Por: Daniel Mauser

Temos observado perguntas frequentes a respeito de uma vulnerabilidade relacionada ao SMB (Server Message Block) mais especificadamente no serviço de Browser, principalmente alguns produtos de varredura de vulnerabilidades (security scanners) que já relatam a presença do problema. Esta vulnerabilidade foi descoberta em fevereiro e ainda está sob revisão do CVE-2011-0654

Qual é a resposta oficial da Microsoft sobre este problema?

Abaixo respondemos algumas questões frequentes sobre o problema:

Quais os sistemas operacionais afetados por este problema?
Resp.: Todas as versões de Windows são afetadas pelo problema.

Quais são as condições para que a vulnerabilidade seja explorada?
Resp.: A condição é bem específica para máquinas que possuem a designação de Master Browser ou Browser mestre. Em empresas com ambiente Active Directory o PDC emulador é o servidor que possui esta designação (Domain Master Browser). Assim, a vulnerabilidade é apenas explorada em máquinas com esta designação. Normalmente este tipo de máquina com designação de Browser mestre não estará exposto diretamente na Internet para sofrer um ataque. Por isso, o escopo de exploração é limitado.

Quais são as chances da vulnerabilidade ser bem sucedida?
Resp.: Temos uma tabela que determina a probabilidade de uma vulnerabilidade ser bem sucedida, que no caso do problema descrito aqui, seria a execução de código remoto.

Avaliação do índice de exploração

Definição

1

Possível código de exploração consistente

2

Possível código de exploração inconsistente

3

Baixa possibilidade de exploração de exploração de código

Para o caso do Windows Server XP/2003 temos o índice de exploração de 2 (Possível Exploração de código inconsistente) e para os sistemas operacionais Windows Vista/Windows Server 2008 ou superior temos o índice de exploração 3.
De acordo com o relatório do nosso time do Pesquisa de Segurança e Defesa (SRD – Security Resarch and Defense) as possibilidades deste código gerar execução de código remota é muito baixo. Existe um detalhamento técnico, clique aqui para mais informações. Basicamente, neste parecer técnico o que pode ser causado é um travamento do servidor ou até mesmo um BSOD, popularmente conhecido como tela azul, necessitando o reinicio da máquina para reestabelecer sua funcionalidade.

Uma novidade para os clientes com Forefront TMG 2010 é que nosso time do MMPC (Microsoft Malware Protection Center) lançou uma assinatura para o componente de Network Inspection System (NIS), que caso alguém tente executar esta vulnerabilidade ela pode ser detectada e bloqueada pelo produto. Para mais detalhes consulte:   Vuln:Win/SMB.Browser.DoS!NIS-2011-0003

http://www.microsoft.com/security/portal/Threat/Encyclopedia/NIS.aspx?threat=Vuln-Win-SMB-Browser-DoS-NIS-2011-0003

Consulte aqui (em inglês) para este conhecer mais o mecanismo de proteção oferecido pelo Forefront TMG 2010 possui através do NIS.

Conclusão

Nosso objetivo é esclarecer como este tipo de vulnerabilidade realmente afeta sistemas operacionais Windows e como podemos observar ela é bem especifica ao componente Browser com baixíssima probabilidade da exploração de código remoto. Adicionalmente, a Microsoft publicará em breve mais informações sobre esta vulnerabilidade e caso seja disponibilizada uma atualização de segurança, ela será feita através dos nossos boletins mensais. Por isso, fique sintonizado nos nossos boletins de segurança publicados todas às segundas terças-feiras de cada mês através do TechCenter de Segurança.