Boletim de Segurança

Microsoft Security Bulletin MS02-046 - Moderado

A saturação de buffer no controle ActiveX do TSAC pode permitir a execução de código (Q327521)

Publicado em: 22 de agosto de 2002

Versão: 1.0

Originalmente postado: Agosto 22, 2002

Resumo

Quem deve ler este boletim: Clientes que usam sistemas Microsoft® Windows®

Impacto da vulnerabilidade: execute o código de escolha do invasor

Classificação de gravidade máxima: Moderada

Recomendação:

• Os administradores de sites que hospedam o controle ActiveX do TSAC devem instalar o novo controle imediatamente.
• Os usuários devem aplicar o patch cumulativo mais recente para o Internet Explorer (neste momento, o patch mais recente é fornecido no Boletim de Segurança da Microsoft MS02-047).

Software afetado:

• Controle ActiveX do Microsoft Terminal Services Advanced Client (TSAC), que pode ser instalado em qualquer sistema Windows.

Informações Gerais

Detalhes técnicos

Descrição técnica:

O controle da Web TSAC (Terminal Services Advanced Client) é um controle ActiveX que pode ser usado para executar sessões dos Serviços de Terminal no Internet Explorer. O controle ActiveX baixável fornece quase a mesma funcionalidade que o Cliente de Serviços de Terminal completo, mas foi projetado para fornecer essa funcionalidade pela Web.

O controle TSAC não vem instalado como parte de qualquer sistema cliente Windows. Em vez disso, os clientes obtêm o controle de servidores Web que oferecem serviços de terminal. O processo de configuração que permite que um servidor IIS forneça serviços de terminal envolve a instalação no servidor de um arquivo de gabinete contendo o controle. Em seguida, o servidor entrega o arquivo de gabinete para qualquer sistema cliente que precise dele, e o cliente instala o controle por meio do arquivo de gabinete.

Uma vulnerabilidade de segurança resulta porque o controle contém um buffer não verificado no código que processa um dos parâmetros de entrada. Ao chamar o controle em um sistema cliente e ultrapassar o buffer, um invasor pode obter a capacidade de executar código no contexto de segurança do usuário conectado no momento. Isso permitiria que o invasor executasse qualquer ação desejada no sistema do usuário. O invasor pode montar um ataque hospedando uma página da Web que explore a vulnerabilidade contra qualquer usuário que a visite ou enviando um email HTML para outro usuário.

Fatores atenuantes:

• A vulnerabilidade só poderia ser explorada se o controle TSAC tivesse sido instalado no sistema do usuário por um servidor IIS que hospeda o controle.
• A vulnerabilidade não representa nenhuma ameaça para os servidores que a hospedam. Enquanto alojado no servidor, o controle é encapsulado em um arquivo de gabinete e não pode ser executado.
• O vetor de ataque baseado em email HTML não pôde ser explorado em sistemas onde o Outlook 98 ou o Outlook 2000 foram usados em conjunto com a Atualização de Segurança de Email do Outlook ou o Outlook Express 6 ou o Outlook 2002 foram usados em suas configurações padrão

Classificação de gravidade:

	Servidores de Internet	Servidores de Intranet	Sistemas Clientes
Controle ActiveX do Microsoft Terminal Services Advanced Client (TSAC)	Baixo	Baixo	Moderado

A avaliação acima é baseada nos tipos de sistemas afetados pela vulnerabilidade, seus padrões de implantação típicos e o efeito que a exploração da vulnerabilidade teria sobre eles.

Identificador de vulnerabilidade:CAN-2002-0726

Versões testadas:

A Microsoft testou o Terminal Services Advanced Client para avaliar se ele é afetado por essa vulnerabilidade.

Perguntas frequentes

Qual é a abrangência da vulnerabilidade?
Esta é uma vulnerabilidade de saturação de buffer. Um invasor pode explorar a vulnerabilidade por meio de uma página da Web ou de um email HTML, e explorá-la com êxito concederia ao invasor controle total sobre o sistema de um usuário. Isso daria ao invasor a capacidade de adicionar, excluir ou alterar quaisquer dados no sistema, reformatar o disco rígido ou executar outras ações. A vulnerabilidade está sujeita a várias restrições:

• A vulnerabilidade só poderia ser explorada se o controle estivesse instalado no sistema do usuário. No entanto, ele não é instalado por padrão como parte de qualquer versão do Windows.
• Os clientes que usam o Outlook 98 ou o Outlook 2000 em conjunto com a Atualização de Segurança de Email do Outlook ou que usam o Outlook Express 6 ou o Outlook 2002 não correm risco com o vetor de ataque baseado em email.

