Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità di sovraccarico del buffer che, se sfruttata, può consentire a un utente malintenzionato di assumere il controllo completo di un computer remoto. L'autore dell'attacco avrebbe così la possibilità di eseguire qualsiasi operazione sul server, incluse la modifica di pagine Web, la formattazione del disco rigido o l'aggiunta di nuovi utenti al gruppo di amministratori locali. Per effettuare un attacco di questo tipo, l'utente malintenzionato deve essere in grado di inviare un messaggio con formato appositamente predisposto al servizio RPC, in modo da provocare nel computer di destinazione un errore che consenta l'esecuzione di codice non autorizzato. La migliore difesa dagli attacchi RPC remoti via Internet è la configurazione del firewall per il blocco della porta 135. RPC su TCP non è un protocollo progettato per l'utilizzo in ambienti scarsamente protetti come Internet.
Quali sono le cause di questa vulnerabilità?
Questa vulnerabilità è dovuta al fatto che, in determinate circostanze, il servizio RPC di Windows non controlla correttamente l'input dei messaggi. Se un utente malintenzionato invia un messaggio RPC con formato appositamente predisposto dopo l'instaurazione di una connessione RPC, nel computer remoto l'interfaccia DCOM (Distributed Component Object Model) con RPC sottostante genera un errore tale da consentire l'esecuzione di codice non autorizzato.
Che cos'è DCOM?
DCOM (Distributed Component Object Model) è un protocollo che consente la comunicazione diretta fra componenti software attraverso una rete. Precedentemente noto come "OLE di rete", DCOM è progettato per l'utilizzo con vari tipi di trasporti di rete, inclusi i protocolli Internet come HTTP. Per ulteriori informazioni su DCOM, fate clic qui.
Che cos'è RPC (Remote Procedure Call)?
RPC (Remote Procedure Call) è un protocollo che può essere utilizzato da un'applicazione per richiedere un servizio a un programma residente in un altro computer della rete. RPC aumenta l'interoperabilità perché per i programmi che lo utilizzano non è necessario conoscere i protocolli di rete che supportano la comunicazione. In questo caso, il programma che invia la richiesta è il client, mentre quello che fornisce il servizio è il server.
Qual è il problema relativo all'implementazione Microsoft di RPC (Remote Procedure Call)?
È presente una vulnerabilità nel componente di RPC che gestisce lo scambio di messaggi tramite TCP/IP. Il problema è dovuto a modalità errate di gestione dei messaggi con formato non valido. Questo particolare difetto interessa un'interfaccia DCOM sottostante, in ascolto sulla porta TCP/IP 135. Inviando un messaggio RPC con formato non valido, un utente malintenzionato può generare nel servizio RPC di un determinato computer un errore tale da consentire l'esecuzione di codice non autorizzato.
Si tratta di un difetto del processo di mapping degli endpoint RPC?
No. Anche se il processo di mapping degli endpoint RPC è in ascolto sulla porta TCP 135, il difetto risiede nell'interfaccia DCOM di livello inferiore, all'interno del processo RPC. Il mapping degli endpoint RPC consente ai client RPC di determinare il numero di porta attualmente assegnato a un particolare servizio RPC. Un endpoint è una porta di protocollo o una named pipe su cui l'applicazione server è in ascolto per le richieste RPC dei client remoti. Le applicazioni client/server possono utilizzare sia porte note che dinamiche.
Il Security Bulletin MS03-010 riguardava anche RPC ma non permetteva di risolvere quella vulnerabilità su Windows NT 4.0. Come avete fatto per risolvere questa vulnerabilità su Windows NT 4.0?
In questo caso il problema di RPC risiedeva nella sottostante interfaccia DCOM, non nell'implementazione complessiva o nello stesso Endpoint Mapper di RPC. Di conseguenza, è stato possibile gestire questa vulnerabilità in Windows NT 4.0 senza dovere ridisegnare l'architettura di porzioni significative del sistema operativo Windows NT 4.0, come sarebbe stato richiesto da una patch per Windows NT 4.0 del Security Bulletin MS03-010.
A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Un utente malintenzionato che riesca a sfruttare questa vulnerabilità può eseguire codice nel sistema interessato avvalendosi dei privilegi dell'account LocalSystem. L'autore dell'attacco potrebbe eseguire qualsiasi operazione sul sistema, incluse l'installazione di programmi, la visualizzazione, la modifica o l'eliminazione di dati oppure la creazione di nuovi account dotati di privilegi completi.
In quale modo un hacker può sfruttare questa vulnerabilità?
