RNP - Rede Nacional de Ensino e Pesquisa

 

Sobre a RNP | Parcerias | Contato

 

A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos

 

RNP > Serviços > Segurança em redes > Alertas do CAIS

Segurança de redes 
 

CAIS-ALR-26052000

Correção: Vulnerabilidade no MS Office 2000 UA ActiveX Control

[CAIS, 26.05.2000, revisão 01]


No úlltimo parágrafo do alerta, onde diz:

Aos usuários de outras ferramentas de e-mail, tal como o Internet Explorer (IE), por exemplo, recomenda-se desabilitar o JavaScript ou qualquer outra linguagem de script, de forma que se impeça o acionamento automático do IE.

Por favor, considerem:

Se você usa o Internet Explorer (IE) como navegador Web, recomenda-se desabilitar o JavaScript ou qualquer outra linguagem de script no cliente de e-mail, de forma que se impeça o acionamento automático do IE.

Segue o alerta corrigido na íntegra.

Motivação

Sendo que existe um grande número de usuários Microsoft, o CAIS gostaria de orientar aos usuários do pacote Microsoft Office 2000 sobre uma vulnerabilidade encontrada neste e que pode representar grandes riscos.

Impacto

Esta vulnerabilidade permite que usuários maldosos utilizem este controle ActiveX erroneamente marcado como sendo "seguro" ('safe for scripting') e injetem código malicioso nele, com o intuito de comprometer seu sistema.

Detalhes

O ActiveX é uma tecnologia usada tipicamente para fazer download de código executável através da Internet.

Este código é 'empacotado' em um único arquivo chamado "controle ActiveX". De certa forma, os controles ActiveX podem ser comparados aos plug-ins do Netscape, no entanto, enquanto os plug-ins do Netscape são manualmente instalados, os controles ActiveX são automaticamente carregados e instalados quando necessários e automaticamente apagados quando não são mais requeridos. Por esta razão é importante que exista uma alta confiança no autor do controle.

Dentre as características destes controles podemos mencionar que eles podem ser assinados, o que dá a certeza que o controle ActiveX é de autoria de quem diz ser. Os controles podem ser assinados pela própria Microsoft ou por outras entidades.

Uma outra característica é que os controles podem ser "safe for scripting", significando que ele é um código seguro, o qual não pode ser usado por usuários maliciosos para comprometer seu sistema.

A falha recentemente encontrada consiste na existência de um controle ActiveX, especificamente o Microsoft Office 2000 UA, que vem erroneamente marcado como "safe for scripting" e, pior, devidamente assinado pela Microsoft.

Assim, sendo que este código não é "seguro", usuários maldosos podem utilizá-lo para injetar código malicioso nele e comprometer seu sistema. A título de ilustração, é possível por exemplo desligar os avisos de execução de macros e eventualmente permitir a entrada de um macro malicioso.

Esta vulnerabilidade pode ser explorada carregando um código HTML via navegação web, mensagem de newsgroup ou por e-mail.

Sistemas afetados

Os sistemas atingidos são aqueles que utilizam Internet Explorer e componentes do Microsoft Office 2000, tais como: Word 2000, Excel 2000, PowerPoint 2000, Access 2000, Photodraw 2000, FrontPage 2000, Project 2000, Outlook 2000, Publisher 2000, Works 2000 Suite.

Solução

A solução para corrigir esta vulnerabilidade é a aplicação da atualização "Office 2000 Security Update", disponível na seguinte URL:

http://www.microsoft.com/downloads/details.aspx?familyid=1e9388cc-76fa-40cf-a84a-6284f5a15533&displaylang=en

Adicionalmente, sabendo que muitas aplicações de e-mail oferecem a facilidade de acionar o navegador web, recomenda-se fortemente desabilitar a opção de execução de linguagens de scripts no seu cliente de mail.

Aos usuários de versões anteriores do MS Outlook 2000 recomenda-se desabilitar a opção "Scripts Ativos" ("Active Scripting") no item "Restrição de Zona" ("Restricted Zone").

Lembre-se que esta solução só será efetiva se for realizada em conjunto com a atualização anteriormente mencionada.

Os usuários da ferramenta de e-mail MS Outlook 2000 podem aplicar a atualização disponível na seguinte URL:

http://www.officeupdate.com/2000/downloadDetails/Out2ksec.htm

Esta permitirá não apenas configurar a "Restrição de Zona" conforme indicado anteriormente, mas também protegerá da exploração de outras falhas de segurança recentemente divulgadas.

Se você usa o Internet Explorer (IE) como navegador Web, recomenda-se desabilitar o JavaScript ou qualquer outra linguagem de script no cliente de e-mail, de forma que se impeça o acionamento automático do IE.

Leitura adicional recomendada

Microsoft Office 2000 UA ActiveX Control Incorrectly Marked "Safe for Scripting"
http://www.cert.org/advisories/CA-2000-07.html

Security Advisory: Microsoft Office 2000 UA Control Scripting
http://www.l0pht.com/advisories/msoua.txt

Microsoft Security Bolletin (MS00-034)
http://www.microsoft.com/technet/security/bulletin/ms00-034.mspx



Centro de Atendimento a Incidentes de Segurança

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Consulta em alertas

 

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Notícias RNP

RNP na mídia

Sala de imprensa

Publicações

Documentos

RSS da RNP

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais

11.10.2012

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731


Rede Nacional de Ensino e Pesquisa

Prédio da Embrapa/Unicamp Av. André Tosello, 209

Cidade Universitária Zeferino Vaz - Campinas - SP

13083-886

tel: 55 19 3787-3300

fax: 55 19 3787-3301


Rede Nacional de Ensino e Pesquisa

SAS, quadra 5, lote 6, bloco H, 7° andar Edifício IBICT

Brasília - DF

70070-914

tel: 55 61 3243-4300

fax: 55 61 3226-5303