O que causa a vulnerabilidade?
A vulnerabilidade resulta porque o controle ActiveX do Terminal Services Advanced Client (TSAC) contém um buffer não verificado. Se chamado por um site de uma maneira específica, o buffer pode ser saturado, com o resultado de que um invasor pode fazer com que o controle execute uma ação no sistema do usuário.

O que é o controle ActiveX do TSAC?
O ActiveX do Terminal Services Advanced Client (TSAC) fornece uma maneira para os sistemas Windows executarem sessões dos Serviços de Terminal no Internet Explorer. Ele fornece quase a mesma funcionalidade que o Cliente de Serviços de Terminal completo, mas foi projetado para fornecer essa funcionalidade pela Web. Por meio do controle, os usuários podem estabelecer sessões do servidor de terminal a partir de servidores IIS configurados adequadamente.

O controle TSAC é instalado por padrão?
Não. Na verdade, você não pode instalar o controle por qualquer meio, exceto visitando um site que oferece serviços de terminal. O controle é baixado do servidor para o sistema cliente como parte da sequência de conexão da sessão.

Como funciona o processo de instalação do controle TSAC?
Por padrão, os sites do IIS não oferecem acesso a computadores habilitados para serviços de terminal. Quando um administrador opta por configurar o site para fornecê-los, ele ou ela deve baixar uma versão hospedável do controle do site da Microsoft e instalá-lo no servidor. (No caso do Windows XP Professional, a versão hospedável do controle também pode ser obtida a partir do CD de instalação). Uma vez feito isso, o servidor baixará o controle para qualquer sistema que visite o site, após o qual o usuário pode iniciar sessões de serviço de terminal com o site.

O controle pode ser instalado por um site sem o conhecimento do usuário?
Não. O processo de instalação sempre gera um aviso ao usuário, e o usuário tem a oportunidade de cancelar.

O que há de errado com o controle ActiveX do TSAC?
O controle contém um buffer não verificado. Se chamado usando um tipo específico de valor de entrada malformado, o buffer pode ser saturado. O efeito seria, em essência, mudar a funcionalidade do controle e fazê-lo tomar novas ações em vez daquelas que está programado para tomar.

O que essa vulnerabilidade pode permitir que um invasor faça?
Um invasor pode usar essa vulnerabilidade para obter controle sobre o computador de outro usuário. Dependendo exatamente de como o invasor ultrapassou o buffer, ele ou ela pode fazer com que o controle execute qualquer ação desejada. Como o controle opera no contexto do usuário, o invasor seria capaz de executar qualquer ação que o usuário pudesse executar.

Como um invasor pode explorar a vulnerabilidade?
O invasor precisaria construir uma página da Web que chame o controle e forneça o valor de entrada malformado discutido acima. O ataque poderia então prosseguir através de qualquer um dos dois vetores. No primeiro, o invasor pode hospedar a página da Web em um site; Quando um usuário visitava o site, a página da Web tentava executar o controle e explorar a vulnerabilidade. No segundo, o invasor pode enviar a página da Web como um email HTML. Ao ser aberta pelo destinatário, a página da Web pode tentar executar o controle e explorar a vulnerabilidade.

Você disse que a página da Web poderia "tentar" executar o controle. O que determinaria se essa tentativa fosse bem-sucedida?
Dois fatores determinariam se o ataque foi bem-sucedido:

• Se o usuário havia aceitado anteriormente a instalação do controle de um site. Se o controle não estivesse presente no sistema, ele não poderia ser chamado. Como discutido acima, o controle não é instalado por padrão em qualquer versão do Windows.
• Se os controles ActiveX tinham permissão para serem executados no sistema do usuário. O mecanismo de zonas de segurança do Internet Explorer fornece uma maneira de regular quais ações vários sites podem tomar - entre elas, se eles podem executar controles ActiveX. Por padrão, as páginas da Web na Zona de Sites Restritos não podem executar controles ActiveX. Isso acaba sendo especialmente significativo no caso de um ataque via vetor de e-mail HTML.

