DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 815021 - Última revisão: sábado, 1 de Dezembro de 2007 - Revisão: 13.1

A Microsoft editou originalmente este artigo em 17 de Março de 2003. Nessa altura, a Microsoft tinha conhecimento de uma vulnerabilidade utilizada para atacar servidores do Windows 2000 com o IIS 5.0. O vector de ataque neste caso era o WebDAV, apesar de a vulnerabilidade subjacente estar num componente principal do sistema operativo, Ntdll.dll. A Microsoft editou um patch para proteger os clientes do Windows 2000 pouco tempo depois, continuando a investigar a vulnerabilidade subjacente. O Windows NT 4.0 também contém a vulnerabilidade subjacente no Ntdll.dll, no entanto não suporta WebDAV e, por isso, a vulnerabilidade não tem consequências no Windows NT 4.0. A Microsoft editou agora patches para o Windows NT 4.0. Além disso, a Microsoft descobriu recentemente esta vulnerabilidade no Windows XP. No entanto, tal como no Windows NT 4.0, por predefinição, o Windows XP não instala o IIS (Serviços de informação Internet - Internet Information Services). Em 28 de Maio de 2003, a Microsoft editou um patch para o Windows XP e Windows XP Service Pack 1.

Aviso: se tiver o Windows 2000 Service Pack 2 (SP2) em execução, terá de verificar a versão de Ntoskrnl.exe no computador antes de instalar este patch. Para o fazer:
  1. Abra a pasta %Windir%\System32.
  2. Clique com o botão direito do rato no ficheiro Ntoskrnl.exe, clique em Propriedades (Properties) e, em seguida, clique no separador Versão (Version).
As versões 5.0.2195.4797 a 5.0.2195.4928 de Ntoskrnl.exe não são compatíveis com este patch. Estas versões foram distribuídas apenas com correcções do suporte técnico da Microsoft. Se instalar o patch descrito neste artigo num computador com uma destas versões de Ntoskrnl.exe, o computador deixará de responder com uma mensagem "Stop 0x00000071", quando reiniciar o computador. Se ocorrer esta situação, terá de recuperar a instalação do Windows utilizando a consola de recuperação do Windows 2000 e a cópia de segurança do ficheiro Ntdll.dll guardada na pasta Winnt\$NTUninstallQ815021$.

Para actualizar um computador com uma versão de Ntoskrnl.exe distribuída pelo suporte técnico da Microsoft, terá de contactar este serviço antes de aplicar este patch. Para obter uma lista completa dos números de telefone de suporte técnico da Microsoft, bem como informações sobre os custos de suporte, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/default.aspx?scid=/directory/worldwide/pt/contactos.htm (http://support.microsoft.com/default.aspx?scid=/directory/worldwide/pt/contactos.htm)
Em alternativa, pode actualizar para o Windows 2000 Service Pack 3 (SP3) antes de instalar este patch.

Nesta página

Sintomas

O Windows 2000 suporta o protocolo WebDAV (World Wide Web Distributed Authoring and Versioning). O WebDAV, tal como é descrito no RFC 2518, é um conjunto de extensões para o protocolo HTTP (Hypertext Transfer Protocol) que fornece uma norma para a edição e gestão de ficheiros entre computadores na Internet. Para visualizar o RFC 2518, visite o seguinte Web site de RFC:
ftp://ftp.rfc-editor.org/in-notes/rfc2518.txt (ftp://ftp.rfc-editor.org/in-notes/rfc2518.txt)
A Microsoft fornece informações sobre contactos de outros fabricantes para o ajudar na obtenção de suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. A Microsoft não garante o rigor das informações sobre o contacto destes fabricantes.

Existe uma vulnerabilidade de segurança num componente do Windows utilizado pelo WebDAV. Esta vulnerabilidade ocorre porque o componente contém uma memória intermédia não verificada.

Um atacante poderá tirar partido desta vulnerabilidade enviando um pedido de HTTP especialmente formado para um computador com o Microsoft IIS (Serviços de informação Internet - Internet Information Services) em execução. O pedido pode fazer com que o servidor falhe ou execute um código escolhido pelo atacante. O código seria executado no contexto de segurança do serviço IIS. (Por predefinição, o serviço IIS é executado no contexto LocalSystem.)

