Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Buffer não verificado no serviço de localizador pode levar à execução de código (810833)
Publicado: terça-feira, 22 de janeiro de 2003 | Atualizado: October 28, 2003
Versão: 1.1
Originalmente postado: 22 de janeiro de 2003
Resumo
Quem deve ler este boletim: Clientes que usam o Microsoft® Windows® NT 4.0, Windows 2000 ou Windows XP.
Impacto da vulnerabilidade: execute o código à escolha do atacante
Classificação de gravidade máxima: Crítica
Recomendação: Os clientes que executam o servidor Windows NT 4.0 ou o servidor Windows 2000 devem aplicar o patch imediatamente. Os clientes que executam o Windows NT 4.0 Workstation, Windows 2000 workstation e Windows XP devem instalar o patch o mais rápido possível.
Software afetado:
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0, Edição do Terminal Server
- Microsoft Windows 2000
- Microsoft Windows XP
Informações Gerais
Detalhes técnicos
Descrição técnica:
O serviço Microsoft Locator é um serviço de nomes que mapeia nomes lógicos para nomes específicos da rede. Ele é fornecido com o Windows NT 4.0, Windows 2000 e Windows XP. Por padrão, o serviço localizador é habilitado somente em controladores de domínio do Windows 2000 e controladores de domínio do Windows NT 4.0; ele não está habilitado em estações de trabalho Windows NT 4.0 ou servidores membros, estações de trabalho Windows 2000 ou servidores membros ou Windows XP.
Uma vulnerabilidade de segurança resulta de um buffer não verificado no serviço Localizador. Ao enviar uma solicitação especialmente malformada para o serviço de Localizador, um invasor pode fazer com que o serviço de Localizador falhe ou execute um código de sua escolha no sistema.
Fatores atenuantes:
- O serviço localizador não está habilitado por padrão em nenhuma versão afetada do Windows, com exceção dos controladores de domínio do Windows 2000 e controladores de domínio do Windows NT 4.0.
- Um firewall configurado corretamente bloquearia as chamadas para o serviço Localizador, o que protegeria uma máquina afetada de um ataque baseado na Internet.
Classificação de gravidade:
| Windows NT 4.0 (estações de trabalho e servidores membros) | Moderado |
| Windows NT 4.0 (apenas controladores de domínio) | Crítico |
| Windows NT 4.0, edição do Terminal Server | Moderado |
| Windows 2000 (estações de trabalho e servidores membros) | Moderado |
| Windows 2000 (apenas controladores de domínio) | Crítico |
| Windows XP | Moderado |
A avaliação acima referida baseia-se nos tipos de sistemas afetados pela vulnerabilidade, nos seus padrões típicos de implantação e no efeito que a exploração da vulnerabilidade teria sobre eles.
Identificador de vulnerabilidade:CAN-2003-0003
Versões testadas:
A Microsoft testou o Windows NT 4.0, o Windows 2000 e o Windows XP para avaliar se são afetados por esta vulnerabilidade. O serviço localizador não estava disponível em versões do Windows anteriores ao Windows NT 4.0.
Perguntas mais frequentes
Qual é o âmbito da vulnerabilidade?
Esta é uma vulnerabilidade de saturação de buffer. Um intruso que conseguisse explorar esta vulnerabilidade poderia fazer com que o serviço Localizador falhasse ou poderia fazer com que o código da sua escolha fosse executado com privilégios de sistema.
O serviço localizador não está habilitado por padrão, exceto em controladores de domínio do Windows 2000 e controladores de domínio do Windows NT 4.0. Um firewall configurado corretamente bloquearia as chamadas para o serviço Localizador, o que protegeria uma máquina afetada de um ataque baseado na Internet.
O que causa a vulnerabilidade?
A vulnerabilidade resulta de um buffer não verificado no serviço Microsoft Locator. Se o serviço Localizador foi chamado usando um argumento especialmente malformado, isso pode ter o efeito de saturar o buffer.
O que é o serviço de Localizador?
O serviço Microsoft Locator é um serviço de nomes que mapeia nomes para objetos. O nome é um nome lógico que é fácil para os usuários reconhecerem e usarem. O serviço localizador é fornecido com o Windows NT 4.0, Windows 2000 e Windows XP.
Para que serve o serviço de Localizador?