Porquê?
Por padrão, o Outlook Express 6.0 e o Outlook 2002 abrem emails HTML na Zona de Sites Restritos. Além disso, o Outlook 98 e 2000 abrir emails HTML na zona de sites restritos se a atualização de segurança de email do Outlook tiver sido instalada. Os clientes que usam qualquer um desses produtos não correm risco com o vetor de ataque por e-mail.

Na seção Resumo do boletim, você recomendou que os web mestres que oferecem serviços de terminal instalem o patch. Isso significa que essa vulnerabilidade representa uma ameaça ao meu site?
Não. A vulnerabilidade representa uma ameaça para os clientes nesse cenário, não para o servidor. Quando hospedado em um servidor, o controle é encapsulado em um arquivo compactado (chamado de arquivo de gabinete). Ele não pode ser executado enquanto estiver nesse estado.

Se a vulnerabilidade não representar uma ameaça para o meu site, por que tenho que instalar o novo patch no meu servidor?
Para ser claro, talvez não seja necessário instalá-lo. Somente sites que fornecem serviços de terminal e que hospedam o controle TSAC precisam instalar o novo patch. No entanto, se você fornecer serviços de terminal, você deve instalar o patch para garantir que seu site está hospedando a versão mais atualizada do controle. Se você não fizer isso, os usuários que executarem as ações recomendadas abaixo não poderão usar máquinas habilitadas para serviços de terminal de acesso a partir do seu site.

Depois de instalar o patch no meu servidor web, preciso tomar alguma outra ação?
Sim. Você precisará seguir as instruções no artigo Q327521 da Base de Dados de Conhecimento Microsoft para atualizar suas páginas da Web para usar o novo controle.

Na seção Resumo do boletim, você recomendou que os usuários não instalem esse patch, mas instalem o patch cumulativo mais recente para o IE. Por quê?
O patch cumulativo mais recente para o IE (que, neste momento, é o fornecido no Boletim de Segurança da Microsoft MS02-047) define o "kill bit" para o controle. Essa ação por si só é suficiente para proteger os usuários contra a vulnerabilidade, pois impede que a versão vulnerável do controle seja instanciada no Internet Explorer. (Para obter mais informações sobre o "kill bit", consulte o artigo da Base de Dados de Conhecimento MicrosoftQ240797.

Mas por que você não está fornecendo um controle atualizado para os usuários instalarem em seus sistemas?
O controle atualizado será entregue aos usuários através do processo de instalação normal descrito acima. Ou seja, na próxima vez que o usuário visitar um site que ofereça serviços de terminal e tenha instalado o patch, o controle atualizado será entregue ao sistema do usuário. (Por outro lado, se o site não tiver instalado o patch, o usuário não poderá usar os serviços de terminal. Esse é o comportamento correto, já que a versão mais antiga do controle representa uma exposição de segurança se usada).

Não sei se já visitei um site que instalou o controle TSAC. Devo instalar o patch mais recente do IE?
Sim. O patch fornecido no Boletim de Segurança da Microsoft MS02-047 contém correções para várias vulnerabilidades além desta. Vale a pena instalar por conta própria, mesmo que você não tenha o controle TSAC.

Como posso saber se o controle ActiveX do TSAC já está no meu computador?
Para ver se o controle está no computador, faça o seguinte:

1. Inicie o Internet Explorer
2. Selecione Ferramentas e, em seguida, Opções da Internet.
3. Clique na guia Geral.
4. Clique em Configurações e, em seguida, clique em Exibir Objetos.
5. Pesquise na lista resultante um nome de arquivo de programa chamado Controle de Cliente dos Serviços de Terminal da Microsoft ou Controle de Cliente do Microsoft RDP
6. Se nenhum desses arquivos estiver presente, você definitivamente não tem o controle TSAC instalado.
7. Se o Controle de Cliente do Microsoft Terminal Service ou o controle de Cliente Microsoft RDP estiver presente, clique com o botão direito do mouse nele e selecione propriedades e procure uma das seguintes IDs. Se ambos estiverem presentes, você tem uma versão vulnerável do controle TSAC instalada.
   • {1fb464c8-09bb-4017-a2f5-eb742f04392f}
   • {791fa017-2de3-492e-acc5-53c67a2b94d0}