Un hacker potrebbe tentare di sfruttare questa vulnerabilità programmando un computer in grado di comunicare attraverso la porta TCP 135 con un server interessato dal problema, in modo da inviare un particolare tipo di messaggio RPC con formato errato. Alla ricezione di tale messaggio il servizio RPC del computer affetto dalla vulnerabilità genererebbe un errore tale da consentire l'esecuzione di codice non autorizzato.
Quali capacità sono necessarie per sfruttare questa vulnerabilità?
Qualsiasi utente in grado di inviare una richiesta TCP sulla porta 135 di un computer interessato da questa vulnerabilità può tentare di sfruttarla. Poiché le richieste RPC sono attive per impostazione predefinita in tutte le versioni di Windows, questo significa essenzialmente che qualsiasi utente in grado di stabilire una connessione con un computer affetto dalla vulnerabilità può tentare di sfruttarla. È possibile accedere al componente interessato anche con altre tecniche, utilizzando ad esempio un metodo che prevede l'accesso interattivo al sistema oppure un'altra applicazione analoga che passa parametri al componente affetto dalla vulnerabilità, in modalità locale o remota.
Quali sono gli scopi della patch?
La patch elimina la vulnerabilità modificando l'interfaccia DCOM in modo che controlli correttamente le informazioni che le vengono passate.
Soluzioni
Esistono soluzioni alternative che è possibile adottare per bloccare lo sfruttamento della vulnerabilità durante la valutazione o il testing della patch?
Sì. Benché per tutti gli utenti sia consigliabile installare la patch appena possibile, sono disponibili diverse soluzioni alternative che è possibile adottare per impedire temporaneamente lo sfruttamento della vulnerabilità.
Nota: tali soluzioni devono essere considerate contromisure temporanee, in quanto sono intese semplicemente a impedire gli attacchi piuttosto che a risolvere la vulnerabilità sottostante.
Di seguito sono riportate le informazioni necessarie per aumentare la protezione dei computer dagli attacchi. In ciascuna sezione sono descritte le soluzioni utilizzabili a seconda della configurazione del sistema e sono illustrate le soluzioni alternative disponibili, in base al livello di funzionalità richiesto.
| • | Blocco della porta 135 a livello di firewall. La porta 135 viene utilizzata per stabilire una connessione RPC con un computer remoto. Bloccando la porta 135 a livello di firewall è possibile evitare che i sistemi protetti dal firewall subiscano attacchi che tentano di sfruttare questa vulnerabilità. |
| • | Utilizzo di Firewall connessione Internet. Se per proteggere la connessione Internet si utilizza Firewall connessione Internet in Windows XP o Windows Server 2003, il traffico RPC in arrivo da Internet viene bloccato per impostazione predefinita. |
| • | Disattivazione di DCOM in tutti i computer interessati. In un computer connesso in rete, il protocollo wire DCOM consente agli oggetti COM presenti nel computer di comunicare con quelli situati negli altri computer. Per aumentare la protezione da questa vulnerabilità, è possibile disattivare DCOM per un computer specifico, ma in questo modo si disattivano tutte le comunicazioni fra gli oggetti di tale computer e quelli presenti negli altri computer. Se si disattiva DCOM in un computer remoto, in seguito non sarà più possibile accedere in modalità remota a tale computer per riattivare DCOM. Per riattivare DCOM sarà pertanto necessario accedere fisicamente a tale computer. |
Per attivare (o disattivare) manualmente DCOM in un computer:
| • | Eseguire Dcomcnfg.exe. In Windows XP o Windows Server 2003, sono necessari i seguenti passaggi aggiuntivi: | • | Espandere la radice della console e fare clic sul nodo Servizi componenti. | | • | Aprire la sottocartella Computer. | | • | Per il computer locale, fare clic con il pulsante destro del mouse su Risorse del computer e scegliere Proprietà. | | • | Per un computer remoto, fare clic con il pulsante destro del mouse sulla cartella Computer, scegliere Nuovo, quindi Computer. Immettere il nome del computer. Fare clic con il pulsante destro del mouse sul nome del computer e scegliere Proprietà. |
|
| • | 2. Fare clic sulla scheda Proprietà predefinite. |
| • | 3. Selezionare (o deselezionare) la casella di controllo Abilita DCOM in questo computer. |
| • |
4. Se si desidera impostare altre proprietà per il computer, fare clic sul pulsante Applica per attivare (o disattivare) DCOM. In caso contrario, fare clic su OK per applicare le modifiche e uscire da Dcomcnfg.exe.
|
