TechNet Home > Sicurezza

Advisory Microsoft sulla sicurezza (899588)

Una vulnerabilità nel servizio Plug and Play può consentire l'esecuzione di codice in modalità remota e l'acquisizione di privilegi più elevati.

Published: novembre 08, 2005 | Updated: 15-08-2005

Microsoft sta analizzando attivamente e fornendo informazioni su un worm dannoso identificato come "Worm:Win32/Zotob.A" e sulle relative varianti attualmente diffuse su Internet. Il worm costituisce un attacco dannoso che sfrutta la vulnerabilità di Windows Plug and Play descritta nel Bollettino Microsoft sulla sicurezza MS05-039 il 9 agosto 2005.

Una prima fase di ricerca ha stabilito che il worm attacca in remoto i sistemi Windows 2000. Per ulteriori informazioni su questo worm, per verificare se il sistema è stato infettato e per istruzioni sulle procedure da adottare per il ripristino, visitare il sito Web sugli incidenti relativi alla sicurezza Zotob oppure consultare la Virus Encyclopedia di Microsoft (Worm:Win32/Zotob.A, Worm:Win32/Zotob.B).

Altre versioni di Windows, tra cui Windows XP Service Pack 2 e Windows Server 2003 non sono interessate da "Worm:Win32/Zotob.A" e dalle sue varianti, a meno che i sistemi non siano già stati compromessi da altro software dannoso. È possibile proteggersi dagli attacchi avvalendosi di questa vulnerabilità e installando gli aggiornamenti per la protezione forniti immediatamente dal bollettino Microsoft sulla sicurezza MS05-039. Il bollettino sulla sicurezza MS05-039 è disponibile sul seguente sito Web.

Microsoft effettua la propria ricerca in questa azione dannosa in modo continuo per capire come poter fornire supporto ai clienti. Stiamo lavorando a stretto contatto con i nostri partner antivirus e aiutando le autorità competenti nella loro ricerca.

Microsoft è a conoscenza del fatto che diverse versioni del codice dannoso dettagliato sono già state pubblicate su Internet per la vulnerabilità, descritta nel Bollettino Microsoft sulla sicurezza MS05-039: Una vulnerabilità nel servizio Plug and Play può consentire l'esecuzione di codice in modalità remota e l'acquisizione di privilegi più elevati (899588). Vedere la sezione "Panoramica" per riferimenti ai siti Web che contengono ulteriori informazioni su questo worm Internet.

La ricerca condotta sul codice dannoso ha accertato che i sistemi con installati gli aggiornamenti descritti in MS05-039 non sono interessati dal problema. Microsoft consiglia di applicare gli aggiornamenti ai prodotti interessati abilitando la funzione degli Aggiornamenti automatici in Windows.

Microsoft è spiacente che alcuni ricercatori di sicurezza abbiano violato la pratica diffusa di ritirare i dati sulla vulnerabilità in data prossima al rilascio dell'aggiornamento e abbiano pubblicato il codice dannoso, danneggiando potenzialmente gli utenti. Richiediamo ai ricercatori sulla sicurezza di rivelare le informazioni sulla vulnerabilità in modo responsabile per disporre del tempo per distribuire gli aggiornamenti e impedire ai criminali di sfruttare la vulnerabilità del software.

Fattori attenuanti:

I sistemi Windows 2000 sono maggiormente interessati da questa vulnerabilità. I clienti Windows 2000 che hanno installato l'aggiornamento per la protezione MS05-039 non sono interessati da questa vulnerabilità. Se un amministratore ha disabilitato le connessioni anonime e ha selezionato l'impostazione predefinita della chiave di registro RestrictAnonymous sul valore 2, i sistemi Windows 2000 non sono vulnerabili in remoto da utenti anonimi. Tuttavia, a causa del rischio di problemi di compatibilità tra applicazioni, sconsigliamo di abilitare questa impostazione in ambienti di produzione senza averla prima verificata su larga scala nei propri ambienti. Per ulteriori informazioni, cercare RestrictAnonymous sul sito Web Microsoft Guida e supporto.