Um cliente que vai fazer uma chamada de procedimento remoto (RPC) pode chamar o serviço localizador para resolver um nome lógico para um objeto de rede para um nome específico de rede para uso no RPC. Por exemplo, se um servidor de impressão tiver o nome lógico "laserprinter", um cliente RPC poderá chamar o serviço Localizador para descobrir o nome específico da rede mapeado para "laserprinter". O cliente RPC usa o nome específico da rede quando faz a chamada RPC para o serviço.
Por predefinição, o serviço Localizador só está ativado em controladores de domínio do Windows 2000 e controladores de domínio do Windows NT 4.0. Um administrador pode ativar o serviço localizador em qualquer sistema Windows NT 4.0, Windows 2000 ou Windows XP.
O que é uma chamada de procedimento remoto?
Uma chamada de procedimento remoto é uma técnica de comunicação entre processos que permite que o software cliente/servidor se comunique. O RPC pode ser usado em aplicativos cliente/servidor baseados em sistemas operacionais Microsoft Windows e também pode ser usado em ambientes de rede heterogêneos que incluem outros sistemas operacionais.
O que há de errado com o serviço de localizador?
Há uma falha na maneira como o serviço Localizador lida com determinadas informações de parâmetros que são passadas para ele. Dados de parâmetros especialmente malformados podem ser passados para o serviço Localizador e podem fazer com que um buffer seja saturado.
O que essa vulnerabilidade pode permitir que um invasor faça?
Se um ataque for bem-sucedido, esta vulnerabilidade pode permitir que um invasor faça com que o serviço Localizador falhe ou seja capaz de executar código no sistema.
Como poderia um intruso explorar esta vulnerabilidade?
Um invasor pode tentar explorar esta vulnerabilidade formando uma chamada RPC que empregaria o serviço Localizador para resolver um nome lógico e usando a chamada RPC para passar dados especialmente malformados.
Como um firewall configurado corretamente que bloqueasse o tráfego NetBIOS bloquearia o acesso ao serviço Localizador da Internet, um ataque bem-sucedido precisaria ser iniciado a partir da rede interna de uma organização.
O serviço Localizador requer autenticação?
Não, o sistema que faz a solicitação RPC não precisa ser autenticado pelo sistema que executa o serviço Localizador.
Esta vulnerabilidade pode ser explorada a partir da Internet?
Um firewall configurado corretamente bloquearia as chamadas para o serviço Localizador, o que protegeria uma máquina afetada de um ataque baseado na Internet. É muito mais provável que um intruso tentasse explorar esta vulnerabilidade a partir da rede interna de uma organização.
Como saber se o serviço Localizador está ativado?
O status do serviço "Remote Procedure Call (RPC) Locator" e como ele é iniciado (automática ou manualmente) pode ser visualizado no Painel de Controle. Para Windows 2000 e Windows XP, use o Painel de Controle | Ferramentas Administrativas | Serviços e, no Windows NT 4.0, use o Painel de Controle | Serviços.
Também é possível determinar o status do serviço Localizador a partir da linha de comando, digitando:
net start
Será apresentada uma lista de serviços. Se "Remote Procedure Call (RPC) Locator" aparecer na lista, o serviço localizador está em execução.
Existem aplicações que habilitem o serviço de localizador em servidores membros?
Sim - Existem várias aplicações, por exemplo o Microsoft Exchange Server, que permitem o serviço de localizador em servidores membros. A Microsoft recomenda que os clientes instalem o patch o mais rapidamente possível em todos os sistemas que tenham o serviço de localizador ativado.
Se eu não estiver usando o serviço Localizador, posso desativá-lo?
Sim. Um administrador pode desativar o serviço Localizador definindo o status do serviço RpcLocator como "desativado" no painel de controle de serviços.
O serviço também pode ser interrompido através da linha de comando usando o programa sc.exe, que acompanha o Windows XP e está incluído como parte do Windows 2000 Resource Kit. O seguinte comando irá parar o serviço:
sc stop RpcLocator
Para desabilitar o serviço usando a ferramenta de linha de comando, use o seguinte:
sc config RpcLocator start= disabled
Que sistemas estariam em maior risco com esta vulnerabilidade?
Apenas os controladores de domínio do Windows 2000 e os controladores de domínio do Windows NT 4.0 têm o serviço Localizador ativado por padrão, portanto, esses seriam os sistemas com maior risco. O serviço localizador pode ser habilitado no Windows NT 4.0, Windows NT 4.0, Terminal Server Edition, Windows 2000 e Windows XP.