Apesar de a Microsoft ter fornecido um patch referente a esta vulnerabilidade e recomendar a respectiva instalação imediatamente, foram fornecidas ferramentas e medidas de prevenção adicionais que pode utilizar para bloquear a capacidade de tirar partido desta vulnerabilidade enquanto avalia o impacto e compatibilidade do patch. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base:
816930  (http://support.microsoft.com/kb/816930/PT/ ) MS03-007: Como contornar a vulnerabilidade abordada no artigo 815021

Factores atenuantes

  • A configuração predefinida do URLScan impede que seja tirado partido da vulnerabilidade. O URLScan faz parte da ferramenta IIS Lockdown. Para obter mais informações sobre o URLScan, visite o seguinte Web site da Microsoft:
    http://www.microsoft.com/technet/security/URLScan.asp (http://www.microsoft.com/technet/security/URLScan.asp)
    Para obter mais informações sobre a ferramenta IIS Lockdown, visite o seguinte Web site:
    http://www.microsoft.com/technet/security/tools/locktool.mspx (http://www.microsoft.com/technet/security/tools/locktool.mspx)
  • Só é possível tirar partido da vulnerabilidade remotamente se um atacante conseguir estabelecer uma sessão Web num servidor afectado.

Resolução

Informações sobre Service Packs

Windows 2000

Para resolver este problema, obtenha o Service Pack mais recente do Microsoft Windows 2000. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
260910  (http://support.microsoft.com/kb/260910/PT/ ) Como obter o Service Pack mais recente do Windows 2000

Informações sobre o patch de segurança

Windows XP

Informações de transferência
Os seguintes ficheiros estão disponíveis para transferência a partir do centro de transferências da Microsoft:

Windows XP (todos os idiomas)
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote 815021 agora. (http://microsoft.com/downloads/details.aspx?FamilyId=84FC577D-F2D5-47B8-AB98-77BA7501B00B&displaylang=pt-pt)
Windows XP 64-Bit Edition
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote 815021 agora. (http://microsoft.com/downloads/details.aspx?FamilyId=97945A5D-DB0B-40F8-9A2E-DE93CBB5CB3A&displaylang=en)
Data de edição: 28 de Maio de 2003

Para obter informações adicionais sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
119591  (http://support.microsoft.com/kb/119591/PT/ ) Como obter ficheiros de suporte da Microsoft a partir de serviços online
A Microsoft procedeu à detecção de vírus neste ficheiro. A Microsoft utilizou o software de detecção de vírus mais actual disponível na data em que o ficheiro foi publicado. O ficheiro está armazenado em servidores com segurança melhorada, que ajudam a impedir quaisquer alterações não autorizadas ao ficheiro.
Pré-requisitos

Este patch requer a versão comercializada do Windows XP ou o Windows XP Service Pack 1 (SP1). Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
322389  (http://support.microsoft.com/kb/322389/PT/ ) Como obter o Service Pack mais recente do Windows XP
Informações de instalação

Este patch suporta os seguintes parâmetros de configuração:
  • /?: apresenta a lista de parâmetros de instalação.
  • /u: utiliza o modo automático.
  • /f: determina o fecho de outros programas quando o computador é encerrado.
  • /n: não efectua a cópia de segurança de ficheiros para remoção.
  • /o: substitui ficheiros OEM sem pedir confirmação.
  • /z: não reinicia o computador quando a instalação é concluída.
  • /q: utiliza o modo silencioso (sem interacção do utilizador).
  • /l: lista as correcções instaladas.
  • /x: extrai os ficheiros sem executar o programa de configuração.
Por exemplo, para instalar o patch sem qualquer intervenção do utilizador e não forçar o reinício do computador, utilize a seguinte linha de comandos:
q815021_wxp_sp2_x86_ptg /u /q /z
Para verificar se o patch está instalado no computador, confirme a existência da seguinte chave de registo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021
Informações de remoção

Pode remover esta actualização, utilize a ferramenta Adicionar ou remover programas (Add or Remove Programs) do Painel de controlo (Control Panel).