A differenza del target corrente di questo codice dannoso, è importante tenere presente che su Windows XP Service Pack 2 e Windows Server 2003 un utente malintenzionato deve disporre delle credenziali di accesso valide e essere in grado di accedere in locale al sistema per sfruttare questa vulnerabilità. La vulnerabilità non può essere sfruttata in remoto da utenti anonimi o da utenti che dispongono di account utente standard in Windows XP Service Pack 2 o Windows Server 2003 a causa della maggiore sicurezza disponibile direttamente nel componente interessato. Anche se un amministratore ha abilitato le connessioni anonime modificando l'impostazione predefinita della chiave di registro RestrictAnonymous, la vulnerabilità di Windows XP Service Pack 2 e Windows Server 2003 non può essere sfruttata in remoto da utenti anonimi o da parte di utenti che dispongono di account utente standard. Tuttavia, il componente interessato è disponibile in remoto agli utenti che dispongono di autorizzazioni amministrative.

A differenza del target corrente di questo codice di accesso, è importante tenere presente che su Windows XP Service Pack 1 un utente malintenzionato deve essere in possesso di credenziali di accesso valide per sfruttare questa vulnerabilità. La vulnerabilità non può essere sfruttata in remoto da utenti anonimi. Tuttavia, il componente interessato è disponibile in remoto per utenti che dispongono di account utente standard su Windows XP Service Pack 1. Il codice dannoso esistente non è progettato per fornire l'autenticazione richiesta per sfruttare la vulnerabilità su questi sistemi operativi. Anche se un amministratore ha abilitato le connessioni anonime modificando l'impostazione predefinita della chiave di registro RestrictAnonymous, i sistemi Windows XP Service Pack 1 non sono esposti ad attacchi remoti da parte di utenti anonimi.

Questo problema non riguarda Windows 98, Windows 98 SE o Windows Millennium Edition.

Informazioni generali

Cenni preliminari

Scopo dell'advisory: rendere nota la disponibilità di un aggiornamento che protegge da questo rischio potenziale.

Stato dell'advisory: pubblicazione dell'advisory Poiché questo problema è già stato trattato nel bollettino sulla sicurezza MS05-039, non sono necessari ulteriori aggiornamenti.

Raccomandazione: È consigliabile installare l'aggiornamento per la protezione MS05-039 per consentire la protezione contro questa vulnerabilità.


RiferimentiIdentificazione
Riferimenti vulnerabilità 

Riferimenti CVE

CAN-2005-1983

Bollettino sulla sicurezza

MS05-039

Dettagli su worm e codici dannosi 

Incidenti della sicurezza Zotob

Sito Web

Microsoft Virus Encyclopedia

Worm:Win32/Zotob.A, Worm:Win32/Zotob.B

Symantec

W32.Zotob.A, W32.Zotob.B

F-Secure

Zotob.A, Zotob.B

McAfee

W32/Zotob.worm, W32/Zotob.worm.b

Nota Questo advisory non verrà aggiornato con future varianti salvo nel caso in cui queste siano materialmente differenti dalle versioni esistenti.

In questo advisory vengono presi in esame i seguenti prodotti software.

Software correlato

Microsoft Windows 2000 Service Pack 4

Microsoft Windows XP Service Pack 1

Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)

Microsoft Windows XP Service Pack 2

Microsoft Windows XP 64-Bit Edition versione 2003 (Itanium)

Microsoft Windows XP Professional x64 Edition

Microsoft Windows Server 2003

Microsoft Windows Server 2003 per sistemi basati su Itanium

Microsoft Windows Server 2003 Service Pack 1

Microsoft Windows Server 2003 con SP1 per sistemi basati su Itanium

Microsoft Windows Server 2003 x64 Edition

Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) e Microsoft Windows Millennium Edition (ME)

Top of sectionTop of section

Domande frequenti

Qual è lo scopo di questo advisory?
Microsoft è consapevole che diverse versioni di codice dannoso dettagliato sono state pubblicate su Internet in relazione alla vulnerabilità trattata nel Bollettino Microsoft sulla sicurezza MS05-039: Una vulnerabilità nel servizio Plug and Play può consentire l'esecuzione di codice in modalità remota e l'acquisizione di privilegi più elevati (899588). Sembra che le versioni di worm Internet esistenti siano state modificate per utilizzare questo codice dannoso. Microsoft è attualmente al corrente di attacchi di clienti attivi che tentano di sfruttare questa vulnerabilità. Microsoft sta monitorando questa situazione in modo costante per tenere informati i clienti e fornire loro l'assistenza necessaria.

L'analisi di questo codice dannoso ha stabilito che esso non è in grado di infettare i clienti che hanno installato sul proprio computer gli aggiornamenti specificati in modo dettagliato in MS05-039.  Microsoft raccomanda ai propri clienti di applicare gli aggiornamenti ai prodotti interessati attivando la funzione Aggiornamenti automatici di Windows.