O que faz o sistema transdérmico?
O patch elimina a vulnerabilidade manipulando corretamente as informações passadas para o serviço Localizador RPC.
Disponibilidade do patch
Locais de download para este patch
- Windows NT 4.0:
- Windows NT 4.0, Terminal Server Edition:
- Windows 2000:
- Windows XP:
Informações adicionais sobre este patch
Plataformas de instalação:
- O patch do Windows NT 4.0 pode ser instalado em sistemas que executam o Service Pack 6a.
- O patch do Windows NT 4.0, Terminal Server Edition pode ser instalado em sistemas que executam o Windows NT 4.0, Terminal Server Edition Service Pack 6.
- O patch do Windows 2000 pode ser instalado em sistemas que executam o Windows 2000 Service Pack 2 ou Service Pack 3.
- O patch para o Windows XP pode ser instalado em sistemas que executam o Windows XP Gold ou Service Pack 1.
Inclusão em service packs futuros:
A correção para esse problema será incluída no Windows 2000 Service Pack 4 e Windows XP Service Pack 2.
Reinicialização necessária: Sim
O patch pode ser desinstalado: Sim
Patches substituídos: Nenhum.
Verificando a instalação do patch:
Windows NT 4.0:
Para verificar se o patch foi instalado na máquina, confirme se todos os arquivos listados no manifesto do arquivo no artigo da Base de Dados de Conhecimento 810833 estão presentes no sistema.
Windows NT 4.0 Terminal Server Edition:
Para verificar se o patch foi instalado na máquina, confirme se todos os arquivos listados no manifesto do arquivo no artigo da Base de Dados de Conhecimento 810833 estão presentes no sistema.
Windows 2000:
Para verificar se o patch foi instalado no computador, confirme se a seguinte chave do Registro foi criada no computador: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q810833.
Para verificar os ficheiros individuais, utilize as informações de data/hora e versão fornecidas na seguinte chave de registo: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q810833\Filelist.
Windows XP:
Se instalado no Windows XP Gold:
Para verificar se o patch foi instalado, confirme se a seguinte chave do Registro foi criada no computador: HKLM\Software\Microsoft\Updates\Windows XP\SP1\Q810833.
Para verificar os ficheiros individuais, utilize as informações de data/hora e versão fornecidas na seguinte chave de registo: HKLM\Software\Microsoft\Updates\Windows XP\SP1\Q810833\Filelist.
Se instalado no Windows XP Service Pack 1:
Para verificar se o patch foi instalado, confirme se a seguinte chave do Registro foi criada na máquina: HKLM\Software\Microsoft\Updates\Windows XP\SP2\Q810833.
Para verificar os ficheiros individuais, utilize as informações de data/hora e versão fornecidas na seguinte chave de registo: HKLM\Software\Microsoft\Updates\Windows XP\SP2\Q810833\Filelist.
Advertências:
Nenhuma
Localização:
As versões localizadas deste patch estão disponíveis nos locais discutidos em "Disponibilidade do patch".
Obtenção de outros patches de segurança:
Patches para outros problemas de segurança estão disponíveis nos seguintes locais:
- Os patches de segurança estão disponíveis no Centro de Download da Microsoft e podem ser encontrados mais facilmente fazendo uma pesquisa de palavra-chave para "security_patch".
- Os patches para plataformas de consumidor estão disponíveis no site WindowsUpdate
Informações suplementares:
Agradecimentos
A Microsoft agradece a David Litchfield da Next Generation Security Software Ltd. (https://www.nextgenss.com) por nos comunicar este problema e trabalhar connosco para proteger os clientes.
Suporte:
- O artigo 810833 da Base de Dados de Conhecimento Microsoft discute esse problema e estará disponível aproximadamente 24 horas após o lançamento deste boletim. Os artigos da Base de Dados de Conhecimento podem ser encontrados no site de Suporte Online da Microsoft.
- O suporte técnico está disponível no Atendimento Microsoft. Não há cobrança para chamadas de suporte associadas a patches de segurança.
Recursos de segurança: O site Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.
Exclusão de responsabilidade:
As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões:
- V1.0 (22 de janeiro de 2003): Boletim criado.
- V1.1 (28 de outubro de 2003): Boletim atualizado para refletir a recomendação de aplicação de patches em servidores membros
Construído em 2014-04-18T13:49:36Z-07:00</https:>