Os administradores de sistema podem utilizar o utilitário Spunist.exe para remover este patch. O Spuninst.exe encontra-se na pasta %Windir%\$NTUninstallQ815021$\Spuninst e suporta os seguintes parâmetros de configuração:
  • /?: apresenta a lista de parâmetros de instalação.
  • /u: utiliza o modo automático.
  • /f: determina o fecho de outros programas quando o computador é encerrado.
  • /z: não reinicia o computador quando a instalação é concluída.
  • /q: utiliza o modo silencioso (sem interacção do utilizador).
Necessidade de reinício

Tem de reiniciar o computador depois de aplicar este patch, uma vez que o Ntdll.dll é um ficheiro binário principal do sistema, que é carregado durante o arranque do mesmo. O computador mantém-se vulnerável até ser reiniciado.

Informações sobre os ficheiros

A versão inglesa desta correcção tem os atributos de ficheiro listados na seguinte tabela (ou posteriores). As datas e horas destes ficheiros são indicadas no formato de hora universal coordenada (UTC, Universal Coordinated Time). Ao visualizar as informações dos ficheiros, estas serão convertidas na hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador Fuso horário (Time Zone) da ferramenta Data e hora (Date and Time) no Painel de controlo (Control Panel).

Windows XP
   Data         Hora   Versão         Tamanho  Caminho e nome do ficheiro
   ---------------------------------------------------------------------------------
   02-May-2003  15:03  5.1.2600.114   651,264  %Windir%\System32\Ntdll.dll  pré-SP1
   01-May-2003  20:56  5.1.2600.1217  654,336  %Windir%\System32\Ntdll.dll  com SP1

Windows XP 64-Bit Edition
   Data         Hora   Versão         Tamanho    Caminho e nome do ficheiro
   ------------------------------------------------------------------------------------
   02-May-2003  15:03  5.1.2600.114   1,498,112  %WinDir%\System32\Ntdll.dll   pré-SP1
   01-May-2003  14:57  5.1.2600.114     654,336  %WinDir%\System32\Wntdll.dll  pré-SP1
   01-May-2003  20:56  5.1.2600.1217  1,508,864  %WinDir%\System32\Ntdll.dll   com SP1
   30-Apr-2003  21:43  5.1.2600.1217    657,408  %WinDir%\System32\Wntdll.dll  com SP1
Pode também verificar os ficheiros instalados por este patch consultando a seguinte chave de registo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021\Filelist

Windows 2000

Informações de transferência

Os seguintes ficheiros estão disponíveis para transferência a partir do centro de transferências da Microsoft:

Todos os idiomas excepto japonês NEC
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote 815021 agora. (http://www.microsoft.com/downloads/details.aspx?FamilyId=C9A38D45-5145-4844-B62E-C69D32AC929B&displaylang=pt-pt)
Japonês NEC
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote 815021 agora. (http://www.microsoft.com/downloads/details.aspx?FamilyId=FBCF9847-D3D6-4493-8DCF-9BA29263C49F&displaylang=ja)
Data de edição: 17 de Março de 2003

Para obter informações adicionais sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
119591  (http://support.microsoft.com/kb/119591/PT/ ) Como obter ficheiros de suporte da Microsoft a partir de serviços online
A Microsoft procedeu à detecção de vírus neste ficheiro. A Microsoft utilizou o software de detecção de vírus mais actual disponível na data em que o ficheiro foi publicado. O ficheiro está armazenado em servidores com segurança melhorada, que ajudam a impedir quaisquer alterações não autorizadas ao ficheiro. Pré-requisitos

Este patch requer o Windows 2000 Service Pack 2 (SP2) ou Windows 2000 Service Pack 3 (SP3). Para obter informações adicionais sobre como obter o Service Pack mais recente, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
260910  (http://support.microsoft.com/kb/260910/PT/ ) Como obter o Service Pack mais recente do Windows 2000
Nota: se estiver a utilizar o Windows 2000 Service Pack 2 (SP2), consulte o aviso no início deste artigo antes de aplicar este patch.