Il problema descritto è una vulnerabilità a livello di sicurezza che richiede la pubblicazione di un nuovo aggiornamento Microsoft?
No. I clienti che hanno installato gli aggiornamenti di protezione MS05-039 non sono interessati da questa vulnerabilità.

A cosa è dovuto questo rischio?
Un buffer non controllato nel servizio Plug and Play. Per ulteriori informazioni sulle vulnerabilità, vedere il Bollettino sulla sicurezza MS05-039.

A quali attacchi viene esposto il sistema a causa di questa funzionalità?
Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato riuscendo quindi a installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

Top of sectionTop of section

Interventi consigliati

Si consiglia di installare gli aggiornamenti di protezione MS05-039 per proteggersi da questa vulnerabilità.

I sistemi Windows 2000 sono maggiormente interessati da questa vulnerabilità. I clienti che hanno installato gli aggiornamenti di protezione MS05-039 non sono interessati da questa vulnerabilità.

Se si ritiene di essere stati infettati da questo worm o da varianti di esso, eseguire la pulizia del sistema.

Per istruzioni sull'individuazione del worm e delle relative varianti e sulla pulizia dei sistemi infettati dal worm, vedere il sito Web sugli incidenti della sicurezza Zotob o la Microsoft Virus Encyclopedia (Worm:Win32/Zotob.A, Worm:Win32/Zotob.B).

I clienti che ritengono di essere stati attaccati devono contattare l'ufficio FBI locale o pubblicare il proprio reclamo sul sito Web dell'Internet Fraud Complaint Center (IFCC). Per i clienti che risiedono al di fuori degli Stati Uniti, si consiglia di contattare l'autorità giudiziaria locale.

Se si ritiene di essere interessati da questo problema e si desidera usufruire dei servizi del supporto tecnico, visitare il sito del Servizio Supporto Tecnico Clienti Microsoft. Le chiamate al supporto tecnico per problemi relativi agli aggiornamenti per la protezione o a virus sono gratuite." I clienti internazionali possono ottenere assistenza tecnica utilizzando uno dei metodi elencati nel sito Web Guida alla sicurezza e supporto tecnico per utenti privati.

Per garantire la sicurezza dei sistemi contro i tentativi di sfruttamento delle vulnerabilità, tutti i clienti devono applicare gli aggiornamenti per la protezione più recenti rilasciati da Microsoft. I clienti che hanno abilitato gli aggiornamenti automatici riceveranno automaticamente tutti gli aggiornamenti Windows. Per ulteriori informazioni sugli aggiornamenti per la protezione, visitare il sito Web Sicurezza di Microsoft.

Protezione dei PC

Microsoft incoraggia a seguire le indicazioni disponibili in Proteggi il tuo PC per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni su questi passaggi, visitare il sito Web Proteggi il tuo PC.

Aggiornamento regolare di Windows

Si consiglia a tutti gli utenti di Windows di applicare gli ultimi aggiornamenti per la protezione Microsoft al fine di garantire la massima sicurezza del computer. Per verificare se il software è aggiornato, visitare il sito Web Microsoft Update per eseguire la scansione del computer e installare eventuali aggiornamenti ad alta priorità. Se la funzionalità Aggiornamenti automatici è attivata, gli aggiornamenti vengono inviati al computer al momento del rilascio, ma è comunque necessario assicurarsi di installarli.

Top of sectionTop of section

Risorse:

Per inviare un commento, completare il modulo visitando il seguente sito Web.

Per usufruire dei servizi del supporto tecnico, visitare il sito del Servizio Supporto Tecnico Clienti Microsoft. Per ulteriori informazioni sulle opzioni di supporto disponibili, visitare il sito Web Microsoft Guida e supporto.

I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto internazionale, visitare il sito Web del supporto internazionale.

Nel sito Web Sicurezza di Microsoft TechNet sono disponibili ulteriori informazioni sulla protezione e la sicurezza dei prodotti Microsoft.

Dichiarazione di non responsabilità:

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Conseguentemente, Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni: 

11 agosto 2005: pubblicazione dell'advisory

14 agosto 2005: Questo advisory è stato aggiornato per informare i clienti che Microsoft è costantemente impegnato ad analizzare ed offrire assistenza relativa al worm dannoso identificato come "Worm:Win32/Zotob.A".

15 agosto 2005: L'advisory è stato aggiornato con ulteriori varianti di Worm:Win32/Zotob.A. Sono state inoltre aggiornate le informazioni relative all'impatto della chiave di registro RestrictAnonymous.


Inizio paginaInizio pagina