Bollettino Microsoft sulla sicurezza MS03-012

Descrizione tecnica:

Nel servizio Winsock Proxy di Proxy Server 2.0 e nel servizio Microsoft Firewall di ISA Server è presente una vulnerabilità che consente a un hacker sulla rete interna di inviare un pacchetto appositamente predisposto in grado di utilizzare al 100% la CPU del server, impedendo qualsiasi risposta alle richieste interne ed esterne.

Il servizio Winsock Proxy e Microsoft Firewall interagisce con i protocolli FTP, Telnet, Internet Relay Chat (IRC), di posta e news o con altre applicazioni client compatibili con Windows Sockets (Winsock), facendole funzionare come se fossero collegate direttamente a Internet. Reindirizza infatti a un computer con Proxy Server 2.0 o ISA Server le funzioni di comunicazione necessarie, stabilendo tramite tale computer un percorso di comunicazione dall'applicazione interna a Internet.

Fattori attenuanti:

Livello di gravità:

La classificazione della gravità di cui alla tabella precedente si basa sui tipi di sistemi interessati dalla vulnerabilità, sui modelli di deployment più comuni e sui potenziali effetti del problema in tali ambienti.

Identificatore della vulnerabilità:CAN-2003-0110 

Versioni testate:

Microsoft ha eseguito il testing di Proxy Server 2.0 e ISA Server per valutare se tali versioni sono interessate dalla vulnerabilità.

Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità di negazione del servizio. Sfruttando questa vulnerabilità, l'autore dell'attacco è in grado di impedire a un computer che esegue Proxy Server 2.0 o ISA Server di rispondere alle richieste. Riavviando il servizio Winsock Proxy in Proxy Server 2.0 o Microsoft Firewall in ISA Server, verrà ripristinato il funzionamento corretto del computer, lasciandolo tuttavia esposto ad altri attacchi di negazione del servizio.

In quale modo un hacker può sfruttare questa vulnerabilità?
Un hacker può sfruttare la vulnerabilità inviando una richiesta opportunamente predisposta a un computer Proxy Server 2.0 o ISA Server.

È possibile che venga eseguito via Internet un attacco in grado di sfruttare questa vulnerabilità?
Un attacco da Internet è possibile in una configurazione molto specifica. Può presentarsi un problema soltanto se un filtro di pacchetti viene configurato in modo da consentire il traffico in ingresso sulla porta 1745, diretto all'interfaccia esterna del computer Proxy Server 2.0 o ISA Server. Poiché questa impostazione non è predefinita e deve essere configurata manualmente sul server, la probabilità che si verifichi un attacco da Internet è limitata.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Lo sfruttamento di questa vulnerabilità consente di impedire a un computer ISA Server di rispondere a tutte le richieste.

L'autore di un attacco può sfruttare la vulnerabilità per assumere il controllo del computer Proxy Server 2.0 o ISA Server?
No. Si tratta esclusivamente di un attacco di negazione del servizio. Non è possibile ottenere privilegi amministrativi sul computer ISA Server.

L'autore di un attacco può sfruttare la vulnerabilità per violare la protezione del firewall?
No. Non è possibile sfruttare la vulnerabilità per ridurre il livello di protezione offerto dal firewall.

Che cos'è Proxy Server 2.0? Proxy Server 2.0 svolge la funzione di gateway Internet per i computer client. Un server proxy agisce in genere da intermediario tra una rete privata e Internet. Proxy Server 2.0 memorizza inoltre nella cache il contenuto Internet per gli utenti interni, in modo da incrementare le prestazioni e ridurre la larghezza di banda di rete in uscita.

Che cos'è ISA Server?
ISA Server integra un firewall di livello aziendale e una cache Web a elevate prestazioni. Il firewall protegge la rete definendo le risorse a cui è possibile accedere e le condizioni con cui deve avvenire l'accesso. La cache Web contribuisce a migliorare le prestazioni della rete, memorizzando copie locali dei contenuti Web richiesti più di frequente. È possibile installare ISA Server in tre diverse modalità: firewall, cache e integrata.

La modalità firewall consente agli amministratori di proteggere le comunicazioni di rete mediante la configurazione di regole per il controllo delle comunicazioni tra la rete aziendale e Internet. La modalità cache consente di migliorare le prestazioni della rete memorizzando sul server le pagine Web a cui si accede di frequente. Infine, in modalità integrata sono disponibili tutte le funzionalità delle modalità cache e firewall.

Che cos'è Winsock?
Winsock, abbreviazione di Windows Socket, è un'API (Application Programming Interface) che consente alle applicazioni Windows di comunicare con altri computer mediante il protocollo di rete TCP/IP.

