientes nos EUA e no Canadá que acreditam que podem ter sido afetados por essa possível vulnerabilidade podem receber suporte técnico do Atendimento Microsoft em 1-866-PCSAFETY. Não há cobrança pelo suporte associado a problemas de atualização de segurança ou vírus." Os clientes internacionais podem receber suporte usando qualquer um dos métodos listados no site Ajuda e Suporte de Segurança para Usuários Domésticos. Todos os clientes devem aplicar as atualizações de segurança mais recentes lançadas pela Microsoft para ajudar a garantir que seus sistemas estejam protegidos contra tentativas de exploração. Os clientes que ativaram as Atualizações Automáticas receberão automaticamente todas as atualizações do Windows. Para obter mais informações sobre atualizações de segurança, visite o site de segurança da Microsoft.
Proteja seu PC
Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu PC de habilitar um firewall, obter atualizações de software e instalar software antivírus. Os clientes podem saber mais sobre essas etapas visitando o site Proteja seu PC.
Mantenha o Windows atualizado
Todos os usuários do Windows devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o site Windows Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver as Atualizações Automáticas habilitadas, as atualizações serão entregues a você quando forem lançadas, mas você precisará se certificar de instalá-las.
Outras Informações
Recursos:
- Você pode fornecer comentários preenchendo o formulário visitando o seguinte site.
- Os clientes nos EUA e no Canadá podem receber suporte técnico do Atendimento Microsoft. Para obter mais informações sobre as opções de suporte disponíveis, consulte o site de Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite o site de suporte internacional.
- O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Aviso de Isenção de Responsabilidade:
As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões:
- 11 de agosto de 2005: Comunicado publicado
- 14 de agosto de 2005: O comunicado foi atualizado para informar aos clientes que a Microsoft está analisando e fornecendo orientação sobre um worm mal-intencionado identificado como "Worm:Win32/Zotob.A".
- 15 de agosto de 2005: O comunicado foi atualizado para documentar variantes adicionais do Worm:Win32/Zotob.A. Também atualizamos o comunicado para documentar informações sobre o impacto da chave do Registro RestrictAnonymous.
- 16 de agosto de 2005: O comunicado foi atualizado para documentar informações adicionais sobre variações do Worm:Win32/Zotob.A e informações adicionais sobre a investigação em andamento.
- 17 de agosto de 2005: O comunicado foi atualizado para documentar informações adicionais sobre variações do Worm:Win32/Zotob.A. Também estamos anunciando a disponibilidade de uma versão revisada da Ferramenta de Remoção de Software Mal-Intencionado do Microsoft Windows que ajuda a lidar com esses ataques.
Construído em 2014-04-18T13:49:36Z-07:00