Eu tenho o controle vulnerável no meu sistema, mas não quero instalar o patch do IE. Existe outra maneira de proteger meu sistema?
Sim. Você pode definir o "kill bit" manualmente. Basta seguir as instruções no Artigo Q240797 da Base de Dados de Conhecimento Microsoft e definir o "killbit" para as seguintes IDs:

• {1fb464c8-09bb-4017-a2f5-eb742f04392f}
• {791fa017-2de3-492e-acc5-53c67a2b94d0}

Meu sistema é configurado pelo administrador para não instalar controles ActiveX. O que devo fazer?
Você pode fazer parte do grupo Usuários que, por padrão, não permite a instalação de controles ActiveX. Você precisará entrar em contato com o administrador sobre como instalar o controle ActiveX. O administrador determinará qual método será usado em sua organização.

O que o patch faz?
O patch elimina a vulnerabilidade instituindo a verificação de dados de entrada adequada no controle ActiveX do TSAC.

Disponibilidade do patch

Locais de download deste patch

• Os Web masters cujos sites oferecem serviços de terminal devem instalar o patch em:

  https://www.microsoft.com/windowsxp/pro/downloads/rdwebconn.asp

• Os clientes devem instalar o patch cumulativo mais recente do IE. No momento em que este artigo foi escrito, o patch mais recente do IE está disponível no Boletim de Segurança da Microsoft MS02-047.

Informações adicionais sobre este patch

Plataformas de instalação: O pacote da Web TSAC pode ser hospedado em sistemas que executam o Windows NT 4.0, Terminal Server Edition, Windows 2000 e Windows XP. Não há requisitos de service pack.

Inclusão em service packs futuros:

O controle ActiveX TSAC atualizado será incluído no Windows XP Service Pack 1.

Reinicialização necessária: Não

O patch pode ser desinstalado: Não

Patches substituídos: Nenhum.

Verificando a instalação do patch:

• Durante a instalação do patch, o administrador será solicitado a especificar o local de destino para onde ele gostaria que os arquivos fossem instalados. Para confirmar a instalação, consulte o artigo Q327521 da Base de Dados de Conhecimento Microsoft e verifique se as informações de data/hora dos arquivos listados no manifesto do arquivo.

Restrições:

Depois de instalar o patch em um servidor Web, todas as páginas da Web que usam o controle precisarão ser atualizadas para usar a nova versão, conforme discutido no artigo Q240797 da Base de Dados de Conhecimento Microsoft.

Localização:

Versões localizadas deste patch estão disponíveis nos locais discutidos em "Disponibilidade do patch".

Obtendo outros patches de segurança:

Patches para outros problemas de segurança estão disponíveis nos seguintes locais:

• Os patches de segurança estão disponíveis no Centro de Download da Microsoft e podem ser encontrados mais facilmente fazendo uma pesquisa de palavra-chave para "security_patch".
• Os patches para plataformas de consumidor estão disponíveis no site do WindowsUpdate

Outras informações:

Confirmações

A Microsoft agradece a Ollie Whitehouse, da @Stake (https://www.atstake.com) por nos relatar esse problema e trabalhar conosco para proteger os clientes.

Suporte:

• O artigo Q327521 Base de Dados de Conhecimento Microsoft discute esse problema e estará disponível aproximadamente 24 horas após o lançamento deste boletim. Os artigos da Base de Dados de Conhecimento podem ser encontrados no site de Suporte Online da Microsoft.
• O suporte técnico está disponível no Atendimento Microsoft. Não há cobrança por chamadas de suporte associadas a patches de segurança.

Recursos de segurança: O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Aviso de Isenção de Responsabilidade:

As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões:

• V1.0 (22 de agosto de 2002): Boletim criado.

Construído em 2014-04-18T13:49:36Z-07:00