Informações de instalação

Este patch suporta os seguintes parâmetros de configuração:
  • /?: apresenta a lista de parâmetros de instalação.
  • /u: utiliza o modo automático.
  • /f: determina o fecho de outros programas quando o computador é encerrado.
  • /n: não efectua a cópia de segurança de ficheiros para remoção.
  • /o: substitui ficheiros OEM sem pedir confirmação.
  • /z: não reinicia o computador quando a instalação é concluída.
  • /q: utiliza o modo silencioso (sem interacção do utilizador).
  • /l: lista as correcções instaladas.
  • /x: extrai os ficheiros sem executar o programa de configuração.
Por exemplo, para instalar o patch sem qualquer intervenção do utilizador e não forçar o computador a reiniciar, utilize a seguinte linha de comandos:
q815021_w2k_sp4_x86_pt /u /q /z
Para verificar se o patch está instalado no computador, confirme a existência da seguinte chave de registo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021
Informações de remoção

Pode remover este patch utilizando a ferramenta Adicionar/remover programas (Add/Remove Programs) no Painel de controlo (Control Panel) para remover "Windows 2000 Hotfix (SP4) Q815021".

Os administradores de sistema podem usar o utilitário Spunist.exe para remover este patch. O Spuninst.exe encontra-se na pasta %Windir%\$NTUninstallQ815021$\Spuninst e suporta os seguintes parâmetros de configuração:
  • /?: apresenta a lista de parâmetros de instalação.
  • /u: utiliza o modo automático.
  • /f: determina o fecho de outros programas quando o computador é encerrado.
  • /z: não reinicia o computador quando a instalação é concluída.
  • /q: utiliza o modo silencioso (sem interacção do utilizador).
Necessidade de reinício

Tem de reiniciar o computador depois de aplicar este patch, uma vez que o Ntdll.dll é um ficheiro binário principal do sistema que é carregado durante o arranque do mesmo. O computador mantém-se vulnerável até ser reiniciado.

Informações sobre os ficheiros

A versão inglesa desta correcção tem os atributos de ficheiro listados na seguinte tabela (ou posteriores). As datas e horas destes ficheiros são indicadas no formato de hora universal coordenada (UTC, Universal Coordinated Time). Ao visualizar as informações dos ficheiros, estas serão convertidas na hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador Fuso horário (Time Zone) da ferramenta Data/Hora (Date and Time) no Painel de controlo (Control Panel).

   Data         Hora   Versão         Tamanho  Caminho e nome do ficheiro
   -----------------------------------------------------------------------
   15-Mar-2003  01:23  5.0.2195.6685  476,944  %Windir%\System32\Ntdll.dll

Também pode verificar os ficheiros instalados por este patch examinando a seguinte chave do registo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021\Filelist

Windows NT 4.0 (todas as versões)

O Microsoft Internet Information Server (IIS) não se destina a ser utilizado no Windows NT Server 4.0, Terminal Server Edition, e não é suportado. A Microsoft recomenda que os clientes que tenham o IIS 4.0 em execução no Windows NT Server 4.0, Terminal Server Edition, protejam os respectivos sistemas removendo o IIS 4.0.

Informações de transferência

Os seguintes ficheiros estão disponíveis para transferência a partir do centro de transferências da Microsoft:

Windows NT 4.0:

Todos os idiomas excepto japonês NEC e chinês de Hong Kong:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote 815021 agora. (http://www.microsoft.com/downloads/details.aspx?FamilyId=9A64851A-05AE-4912-9967-3AA3B4D5A76F&displaylang=en)
Japonês NEC:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote 815021 agora. (http://www.microsoft.com/downloads/details.aspx?FamilyId=E20A695D-977D-4247-AF3B-4B58850B1795&displaylang=ja)
Chinês de Hong Kong:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote 815021 agora. (http://www.microsoft.com/downloads/details.aspx?FamilyId=55483A84-A8C7-48AF-BD83-9EC4B99F87CD&displaylang=zh-tw)
Windows NT Server 4.0, Terminal Server Edition:

Todos os idiomas:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote 815021 agora. (http://www.microsoft.com/downloads/details.aspx?FamilyId=AE57F47F-DC4D-40E9-8879-41A09767111F&displaylang=en)
Data de edição: 23 de Abril de 2003

Para obter informações adicionais sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
119591  (http://support.microsoft.com/kb/119591/PT/ ) Como obter ficheiros de suporte da Microsoft a partir de serviços online
A Microsoft procedeu à detecção de vírus neste ficheiro. A Microsoft utilizou o software de detecção de vírus mais actual disponível na data em que o ficheiro foi publicado. O ficheiro está armazenado em servidores com segurança melhorada, que ajudam a impedir quaisquer alterações não autorizadas ao ficheiro.