Che cosa sono i servizi Winsock Proxy e Microsoft Firewall?
I servizi Winsock Proxy di Proxy Server 2.0 e Microsoft Firewall di ISA Server consentono alle applicazioni Internet di funzionare come se fossero collegate direttamente a Internet. Reindirizzano infatti a un computer con Proxy Server 2.0 o ISA Server le funzioni di comunicazione necessarie, stabilendo un percorso di comunicazione dall'applicazione interna a Internet tramite il computer server.

In questo modo si elimina la necessità di un gateway specifico per ogni protocollo, ad esempio Network News Transfer Protocol (NNTP), Simple Mail Transfer Protocol (SMTP), Telnet o File Transfer Protocol (FTP).

Il servizio Winsock Proxy o Microsoft Firewall è attivato per impostazione predefinita?
Il servizio Winsock Proxy è attivato per impostazione predefinita in Proxy Server 2.0. Il servizio Microsoft Firewall è attivato per impostazione predefinita se ISA Server è installato in modalità firewall o integrata, mentre è disattivato se è installato in modalità cache.

Qual è la procedura per verificare se uno di questi servizi è in esecuzione sul server?
Per verificare se il servizio è in esecuzione sul server, seguire i passaggi relativi alla versione del software installata:

Qual è il problema relativo al servizio Winsock Proxy di Proxy Server 2.0 e al servizio Microsoft Firewall di ISA Server?
I servizi gestiscono in modo non corretto una particolare risposta proveniente dai client remoti, impedendo al server di rispondere alle richieste future.

Quali rischi comporta la vulnerabilità per i sistemi?
In Proxy Server 2.0 il servizio Winsock Proxy è attivato per impostazione predefinita, mentre il servizio Microsoft Firewall lo è se ISA Server è installato in modalità firewall o integrata. Questa impostazione consente potenzialmente a qualsiasi utente interno di sfruttare la vulnerabilità per impedire al computer Proxy Server 2.0 o ISA Server di rispondere alle richieste. Il servizio Microsoft Firewall è disattivato per impostazione predefinita nei computer ISA Server in esecuzione in modalità cache.

Quali sono gli scopi della patch?
La patch elimina il rischio di attacchi di negazione del servizio assicurando che il servizio Winsock Proxy o Microsoft Firewall risponda correttamente alle richieste.

Posizioni per il download di questa patch

Piattaforme per l'installazione:
È possibile installare questa patch nei seguenti sistemi:

Microsoft Proxy Server 2.0:

È possibile installare la patch nei sistemi che eseguono Proxy Server 2.0 Service Pack 1.

Disponibilità nei service pack futuri:
No

Necessario riavvio: sì

Possibilità di disinstallare la patch: si

Patch preesistenti: Nessuna

Microsoft ISA Server:

È possibile installare la patch nei sistemi che eseguono ISA Server Service Pack 1 o ISA Server Feature Pack 1.

Disponibilità nei service pack futuri: La correzione di questo problema verrà inclusa nel prossimo service pack di ISA Server.

Necessario riavvio: no

Possibilità di disinstallare la patch: sì

Patch preesistenti: Nessuna

Verifica dell'installazione della patch:

•

Proxy Server 2.0: • Per verificare che la patch sia stata installata nel computer, verificare la presenza della seguente chiave del Registro di sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\HotFix\Q331066 • Per controllare i singoli file, utilizzare le informazioni di data/ora e di versione disponibili nell'articolo della Knowledge Base 331066.

•

ISA Server: • Per verificare che la patch sia stata installata nel computer, verificare la presenza della seguente chiave del Registro di sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Hotfixes\SP1\257 • In alternativa, per verificare l'installazione della patch è possibile eseguire la seguente procedura: 1. Fare clic su Start, scegliere Settings, quindi Control Panel. 2. Fare doppio clic su Add/Remove Programs. 3. Fare clic su Microsoft ISA Server 2000 Updates. 4. Fare clic su Change. 5. Aprire il menu a discesa. Se viene visualizzato ISA Hot Fix 257, la patch è stata installata correttamente. • Per controllare i singoli file, utilizzare le informazioni di data/ora e di versione disponibili nell'articolo della Knowledge Base 331066.

Avvertenze:

Nessuna

Localizzazione:

È possibile installare la patch in tutti i sistemi che eseguono Microsoft Proxy Server 2.0 o ISA Server, indipendentemente dalla versione della lingua.

Download di altre patch di protezione:

Sono disponibili patch per altri problemi di protezione nei seguenti siti:

•	Le patch di protezione sono disponibili nel Microsoft Download Center ed è possibile individuarle in modo semplice eseguendo una ricerca con la parola chiave "security_patch".
•	Le patch per i sistemi consumer sono disponibili nel sito Web Windows Update.

Top of section