Pré-requisitos

Este patch requer o Windows NT 4.0 Service Pack 6a (SP6a) ou o Windows NT Server 4.0, Terminal Server Edition Service Pack 6 (SP6). Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
152734  (http://support.microsoft.com/kb/152734/EN-US/ ) How to Obtain the Latest Windows NT 4.0 Service Pack


Informações de instalação

Este patch suporta os seguintes parâmetros de configuração:
  • /y: executa a remoção (apenas com /m ou /q).
  • /f: determina o fecho dos programas quando o computador é encerrado.
  • /n: não cria uma pasta Uninstall.
  • /z: não reinicia quando a actualização é concluída.
  • /q: utilizar o modo silencioso ou automático sem interface do utilizador. (Este parâmetro inclui o parâmetro /m.)
  • /m: utiliza o modo automático com interface de utilizador.
  • /l: lista as correcções instaladas.
  • /x: extrai os ficheiros sem executar o programa de configuração.
Para verificar se o patch está instalado no computador, confirme a existência da seguinte chave do registo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q815021
Por exemplo, para instalar o patch sem qualquer intervenção do utilizador e não forçar o computador a reiniciar, utilize a seguinte linha de comandos:
q815021i /q /z
Informações de remoção

Pode remover este patch, utilize a ferramenta Add/Remove Programs do Control Panel.

Os administradores de sistema podem usar o utilitário Spunist.exe para remover este patch. O Spuninst.exe encontra-se na pasta %Windir%\$NTUninstallQ815021$\Spuninst e suporta os seguintes parâmetros de configuração:
  • /?: apresenta a lista de parâmetros de instalação.
  • /u: utiliza o modo automático.
  • /f: determina o fecho de outros programas quando o computador é encerrado.
  • /z: não reinicia o computador quando a instalação é concluída.
  • /q: utiliza o modo silencioso (sem interacção do utilizador).
Necessidade de reinício

Tem de reiniciar o computador depois de aplicar este patch, uma vez que o Ntdll.dll é um ficheiro binário principal do sistema que é carregado durante o arranque do mesmo. O computador mantém-se vulnerável até ser reiniciado.

Informações sobre os ficheiros

A versão inglesa desta correcção tem os atributos de ficheiro listados na seguinte tabela (ou posteriores). As datas e horas destes ficheiros são indicadas no formato de hora universal coordenada (UTC, Universal Coordinated Time). Ao visualizar as informações dos ficheiros, estas serão convertidas na hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador Time Zone da ferramenta Date and Time no Control Panel.

   Data         Hora   Versão          Tamanho  Caminho e nome do ficheiro   SO
   ----------------------------------------------------------------------------------------
   24-Mar-2003  10:38  4.0.1381.7212   367,376  %WinDir%\System32\Ntdll.dll  Windows NT 4.0
   24-Mar-2003  07:12  4.0.1381.33546  369,936  %WinDir%\System32\Ntdll.dll  TSE

Ponto Da Situação

A Microsoft confirmou que este problema pode causar um grau de vulnerabilidade da segurança nos produtos Microsoft listados no início deste artigo.

Apenas Windows 2000

Este problema foi corrigido pela primeira vez no Microsoft Windows 2000 Service Pack 4.

Mais Informação

Para obter mais informações sobre esta vulnerabilidade, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS03-007.asp (http://www.microsoft.com/technet/security/bulletin/MS03-007.asp)


Se o computador tiver vários processadores, tem de executar a ferramenta Microsoft Baseline Security Analyzer (MBSA) com o parâmetro /nosum para desactivar a verificação de somas de verificação. Para obter informações adicionais, clique no número de artigo que se segue para visualizá-lo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
320454  (http://support.microsoft.com/kb/320454/PT/ ) Está disponível o Microsoft Baseline Security Analyzer (MBSA) versão 1.1.1

A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Terminal Server
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Professional Edition
Palavras-chave: 
kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbsecurity kbsecbulletin kbwinxppresp2fix kbwin2ksp4fix KB815021
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft