Bollettino Microsoft sulla sicurezza MS04-011
Aggiornamento per la protezione di Microsoft Windows (835732)
Data di pubblicazione: 13 aprile 2004
Aggiornamento: 4 maggio 2004
Versione: 1.3
Riepilogo
Destinatari: clienti che utilizzano Microsoft® Windows®
Effetti della vulnerabilità: esecuzione di codice in modalità remota
Livello di criticità: critico
Raccomandazioni: è opportuno applicare immediatamente l'aggiornamento.
Aggiornamenti per la protezione sostituiti: questo bollettino sostituisce diversi aggiornamenti per la protezione precedenti. Per un elenco completo, vedere la sezione Domande frequenti di questo bollettino.
Avvertenze: l'aggiornamento per la protezione per Windows NT Server 4.0 Terminal Server Edition Service Pack 6 richiede il Windows NT Server 4.0 Terminal Server Edition Security Rollup Package (SRP) come prerequisito. Per scaricare il Security Rollup Package, visitare il seguente sito Web. È necessario installare l'SRP prima di installare l'aggiornamento per la protezione indicato in questo bollettino. Se non si utilizza Windows NT Server 4.0 Terminal Server Edition Service Pack 6, non è necessario installare il Security Rollup Package.
Nell'articolo della Microsoft Knowledge Base 835732 sono documentati i problemi noti che si possono verificare durante l'installazione di questo aggiornamento per la protezione. Sono inoltre riportate le soluzioni consigliate per questi problemi. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 835732.
Software verificato e posizioni per il download dell'aggiornamento per la protezione:
Software interessato:
| • | Microsoft Windows NT® Workstation 4.0 Service Pack 6a - Download dell'aggiornamento |
| • | Microsoft Windows NT Server 4.0 Service Pack 6a - Download dell'aggiornamento |
| • | Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6 - Download dell'aggiornamento |
| • | Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3 e Microsoft Windows 2000 Service Pack 4 - Download dell'aggiornamento |
| • | Microsoft Windows XP e Microsoft Windows XP Service Pack 1 - Download dell'aggiornamento |
| • | Microsoft Windows XP 64-Bit Edition Service Pack 1 - Download dell'aggiornamento |
| • | Microsoft Windows XP 64-Bit Edition, versione 2003 - Download dell'aggiornamento |
| • | Microsoft Windows Server™ 2003 - Download dell'aggiornamento |
| • | Microsoft Windows Server 2003 64-Bit Edition - Download dell'aggiornamento |
| • | Microsoft NetMeeting |
| • | Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) e Microsoft Windows Millennium Edition (ME) - Per dettagli su questi sistemi operativi, consultare la sezione Domande frequenti di questo bollettino. |
I prodotti software elencati sono stati sottoposti a test per determinare se tali versioni sono interessate dalla vulnerabilità. Le altre versioni non includono più il supporto degli aggiornamenti per la protezione o potrebbero non essere interessate dal problema. Per determinare il ciclo di vita del supporto per il prodotto e la versione in uso, visitare il seguente sito Web Microsoft Support Lifecycle.
Informazioni generali
Dettagli tecnici |
Riepilogo
L'aggiornamento risolve alcune vulnerabilità scoperte di recente. Ogni vulnerabilità è illustrata in una sezione a parte del presente bollettino.
Un utente malintenzionato che riesca a sfruttare la più grave di queste vulnerabilità potrebbe assumere il controllo completo del sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati oppure creare nuovi account con privilegi completi.
Microsoft consiglia di applicare l'aggiornamento immediatamente.
Livelli di gravità e identificatori delle vulnerabilità
| Identificatori delle vulnerabilità | Effetti della vulnerabilità | Windows 98, SE, ME | Windows NT 4.0 | Windows 2000 | Windows XP | Windows Server 2003 |
Vulnerabilità LSASS - CAN-2003-0533 | Esecuzione di codice in modalità remota | Nessuno | Nessuno | Critico | Critico | Basso |
Vulnerabilità LDAP - CAN-2003-0663 | Negazione del servizio | Nessuno | Nessuno | Importante | Nessuno | Nessuno |
Vulnerabilità PCT - CAN-2003-0719 | Esecuzione di codice in modalità remota | Nessuno | Critico | Critico | Importante | Basso |
Vulnerabilità Winlogon - CAN-2003-0806 | Esecuzione di codice in modalità remota | Nessuno | Moderato | Moderato | Moderato | Nessuno |
Vulnerabilità metafile - CAN-2003-0906 | Esecuzione di codice in modalità remota | Nessuno | Critico | Critico | Critico | Nessuno |
Vulnerabilità di Guida in linea e supporto tecnico - CAN-2003-0907 | Esecuzione di codice in modalità remota | Nessuno | Nessuno | Nessuno | Critico | Critico |
Vulnerabilità di Utility Manager - CAN-2003-0908 | Acquisizione di privilegi più elevati | Nessuno | Nessuno | Importante | Nessuno | Nessuno |
Vulnerabilità di Gestione Windows - CAN-2003-0909 | Acquisizione di privilegi più elevati | Nessuno | Nessuno | Nessuno | Importante | Nessuno |
Vulnerabilità della tabella del descrittore locale - CAN-2003-0910 | Acquisizione di privilegi più elevati | Nessuno | Importante | Importante | Nessuno | Nessuno |
Vulnerabilità H.323* - CAN-2004-0117 | Esecuzione di codice in modalità remota | Non critico | Nessuno | Importante | Importante | Importante |
Vulnerabilità della Virtual DOS Machine - CAN-2004-0118 | Acquisizione di privilegi più elevati | Nessuno | Importante | Importante | Nessuno | Nessuno |
Vulnerabilità SSP di negoziazione - CAN-2004-0119 | Esecuzione di codice in modalità remota | Nessuno | Nessuno | Critico | Critico | Critico |
Vulnerabilità SSL - CAN-2004-0120 | Negazione del servizio | Nessuno | Nessuno | Importante | Importante | Importante |
Vulnerabilità ASN.1 "double free" - CAN-2004-0123 | Esecuzione di codice in modalità remota | Non critico | Critico | Critico | Critico | Critico |
Livello di gravità aggregato per tutte le vulnerabilità | Non critico | Critico | Critico | Critico | Critico |
*Nota Il livello di gravità della vulnerabilità H.323 - CAN-2004-0117 è Importante per la versione autonoma di NetMeeting. Per scaricare una versione aggiornata di NetMeeting in cui la vulnerabilità sia risolta, visitare il seguente sito Web. Questa versione di NetMeeting può essere installata su tutti i sistemi in cui sia in esecuzione Windows 98, Windows 98 Second Edition, Windows Millennium Edition e Windows NT 4.0. La versione aggiornata di NetMeeting che risolve questa vulnerabilità è la 3.01 (4.4.3399).
La classificazione della gravità di cui alla tabella precedente si basa sui tipi di sistemi interessati dalla vulnerabilità, sui modelli di deployment più comuni e sui potenziali effetti del problema in tali ambienti.
Domande frequenti relative a questo aggiornamento per la protezione |
Perché questo aggiornamento affronta diverse vulnerabilità di protezione segnalate?
L'aggiornamento contiene un supporto per diverse vulnerabilità, poiché le modifiche necessarie per risolvere tali problemi si trovano in file correlati. Invece di dover installare diversi aggiornamenti contenenti file quasi identici, è possibile installare solo il presente aggiornamento.
Quali aggiornamenti sostituisce questo rilascio?
Questo aggiornamento per la protezione sostituisce diversi bollettini sulla sicurezza precedenti. Gli ID dei bollettini sulla sicurezza e i sistemi operativi interessati sono elencati nella tabella che segue.
| ID bollettino | Windows NT 4.0 | Windows 2000 | Windows XP | Windows Server 2003 |
Sostituito | Non applicabile | Non applicabile | Non applicabile | |
Non sostituito | Sostituito | Non applicabile | Non applicabile | |
Non applicabile | Sostituito | Non applicabile | Non applicabile | |
Non sostituito | Sostituito | Non applicabile | Non applicabile | |
Sostituito | Non sostituito | Non sostituito | Non applicabile | |
Non applicabile | Sostituito | Non sostituito | Non applicabile | |
Sostituito | Sostituito | Non sostituito | Non applicabile | |
Non sostituito | Sostituito | Non sostituito | Non applicabile | |
Sostituito | Sostituito | Non sostituito | Non applicabile | |
Non applicabile | Sostituito | Non applicabile | Non applicabile | |
Sostituito | Non sostituito | Non sostituito | Non sostituito | |
Sostituito | Sostituito | Non sostituito | Non sostituito | |
Sostituito | Sostituito | Sostituito | Sostituito |
Il presente aggiornamento è di tipo cumulativo o di rollup?
Nessuno dei due. Un aggiornamento per la protezione cumulativo include, in genere, il supporto per tutti gli aggiornamenti precedenti. Questo aggiornamento non include il supporto per tutti i precedenti aggiornamenti su tutti i sistemi operativi.
Un rollup di aggiornamento per la protezione viene di norma utilizzato per combinare precedenti rilasci in un solo aggiornamento, per semplificare l'installazione e rendere più veloce il download. A differenza di questo aggiornamento, i rollup di aggiornamento per la protezione non includono in genere modifiche per risolvere nuove vulnerabilità.
Come incide l'estensione dei servizi di supporto per Windows 98, Windows 98 Second Edition e Windows Millennium Edition sul rilascio di aggiornamenti per la protezione per i sistemi operativi in questione?
Microsoft rilascerà aggiornamenti per la protezione solo per i problemi di sicurezza critici. Durante questo periodo di supporto non saranno offerti servizi per i problemi non critici. Per ulteriori informazioni sulla politica Microsoft Support Lifecycle per questi sistemi operativi, visitare il seguente sito Web.
Per ulteriori informazioni sui livelli di gravità, visitare il seguente sito Web.
Le vulnerabilità affrontate in questo bollettino sulla sicurezza sono critiche per Windows 98, Windows 98 Second Edition o Windows Millennium Edition?
No. Nessuna di queste vulnerabilità è di livello critico per Windows 98, Windows 98 Second Edition o Windows Millennium Edition.
L'aggiornamento include anche altre modifiche alle funzionalità?
Sì. Oltre alle modifiche elencate in ciascuna delle sezioni sui dettagli delle vulnerabilità presenti nel bollettino, questo aggiornamento include la seguente modifica di funzionalità: i file che terminano con l'estensione ".folder" non sono più associati a una directory. I file con questa estensione sono ancora supportati dal sistema operativo interessato, tuttavia, non vengono più visualizzati come una directory in Esplora risorse e in altri programmi.
È possibile utilizzare MBSA (Microsoft Baseline Security Analyzer) per determinare se l'aggiornamento è necessario?
Sì. MBSA stabilirà se l'aggiornamento è necessario. Tuttavia, MBSA non consente di rilevare se è necessaria la versione autonoma aggiornata di NetMeeting e non offre l'aggiornamento richiesto alla versione autonoma di NetMeeting se è stato installato in un sistema Windows NT 4.0. Per scaricare la versione autonoma aggiornata di NetMeeting in cui la vulnerabilità H.323 (CAN-2004-0117) sia risolta, visitare il seguente sito Web. MBSA consente di rilevare se è necessario l'aggiornamento per la vulnerabilità H.323 (CAN-2004-0117) per le versioni di NetMeeting incluse in Windows 2000, Windows XP o Windows Server 2003.
Per ulteriori informazioni sulla vulnerabilità H.323 (CAN-2004-0117), vedere la relativa sezione dei dettagli delle vulnerabilità in questo bollettino. Per ulteriori informazioni su MBSA, visitare il sito Web MBSA. Per maggiori informazioni sui limiti di rilevamento di MBSA, consultare l'articolo della Microsoft Knowledge Base 306460.
Cos'è cambiato in MBSA dalla prima pubblicazione del bollettino?
Quando il bollettino è stato pubblicato il 13 aprile 2004, il rilevamento di questo aggiornamento per la protezione in MBSA non era abilitato per Windows NT 4.0 a causa della mancanza di supporto per il rilevamento della versione autonoma di NetMeeting precedentemente descritta in questo bollettino. A partire dal 21 aprile 2004, MBSA consente di rilevare se è necessario questo aggiornamento per la protezione per Windows NT 4.0 anche se esiste questo limite.
È possibile utilizzare SMS (Systems Management Server) per determinare se questo aggiornamento è necessario?
Sì. SMS è in grado di rilevare e implementare questo aggiornamento per la protezione. Per informazioni su SMS, visitare il sito Web SMS. SMS utilizza MBSA per il rilevamento, pertanto presenta lo stesso limite descritto in precedenza in questo bollettino riguardo alla versione autonoma di NetMeeting.
È possibile utilizzare SMS (Systems Management Server) per determinare se la versione autonoma di NetMeeting è stata installata in un sistema Windows NT 4.0?
Sì. SMS è in grado di rilevare se è necessaria la versione autonoma aggiornata di NetMeeting per un sistema Windows NT 4.0 mediante la ricerca del file "Conf.exe". Tutte le versioni precedenti alla 3.01 (4.4.3399) dovrebbero essere aggiornate.
Dettagli delle vulnerabilità |
Vulnerabilità LSASS - CAN-2003-0533 |
In LSASS esiste una vulnerabilità di sovraccarico del buffer che può consentire l'esecuzione di codice in modalità remota in un sistema interessato. Se un hacker riesce a sfruttarla può assumere il controllo completo del sistema interessato.
Fattori attenuanti della vulnerabilità LSASS - CAN-2003-0533 |
| • | Solo Windows 2000 e Windows XP possono essere attaccati in remoto da un utente anonimo. Sebbene la vulnerabilità sia presente anche in Windows Server 2003 e Windows XP 64-Bit Edition versione 2003, in tali sistemi può essere sfruttata solo da un amministratore locale. |
| • | Windows NT 4.0 non è interessato dalla vulnerabilità. |
| • | Le configurazioni predefinite standard dei firewall e le procedure consigliate per la configurazione dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale. È consigliabile che i sistemi connessi a Internet abbiano un numero minimo di porte esposte. |
Soluzioni alternative per la vulnerabilità LSASS - CAN-2003-0533 |
Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata di seguito.
| • | Creare un file di sola lettura denominato %systemroot%\debug\dcpromo.log. A tale scopo, digitare il seguente comando: echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log Nota Si tratta della procedura di risoluzione più efficace poiché riduce completamente la vulnerabilità impedendo l'esecuzione di codice dannoso. Questa soluzione è appropriata per i pacchetti inviati a porte affette dalla vulnerabilità. | ||||||||||||||
| • | Utilizzare un firewall personale come Firewall connessione Internet, incluso in Windows XP e Windows Server 2003. Se si utilizza la funzionalità Firewall connessione Internet in Windows XP o Windows Server 2003 per proteggere la connessione a Internet, viene bloccato, per impostazione predefinita, il traffico in ingresso non richiesto. Microsoft consiglia di bloccare tutte le comunicazioni in ingresso non richieste provenienti da Internet. Per attivare la funzionalità Firewall connessione Internet utilizzando l'Installazione guidata rete, seguire i passaggi riportati di seguito:
Per configurare manualmente Firewall connessione Internet per una connessione, seguire i passaggi riportati di seguito:
Nota Per consentire l'utilizzo di alcuni programmi e servizi attraverso il firewall, fare clic sul pulsante Impostazioni della scheda Avanzate, quindi selezionare i programmi, i protocolli e i servizi desiderati. | ||||||||||||||
| • | Bloccare i seguenti elementi a livello del firewall:
Queste porte vengono utilizzate per avviare una connessione con RPC. Bloccandole a livello di firewall è quindi possibile evitare che i sistemi protetti dal firewall subiscano attacchi mirati a sfruttare la vulnerabilità. Inoltre, assicurarsi di bloccare qualsiasi altra porta RPC specificamente configurata sul sistema remoto. Microsoft consiglia di bloccare tutte le comunicazioni in ingresso non richieste provenienti da Internet, per impedire gli attacchi che potrebbero utilizzare altre porte. Per ulteriori informazioni sulle porte utilizzate da RPC, visitare il seguente sito Web. | ||||||||||||||
| • | Attivare il filtro TCP/IP avanzato sui sistemi che lo supportano. Per bloccare tutto il traffico non richiesto in ingresso, è possibile attivare il filtro TCP/IP avanzato. Per ulteriori informazioni sulla procedura di configurazione del filtro TCP/IP, vedere l'articolo della Microsoft Knowledge Base 309798. | ||||||||||||||
| • | Bloccare le porte interessate utilizzando IPSec sui sistemi interessati. Utilizzare IPSec (Internet Protocol Security) per proteggere le comunicazioni di rete. Per informazioni dettagliate su IPSec e sull'applicazione di filtri, vedere gli articoli della Microsoft Knowledge Base 313190 e 813878. |
Domande frequenti relative alla vulnerabilità LSASS - CAN-2003-0533 |
Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità di sovraccarico del buffer che, se sfruttata, può consentire a un utente malintenzionato di assumere il controllo completo in remoto di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.
Quali sono le cause di questa vulnerabilità?
Un buffer non controllato nel servizio LSASS.
Che cos'è LSASS?
LSASS (Local Security Authority Subsystem Service) fornisce un'interfaccia per la gestione della protezione locale, dell'autenticazione di dominio e dei processi Active Directory. Gestisce l'autenticazione per il client e il server. Contiene funzionalità utilizzate per supportare utilità di Active Directory.
A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Se un hacker riesce a sfruttarla può assumere il controllo completo del sistema interessato.
Quali capacità sono necessarie per sfruttare questa vulnerabilità?
In Windows 2000 e Windows XP qualsiasi utente anonimo in grado di recapitare un messaggio appositamente predisposto può tentare di sfruttare la vulnerabilità.
In quale modo un hacker può sfruttare questa vulnerabilità?
Per sfruttare la vulnerabilità, un utente malintenzionato può creare un messaggio appositamente predisposto e inviarlo a un sistema interessato, in modo da forzare il sistema ad eseguire codice.
Un hacker può, inoltre, accedere al componente interessato con un'altra strategia. Può, ad esempio, accedere al sistema in modo interattivo o utilizzando un programma che passa parametri al componente affetto dalla vulnerabilità (in locale o in remoto).
Quali sono i sistemi principalmente interessati da questa vulnerabilità?
I sistemi principalmente a rischio sono Windows 2000 e Windows XP.
Windows Server 2003 e Windows XP 64-Bit Edition versione 2003 prevedono un'ulteriore protezione, grazie alla quale, per sfruttare la vulnerabilità, un utente malintenzionato dovrebbe accedere al sistema come amministratore locale.
Quali sono gli scopi dell'aggiornamento?
L'aggiornamento elimina la vulnerabilità modificando il modo in cui il servizio LSASS convalida la lunghezza del messaggio prima di passarlo al buffer allocato.
L'aggiornamento rimuove, inoltre, il codice affetto dalla vulnerabilità da Windows 2000 Professional e Windows XP, poiché tali sistemi operativi non hanno bisogno dell'interfaccia vulnerabile. In questo modo si protegge il sistema da possibili vulnerabilità future del servizio in questione.
Vulnerabilità LDAP - CAN-2003-0663 |
Esiste una vulnerabilità legata alla possibilità di negazione del servizio che potrebbe consentire l'invio di un messaggio LDAP appositamente predisposto a un controller di dominio Windows 2000. Un hacker potrebbe impedire al servizio responsabile dell'autenticazione degli utenti in un dominio Active Directory di rispondere alle richieste.
Fattori attenuanti della vulnerabilità LDAP - CAN-2003-0663 |
| • | Per sfruttare questa vulnerabilità, un utente malintenzionato deve inviare un messaggio LDAP appositamente predisposto al controller di dominio. Se le porte LDAP non sono bloccate da un firewall, per sfruttare la vulnerabilità non saranno necessari ulteriori privilegi. |
| • | La vulnerabilità incide solo sui controller di dominio Windows 2000 Server; i controller di dominio Windows Server 2003 non sono interessati. |
| • | Windows NT 4.0 e Windows XP non sono interessati. |
| • | Se un hacker riesce a sfruttare la vulnerabilità, potrebbe essere visualizzato un avviso in cui si segnala che il sistema verrà riavviato dopo 60 secondi. Al termine del conto alla rovescia, il sistema interessato verrà automaticamente riavviato. Dopo il riavvio, il sistema interessato tornerà a funzionare normalmente. Tuttavia, se non viene applicato l'aggiornamento, il sistema potrebbe essere esposto a un nuovo attacco di negazione del servizio. |
| • | Le configurazioni predefinite standard dei firewall e le procedure consigliate per la configurazione dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale. È consigliabile che i sistemi connessi a Internet abbiano un numero minimo di porte esposte. |
Soluzioni alternative per la vulnerabilità LDAP - CAN-2003-0663 |
Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata di seguito.
| • | Bloccare le porte TCP LDAP 389, 636, 3268 e 3269 a livello del firewall. Queste porte vengono utilizzate per avviare una connessione LDAP con un controller di dominio Windows 2000. Bloccandole a livello di firewall è quindi possibile evitare che i sistemi protetti dal firewall subiscano attacchi mirati a sfruttare la vulnerabilità e generati dall'esterno del perimetro aziendale. Sebbene per sfruttare la vulnerabilità possano essere utilizzate anche altre porte, quelle indicate sono le più comunemente utilizzate per gli attacchi. Microsoft consiglia di bloccare tutte le comunicazioni in ingresso non richieste provenienti da Internet, per impedire gli attacchi che potrebbero utilizzare altre porte. Impatto della soluzione alternativa: sulle connessioni di rete in cui queste porte sono bloccate non potrà essere utilizzata l'autenticazione di dominio di Active Directory. |
Domande frequenti relative alla vulnerabilità LDAP - CAN-2003-0663 |
Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità legata alla possibilità di negazione del servizio che, se sfruttata, può consentire a un utente malintenzionato di forzare il riavvio automatico del sistema e impedire al server di rispondere alle richieste di autenticazione. La vulnerabilità è presente nei sistemi Windows 2000 Server che ricoprono il ruolo di controller di dominio. L'unico effetto sugli altri sistemi Windows 2000 è che i client potrebbero non essere in grado di accedere al dominio, nel caso in cui il controller di dominio smetta di rispondere alle richieste.
Quali sono le cause di questa vulnerabilità?
L'elaborazione di messaggi LDAP appositamente predisposti da parte del servizio LSASS (Local Security Authority Subsystem Service).
Quali sono le caratteristiche di LDAP?
LDAP (Lightweight Directory Access Protocol) è un protocollo standard che consente agli utenti autorizzati di eseguire query o di modificare dati in una metadirectory. Ad esempio, in Windows 2000, LDAP è uno dei protocolli utilizzati per accedere ai dati in Active Directory.
Qual è il punto debole del processo di gestione dei messaggi LDAP appositamente predisposti?
Un hacker può inviare un messaggio LDAP appositamente predisposto al servizio LSASS impedendogli di rispondere alle richieste.
Che cos'è LSASS?
LSASS (Local Security Authority Subsystem Service) fornisce un'interfaccia per la gestione della protezione locale, dell'autenticazione di dominio e dei processi Active Directory. Gestisce l'autenticazione per il client e il server. Contiene funzionalità utilizzate per supportare utilità di Active Directory.
A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Un hacker in grado di sfruttare la vulnerabilità potrebbe impedire al servizio LSASS di rispondere alle richieste e forzare il riavvio del sistema interessato. In questo caso potrebbe essere visualizzato un avviso in cui si segnala che il sistema verrà riavviato dopo 60 secondi. Durante il conto alla rovescia non sarà possibile eseguire né l'autenticazione locale sulla console del sistema interessato né l'autenticazione di dominio degli utenti con il sistema interessato. Al termine del conto alla rovescia, il sistema interessato verrà automaticamente riavviato. Se gli utenti non riescono a eseguire l'autenticazione di dominio con il sistema interessato, potrebbero non accedere alle risorse di dominio. Dopo il riavvio, il sistema interessato tornerà a funzionare normalmente. Tuttavia, se non viene applicato l'aggiornamento, il sistema potrebbe essere esposto a un nuovo attacco di negazione del servizio.
Quali capacità sono necessarie per sfruttare questa vulnerabilità?
Qualsiasi utente anonimo in grado di inviare messaggi LDAP appositamente predisposti al sistema interessato può sfruttare la vulnerabilità.
In quale modo un hacker può sfruttare questa vulnerabilità?
La vulnerabilità può essere sfruttata inviando un messaggio LDAP appositamente predisposto ai controller di dominio di una sola o di più foreste, al fine di provocare una negazione del servizio di autenticazione di dominio in tutta l'azienda. In questo modo è possibile impedire a LSASS di rispondere alle richieste e forzare il riavvio del sistema interessato. Per inviare un messaggio LDAP appositamente predisposto non è necessario disporre di un account utente valido nel dominio: l'attacco può essere eseguito con un accesso anonimo.
Quali sono i sistemi principalmente interessati da questa vulnerabilità?
Sono affetti dalla vulnerabilità solo i controller di dominio Windows 2000.
Se si esegue Windows 2000, quali sistemi è necessario aggiornare?
L'aggiornamento deve essere installato solo sui sistemi che fungono da controller di dominio Windows 2000. Tuttavia, può essere installato in assoluta sicurezza su computer Windows 2000 Server con altri ruoli. Microsoft consiglia di installare l'aggiornamento sui sistemi che potrebbero, in futuro, assumere il ruolo di controller di dominio.
Quali sono gli scopi dell'aggiornamento?
L'aggiornamento elimina la vulnerabilità modificando il modo in cui LSASS elabora il messaggio LDAP appositamente predisposto.
Vulnerabilità PCT - CAN-2003-0719 |
Esiste una vulnerabilità di sovraccarico del buffer nel protocollo PCT (Private Communications Transport), che fa parte della libreria Microsoft Secure Sockets Layer (SSL). Sono interessati dalla vulnerabilità solo i sistemi su cui è attivato SSL e, in alcuni casi, i controller di dominio Windows 2000. Se la vulnerabilità viene sfruttata può consentire a un hacker di assumere il controllo completo del sistema interessato.
Fattori attenuanti della vulnerabilità PCT - CAN-2003-0719 |
| • | Sono interessati solo i sistemi su cui sia attivato SSL e si tratta, in genere, di sistemi server. Il supporto SSL non è attivato per impostazione predefinita su nessuno dei sistemi interessati. Tuttavia, SSL viene in genere utilizzato sui server Web per supportare le applicazioni di e-commerce e online banking, nonché altri programmi che richiedono comunicazioni protette. |
| • | Windows Server 2003 è interessato dal problema solo se un amministratore ha attivato manualmente PCT (anche se è stato attivato SSL). |
| • | In alcuni casi, le funzionalità di Web Publishing di ISA Server 2000 o Proxy Server 2.0 consentono di bloccare i tentativi di sfruttare la vulnerabilità. Alcuni test hanno dimostrato che le funzionalità di Web Publishing di ISA Server 2000, in combinazione con l'attivazione del Packet Filtering e la selezione di tutte le opzioni del Packet Filtering, consentono di bloccare l'attacco senza apparenti effetti collaterali. Anche Proxy Server 2.0 consente di bloccare questo tipo di attacco. Tuttavia, fino a quando non viene applicato l'aggiornamento per la protezione sul sistema Proxy Server 2.0, l'attacco impedisce ai servizi Web di Proxy Server 2.0 di rispondere alle richieste e provoca il riavvio del sistema. |
| • | Le configurazioni predefinite standard dei firewall e le procedure consigliate per la configurazione dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale. È consigliabile che i sistemi connessi a Internet abbiano un numero minimo di porte esposte. |
Soluzioni alternative per la vulnerabilità PCT - CAN-2003-0719 |
Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata di seguito.
| • | Disattivare il supporto PCT tramite il Registro di sistema Questa soluzione è documentata in modo esauriente nell'articolo della Microsoft Knowledge Base 187498, riepilogato di seguito. I passaggi seguenti illustrano come disattivare il protocollo PCT 1.0 impedendo al sistema interessato di negoziarne l'uso. Nota L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione. Per informazioni sulla modifica del Registro di sistema, vedere gli argomenti "Change Keys and Values", della Guida dell'Editor del Registro di sistema (Regedit.exe), o "Add and Delete Information in the Registry" e "Edit Registry Information", della Guida di Regedt32.exe. Nota È buona norma eseguire il backup del Registro di sistema prima di modificarlo.
|
Domande frequenti relative alla vulnerabilità PCT - CAN-2003-0719 |
Qual è la portata o l'impatto di questa vulnerabilità?
Esiste una vulnerabilità di sovraccarico del buffer nel protocollo PCT (Private Communications Transport), che fa parte della libreria Microsoft Secure Sockets Layer (SSL). Sono interessati dalla vulnerabilità solo i sistemi su cui è attivato SSL e, in alcuni casi, i controller di dominio Windows 2000.
Possono essere interessati tutti i programmi che utilizzano SSL. Sebbene SSL sia comunemente associato a Internet Information Services tramite HTTPS e la porta 443, sono a rischio tutti i servizi che implementano SSL su una piattaforma interessata, tra cui Microsoft Internet Information Services 4.0, Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000, Microsoft Exchange Server 2003, Microsoft Analysis Services 2000 (incluso in SQL Server 2000) e qualsiasi programma di terze parti che utilizzi PCT. SQL Server 2000 non è affetto dalla vulnerabilità poiché blocca le connessioni PCT.
Windows Server 2003 e Internet Information Services 6.0 sono interessati dalla vulnerabilità solo se un amministratore ha attivato manualmente PCT (anche se è stato attivato SSL).
Questa vulnerabilità, se sfruttata, può consentire a un utente malintenzionato di assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.
Quali sono le cause di questa vulnerabilità?
Il processo utilizzato dalla libreria SSL per controllare gli input dei messaggi.
Che cos'è la libreria SSL?
La libreria Microsoft Secure Sockets Layer (SSL) contiene il supporto per diversi protocolli di comunicazione protetti tra cui Transport Layer Security 1.0 (TLS 1.0), Secure Sockets Layer 3.0 (SSL 3.0), l'obsoleto e raramente utilizzato Secure Sockets Layer 2.0 (SSL 2.0) e Private Communication Technology 1.0 (PCT 1.0).
Questi protocolli garantiscono una connessione crittografata tra server e client. SSL è in grado di proteggere le informazioni durante la trasmissione in reti pubbliche come Internet. Il supporto SSL richiede un certificato SSL, che deve essere installato su un server. Per ulteriori informazioni su SSL, vedere l'articolo della Microsoft Knowledge Base 245152.
Quali sono le caratteristiche del protocollo PCT?
PCT (Private Communication Technology) è un protocollo sviluppato da Microsoft e Visa International per la comunicazione protetta in Internet. Rappresenta un'alternativa a SSL 2.0. È simile a SSL. I formati dei messaggi sono talmente simili che un server può interagire sia con client che supportano SSL che con client che supportano PCT.
PCT è un protocollo precedente che è stato sostituito da SSL 3.0 e viene utilizzato raramente. La libreria Microsoft Secure Sockets Layer (SSL) supporta PCT solo per la compatibilità con le versioni precedenti. La maggior parte dei server e dei programmi attuali utilizza SSL 3.0 e PCT non è più necessario. Per ulteriori informazioni, visitare il sito Web MSDN Library.
A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.
Quali capacità sono necessarie per sfruttare questa vulnerabilità?
Qualsiasi utente anonimo in grado di recapitare un messaggio TCP opportunamente predisposto a un servizio abilitato a SSL di un determinato sistema può tentare di sfruttare la vulnerabilità.
In quale modo un hacker può sfruttare questa vulnerabilità?
La vulnerabilità può essere sfruttata comunicando con un sistema interessato tramite un servizio abilitato a SSL e inviando un messaggio TCP opportunamente predisposto. Alla ricezione di tale messaggio il servizio interessato del sistema affetto dalla vulnerabilità genera un errore tale da consentire l'esecuzione di codice.
Un hacker può, inoltre, accedere al componente interessato con un'altra strategia. Può, ad esempio, accedere al sistema in modo interattivo o utilizzando un programma che passa parametri al componente affetto dalla vulnerabilità (in locale o in remoto).
Quali sono i sistemi principalmente interessati da questa vulnerabilità?
Possono essere interessati tutti i programmi che utilizzano SSL. Sebbene SSL sia comunemente associato a Internet Information Services tramite HTTPS e la porta 443, sono a rischio tutti i servizi che implementano SSL su una piattaforma interessata, tra cui Internet Information Services 4.0, Internet Information Services 5.0, Internet Information Services 5.1, Exchange Server 5.5, Exchange Server 2000, Exchange Server 2003, Analysis Services 2000 (incluso in SQL Server 2000) e qualsiasi programma di terze parti che utilizzi PCT. SQL Server 2000 non è affetto dalla vulnerabilità poiché blocca le connessioni PCT.
Windows Server 2003 e Internet Information Services 6.0 sono interessati dalla vulnerabilità solo se un amministratore ha attivato manualmente PCT (anche se è stato attivato SSL).
Sono affetti dalla vulnerabilità anche i domini Active Directory in cui sia installata la Certification Authority di tipo Enterprise Root, poiché i controller di dominio Windows 2000 automaticamente attenderanno connessioni SSL.
In che modo è interessato dalla vulnerabilità Windows Server 2003?
Nella procedura con cui Windows Server 2003 implementa PCT è contenuto lo stesso sovraccarico del buffer rilevato in altre piattaforme. Tuttavia, PCT è disattivato per impostazione predefinita. Se il protocollo PCT venisse attivato tramite una chiave del Registro di sistema, Windows Server 2003 potrebbe essere esposto al problema. Microsoft sta quindi per rilasciare un aggiornamento per la protezione per Windows Server 2003 che corregga il sovraccarico del buffer mantenendo disattivato PCT.
Quali sono gli scopi dell'aggiornamento?
L'aggiornamento elimina la vulnerabilità modificando il modo in cui l'implementazione PCT convalida le informazioni che le vengono passate e disattivando il protocollo PCT.
L'aggiornamento comporta modifiche funzionali?
Sì. Sebbene l'aggiornamento miri a risolvere la vulnerabilità presente in PCT, provvede anche a disattivare PCT, poiché questo protocollo non è più utilizzato ed è stato sostituito da SSL 3.0. Questa modifica è coerente con le impostazioni predefinite di Windows Server 2003. Se gli amministratori si trovano a dover utilizzare PCT, possono servirsi della chiave del Registro di sistema descritta nella sezione delle soluzioni alternative di questo bollettino per riattivare il protocollo.
Vulnerabilità Winlogon - CAN-2003-0806 |
Esiste una vulnerabilità di sovraccarico del buffer nel processo di accesso a Windows (Winlogon). Non viene controllata la dimensione di un valore utilizzato durante il processo di accesso prima dell'inserimento nel buffer allocato. Il sovraccarico che ne risulta può consentire a un utente malintenzionato di eseguire codice in modalità remota su un sistema interessato. Non sono affetti dalla vulnerabilità i sistemi che non appartengono a un dominio. Se la vulnerabilità viene sfruttata può consentire a un hacker di assumere il controllo completo del sistema interessato.
Fattori attenuanti della vulnerabilità Winlogon - CAN-2003-0806 |
| • | Sono interessati dalla vulnerabilità solo i sistemi Windows NT 4.0, Windows 2000 e Windows XP che appartengono a un dominio. Windows Server 2003 non è affetto dalla vulnerabilità. |
| • | Per sfruttare la vulnerabilità, un utente malintenzionato deve disporre dell'autorizzazione per modificare oggetti utente in un dominio. In genere, dispongono di tale autorizzazione solo i membri dei gruppi Administrators e Account Operators. Tuttavia, l'autorizzazione può essere delegata ad altri account del dominio. |
| • | I domini supportano di norma il controllo delle modifiche agli oggetti utente. Questi record di controllo consentono di determinare quale account utente potrebbe aver appositamente modificato altri account utente per tentare di sfruttare la vulnerabilità. |
Soluzioni alternative per la vulnerabilità Winlogon - CAN-2003-0806 |
Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata di seguito.
| • | Ridurre il numero di utenti con autorizzazioni di modifica degli account. Per sfruttare la vulnerabilità, un hacker deve poter modificare oggetti utente nel dominio. Alcune organizzazioni aggiungono account utente ai gruppi Administrators o Account Operators senza che esista una necessità reale. Ad esempio, se un responsabile del supporto tecnico ha bisogno di reimpostare password utente, l'amministratore può limitarsi a delegare questa specifica autorizzazione senza aggiungere il responsabile in questione al gruppo Account Operators. Riducendo il numero di account utente nei gruppi amministrativi è possibile bloccare tipologie di attacco note. Dei gruppi amministrativi devono far parte solo i dipendenti degni di fiducia. Per ulteriori informazioni sulle procedure consigliate per i domini, visitare il seguente sito Web. |
Domande frequenti relative alla vulnerabilità Winlogon - CAN-2003-0806 |
Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità di sovraccarico del buffer. Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.
Quali sono le cause di questa vulnerabilità?
Winlogon legge un valore dal dominio ma non controlla la dimensione di tale valore prima di inserirlo nel buffer allocato.
Che cos'è winlogon?
Il processo di accesso a Windows (Winlogon) è il componente del sistema operativo Windows che fornisce il supporto di accesso interattivo. Winlogon.exe è il processo che gestisce le interazioni degli utenti relative alla protezione in Windows. Gestisce, ad esempio, le richieste di accesso e disconnessione, di blocco o sblocco del sistema e di modifica della password. Legge i dati dal dominio durante il processo di accesso e li utilizza per configurare l'ambiente di un utente. Per ulteriori informazioni su Winlogon, visitare il sito Web MSDN Library.
Che cos'è un dominio?
Un dominio può essere utilizzato per archiviare informazioni su praticamente qualsiasi oggetto di rete, come stampanti, percorsi di condivisione file e informazioni personali. Per ulteriori informazioni sulla creazione di domini tramite Windows 2000 Server o Windows Server 2003, visitare il seguente sito Web.
A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.
Quali capacità sono necessarie per sfruttare questa vulnerabilità?
Per sfruttare la vulnerabilità, un utente malintenzionato deve disporre dell'autorizzazione per modificare oggetti utente in un dominio. In genere, dispongono di tale autorizzazione solo i membri dei gruppi Administrators e Account Operators. Tuttavia, l'autorizzazione può essere delegata ad altri account del dominio. Gli account utente che non dispongono di questa autorizzazione o gli utenti anonimi non potranno sfruttare la vulnerabilità.
In quale modo un hacker può sfruttare questa vulnerabilità?
Per sfruttare la vulnerabilità, un utente malintenzionato potrebbe modificare un valore memorizzato nel dominio per includere dati dannosi. Quando questo valore viene passato a un buffer non controllato in Winlogon durante il processo di accesso, Winlogon potrebbe consentire l'esecuzione di codice dannoso.
Quali sono i sistemi principalmente interessati da questa vulnerabilità?
Sono interessati dalla vulnerabilità solo i sistemi Windows NT 4.0, Windows 2000 e Windows XP che appartengono a un dominio.
Quali sono gli scopi dell'aggiornamento?
L'aggiornamento elimina la vulnerabilità modificando il modo in cui il processo Winlogon convalida la lunghezza di un valore prima di passarlo al buffer allocato.
Vulnerabilità dei metafile - CAN-2003-0906 |
Esiste una vulnerabilità di sovraccarico del buffer nel processo di rendering dei formati immagine Windows Metafile (WMF) ed Enhanced Metafile (EMF) che potrebbe consentire l'esecuzione di codice in modalità remota sul sistema interessato. È potenzialmente vulnerabile all'attacco qualsiasi programma che esegua il rendering di immagini WMF o EMF sui sistemi interessati. Se la vulnerabilità viene sfruttata può consentire a un hacker di assumere il controllo completo del sistema interessato.
Fattori attenuanti della vulnerabilità dei metafile - CAN-2003-0906 |
| • | La vulnerabilità può essere sfruttata da un hacker in grado di indurre un utente ad aprire un file appositamente predisposto o visualizzare una directory contenente un'immagine appositamente predisposta. Non c'è alcun modo per obbligare un utente ad aprire un file dannoso. |
| • | In uno scenario di attacco dal Web, l'hacker dovrebbe pubblicare un sito contenente una pagina utilizzata per sfruttare la vulnerabilità. Poiché non è in alcun modo possibile obbligare gli utenti a visitare un sito Web dannoso, l'hacker deve indurre le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento che le indirizzi a esso. |
| • | Se l'hacker riesce a sfruttare la vulnerabilità, può ottenere gli stessi privilegi dell'utente. Pertanto gli utenti con account configurati in modo da disporre solo di privilegi limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi amministrativi. |
| • | Windows Server 2003 non è affetto dalla vulnerabilità. |
Soluzioni alternative per la vulnerabilità dei metafile - CAN-2003-0906 |
Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata di seguito.
| • | Leggere la posta elettronica in formato solo testo, se si utilizza Outlook 2002 e versioni successive o Outlook Express 6 SP1 e versioni successive, per proteggersi dagli attacchi sferrati tramite messaggi di posta elettronica HTML. Gli utenti di Microsoft Outlook 2002 che hanno applicato Office XP Service Pack 1 o versione successiva e gli utenti di Outlook Express 6 che hanno applicato Internet Explorer 6 Service Pack 1 possono attivare questa impostazione e visualizzare automaticamente in formato solo testo tutti i messaggi privi di firma digitale o non crittografati. Tale impostazione non interessa i messaggi dotati di firma digitale o crittografati, che possono essere letti nei formati originali. Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook 2002, vedere l'articolo della Microsoft Knowledge Base 307594. Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook Express 6, vedere l'articolo della Microsoft Knowledge Base 291387. Effetto della soluzione: i messaggi di posta elettronica visualizzati come testo normale non possono includere immagini, tipi di carattere speciali, animazioni o altro contenuto avanzato. Inoltre:
|
Domande frequenti relative alla vulnerabilità dei metafile - CAN-2003-0906 |
Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità di sovraccarico del buffer. Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.
Quali sono le cause di questa vulnerabilità?
Un buffer non controllato nel rendering dei formati immagine Windows Metafile (WMF) ed Enhanced Metafile (EMF).
Cosa sono i formati immagine Windows Metafile (WMF) ed Enhanced Metafile (EMF)?
WMF è un formato metafile a 16 bit che può contenere informazioni vettoriali e bitmap. Il formato è ottimizzato per il sistema operativo Windows.
EMF è un formato a 32 bit che può contenere informazioni vettoriali e bitmap. Rappresenta un miglioramento rispetto a Windows Metafile Format e prevede funzionalità estese.
Per ulteriori informazioni sui tipi di immagine e i relativi formati, consultare l'articolo della Microsoft Knowledge Base 320314. Per ulteriori informazioni su questi formati file, visitare il sito Web MSDN Library.
A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.
In quale modo un hacker può sfruttare questa vulnerabilità?
Qualsiasi programma che esegue il rendering dei tipi di immagine interessati può essere esposto a questo tipo di attacco. Di seguito sono riportati alcuni esempi:
| • | Un hacker potrebbe pubblicare un sito Web dannoso progettato per sfruttare la vulnerabilità tramite Internet Explorer 6 e quindi indurre un utente a visualizzare il sito. |
| • | Potrebbe creare un messaggio di posta elettronica HTML con un'immagine allegata appositamente predisposta. L'immagine appositamente predisposta potrebbe essere progettata per sfruttare la vulnerabilità tramite Outlook 2002 o Outlook Express 6. L'hacker potrebbe quindi indurre l'utente a visualizzare il messaggio di posta elettronica HTML. |
| • | Potrebbe incorporare un'immagine appositamente predisposta in un documento Office e quindi indurre l'utente a visualizzare il documento. |
| • | Potrebbe aggiungere un'immagine appositamente predisposta al file system locale o a una condivisione di rete e quindi indurre l'utente a visualizzare in anteprima la directory tramite Esplora risorse in Windows XP |
Quali sono i sistemi principalmente interessati da questa vulnerabilità?
La vulnerabilità può essere sfruttata, sui sistemi interessati, da un hacker in grado di indurre un utente ad aprire un file appositamente predisposto o visualizzare una directory contenente un'immagine appositamente predisposta. Non c'è alcun modo per obbligare un utente ad aprire un file dannoso.
In uno scenario di attacco dal Web, l'hacker dovrebbe pubblicare un sito contenente una pagina utilizzata per sfruttare la vulnerabilità. Poiché non è in alcun modo possibile obbligare gli utenti a visitare un sito Web dannoso, l'hacker deve indurre le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento che le indirizzi a esso.
Quali sono gli scopi dell'aggiornamento?
L'aggiornamento elimina la vulnerabilità modificando il modo in cui Windows convalida i tipi di immagine interessati.
Vulnerabilità di Guida in linea e supporto tecnico - CAN-2003-0907 |
In Guida in linea e supporto tecnico esiste una vulnerabilità legata all'esecuzione di codice in modalità remota, provocata dal modo in cui la funzione gestisce la convalida degli URL HCP. Un hacker potrebbe sfruttare la vulnerabilità creando un URL HCP dannoso in grado di consentire l'esecuzione di codice in modalità remota, se un utente visita un sito Web dannoso o visualizza un messaggio di posta elettronica dannoso. Se la vulnerabilità viene sfruttata può consentire a un hacker di assumere il controllo completo del sistema interessato.
Fattori attenuanti della vulnerabilità di Guida in linea e supporto tecnico - CAN-2003-0907 |
| • | In uno scenario di attacco dal Web, l'hacker dovrebbe pubblicare un sito contenente una pagina utilizzata per sfruttare la vulnerabilità. Poiché non è in alcun modo possibile obbligare gli utenti a visitare un sito Web dannoso, l'hacker deve indurre le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento che le indirizzi a esso. | ||||||
| • | La posta elettronica in formato HTML viene aperta con le limitazioni previste per l'area Siti con restrizioni per impostazione predefinita anche in Outlook Express 6, Outlook 2002 e Outlook 2003. Inoltre, in Outlook 98 e Outlook 2000, i messaggi di posta elettronica in formato HTML vengono aperti con le limitazioni previste per l'area Siti con restrizioni, se è stato installato Outlook E-mail Security Update. L'area Siti con restrizioni consente di ridurre gli attacchi mirati a sfruttare la vulnerabilità. Le probabilità di subire un attacco per posta elettronica HTML possono essere drasticamente ridotte adottando le misure di protezione seguenti:
| ||||||
| • | Se l'hacker riesce a sfruttare la vulnerabilità, può ottenere gli stessi privilegi dell'utente. Pertanto gli utenti con account configurati in modo da disporre solo di privilegi limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi amministrativi. | ||||||
| • | Windows NT 4.0 e Windows 2000 non sono interessati dalla vulnerabilità. |
Soluzioni alternative per la vulnerabilità di Guida in linea e supporto tecnico - CAN-2003-0907 |
Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata di seguito.
| • | Annullare la registrazione del protocollo HCP. Per impedire l'attacco, annullare la registrazione del protocollo HCP eliminando la seguente chiave dal Registro di sistema: HKEY_CLASSES_ROOT\HCP. A tale scopo, attenersi alla procedura che segue.
Nota L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe provocare problemi tali da rendere necessaria la reinstallazione di Windows. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione. Effetto della soluzione: con l'annullamento della registrazione del protocollo HCP vengono interrotti tutti i collegamenti legittimi locali alla Guida che utilizzano hcp://. Ad esempio, i collegamenti presenti nel Pannello di controllo smetteranno di funzionare. | ||||||||
| • | Installare Outlook E-mail Security Update se si utilizza Outlook 2000 SP1 o versioni precedenti. Per impostazione predefinita, in Outlook Express 6, Outlook 2002 e Outlook 2003 la posta elettronica in formato HTML viene aperta con le limitazioni previste per l'area Siti con restrizioni. Inoltre, in Outlook 98 e Outlook 2000, i messaggi di posta elettronica in formato HTML vengono aperti con le limitazioni previste per l'area Siti con restrizioni, se è stato installato Outlook E-mail Security Update. I clienti che utilizzano uno dei prodotti indicati sono solo limitatamente esposti ad attacchi tramite posta elettronica mirati a sfruttare la vulnerabilità, a meno che non facciano clic su un collegamento dannoso presente in un messaggio di posta elettronica. | ||||||||
| • | Leggere la posta elettronica in formato solo testo, se si utilizza Outlook 2002 e versioni successive o Outlook Express 6 SP1 e versioni successive, per proteggersi dagli attacchi sferrati tramite messaggi di posta elettronica HTML. Gli utenti di Microsoft Outlook 2002 che hanno applicato Office XP Service Pack 1 o versione successiva e gli utenti di Outlook Express 6 che hanno applicato Internet Explorer 6 Service Pack 1 possono attivare questa impostazione e visualizzare automaticamente in formato solo testo tutti i messaggi privi di firma digitale o non crittografati. Tale impostazione non interessa i messaggi dotati di firma digitale o crittografati, che possono essere letti nei formati originali. Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook 2002, vedere l'articolo della Microsoft Knowledge Base 307594. Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook Express 6, vedere l'articolo della Microsoft Knowledge Base 291387. Effetto della soluzione: i messaggi di posta elettronica visualizzati come testo normale non possono includere immagini, tipi di carattere speciali, animazioni o altro contenuto avanzato. Inoltre:
|
Domande frequenti relative alla vulnerabilità di Guida in linea e supporto tecnico - CAN-2003-0907 |
Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota che, se sfruttata, può consentire a un hacker di assumere il controllo completo del sistema interessato ed effettuare qualsiasi operazione, incluse l'installazione di programmi, la visualizzazione, modifica o eliminazione di dati e la creazione di nuovi account con privilegi completi.
Quali sono le cause di questa vulnerabilità?
Il processo utilizzato da Guida in linea e supporto tecnico per convalidare gli input di dati.
Che cos'è Guida in linea e supporto tecnico?
Guida in linea e supporto tecnico è una funzionalità di Windows che consente di ottenere assistenza su un'ampia varietà di argomenti. Ad esempio, è possibile ottenere informazioni sulle funzionalità di Windows, sul download e l'installazione degli aggiornamenti software, sulla procedura per stabilire se un particolare dispositivo hardware è compatibile con Windows e sui servizi di assistenza offerti da Microsoft. Utenti e applicazioni possono eseguire collegamenti URL a Guida in linea e supporto tecnico utilizzando il prefisso "hcp://" invece di "http://".
Che cos'è il protocollo HCP?
Come il protocollo HTTP può utilizzare collegamenti URL per aprire un browser, così il protocollo HCP può eseguire collegamenti URL per aprire Guida in linea e supporto tecnico.
Qual è il problema relativo a Guida in linea e supporto tecnico?
Si verifica un errore nella convalida dell'input.
A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.
In quale modo un hacker può sfruttare questa vulnerabilità?
Per sfruttare la vulnerabilità, un hacker deve pubblicare un sito Web dannoso e quindi indurre un utente a visualizzarlo. In alternativa, può creare un messaggio di posta elettronica HTML contenente un collegamento appositamente predisposto, quindi indurre l'utente a visualizzare il messaggio e a fare clic sul collegamento. Se l'utente fa clic sul collegamento, può aprirsi una finestra di Internet Explorer con un URL HCP scelto dall'hacker che potrebbe consentire l'esecuzione di codice non autorizzato.
Quali sono i sistemi principalmente interessati da questa vulnerabilità?
Windows XP e Windows Server 2003 contengono la versione di Guida in linea e supporto tecnico interessata dalla vulnerabilità. Windows NT 4.0 e Windows 2000 non sono interessati dal problema perché non contengono Guida in linea e supporto tecnico.
Se si utilizza Internet Explorer in Windows Server 2003, il problema ha una portata più limitata?
No. Per impostazione predefinita, in Windows Server 2003 Internet Explorer viene eseguito in una modalità limitata denominata Protezione avanzata di Internet Explorer. Tuttavia, il protocollo HCP è autorizzato ad accedere a Guida in linea e supporto tecnico per impostazione predefinita. Quindi, Windows Server 2003 è un sistema vulnerabile. Per ulteriori informazioni sulla configurazione di Protezione avanzata di Internet Explorer, visitare il seguente sito Web.
Quali sono gli scopi dell'aggiornamento?
L'aggiornamento elimina la vulnerabilità modificando la convalida dei dati passati a Guida in linea e supporto tecnico.
Vulnerabilità di Utility Manager - CAN-2003-0908 |
Esiste una vulnerabilità legata all'acquisizione di privilegi più elevati nel modo in cui Utility Manager avvia le applicazioni. Un utente che abbia avuto accesso al sistema può imporre a Utility Manager di avviare un'applicazione con privilegi di sistema e assumere, così, il controllo completo dell'ambiente.
Fattori attenuanti della vulnerabilità di Utility Manager - CAN-2003-0908 |
| • | L'autore dell'attacco deve essere in possesso di credenziali valide per sfruttare la vulnerabilità. La vulnerabilità non può essere sfruttata da utenti anonimi. |
| • | Windows NT 4.0, Windows XP e Windows Server 2003 non sono interessati dalla vulnerabilità. Windows NT 4.0 non implementa Utility Manager. |
| • | Nel documento Windows 2000 Hardening Guide si consiglia di disattivare il servizio Utility Manager. Per gli ambienti conformi a tali linee guida il livello di rischio è ridotto. |
Soluzioni alternative per la vulnerabilità di Utility Manager - CAN-2003-0908 |
Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata di seguito.
| • | Utilizzare Criteri di gruppo per disattivare Utility Manager su tutti i sistemi interessati che non richiedano questa funzionalità. Il servizio Utility Manager, in quanto possibile vettore di attacco, può essere disattivato utilizzando Criteri di gruppo. Il nome del processo di Utility Manager è Utilman.exe. Nel documento indicato di seguito viene illustrato come fare in modo che gli utenti eseguano solo applicazioni approvate tramite Criteri di gruppo. Nota È inoltre possibile consultare il documento Windows 2000 Hardening Guide, che include informazioni sulla disattivazione di Utility Manager. Effetto della soluzione Utility Manager garantisce accesso semplificato a molte delle funzioni di Accesso facilitato del sistema operativo. Tale accesso non sarà disponibile fino alla rimozione delle restrizioni. Per istruzioni sull'avvio manuale delle funzionalità di Accesso facilitato, visitare questo sito Web. |
Domande frequenti relative alla vulnerabilità di Utility Manager - CAN-2003-0908 |
Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità legata alla possibilità di acquisizione di privilegi più elevati. Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.
Quali sono le cause di questa vulnerabilità?
Il processo utilizzato da Utility Manager per avviare applicazioni. È possibile che Utility Manager avvii applicazioni con privilegi di sistema.
Cos'è Utility Manager?
Utility Manager è un'utilità di accesso facilitato che consente agli utenti di verificare lo stato dei programmi di accesso facilitato, come Microsoft Magnifier, Assistente vocale oppure Tastiera su schermo, nonché di avviare o arrestare tali programmi.
A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.
Quali capacità sono necessarie per sfruttare questa vulnerabilità?
Per sfruttare la vulnerabilità, è necessario essere in grado di accedere al sistema, avviare Utility Manager ed eseguire un programma che invii a quest'ultimo un messaggio appositamente predisposto allo scopo.
In quale modo un hacker può sfruttare questa vulnerabilità?
Per sfruttare la vulnerabilità, è necessario innanzitutto avviare Utility Manager in Windows 2000 e quindi eseguire un'applicazione specificamente progettata allo scopo. Per impostazione predefinita, in Windows 2000 Utility Manager è installato ma non è in esecuzione. La vulnerabilità può consentire a un utente malintenzionato di assumere il controllo completo di un sistema Windows 2000.
Quali sono i sistemi principalmente interessati da questa vulnerabilità?
La vulnerabilità riguarda solo Windows 2000. I sistemi più esposti sono le workstation e i server terminal basati su Windows 2000. I server sono a rischio solo se agli utenti privi di credenziali amministrative sufficienti è consentito di accedere ai server e di eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.
Se è in esecuzione Windows 2000, ma non viene utilizzato né Utility Manager né qualsiasi altra funzionalità di Accesso facilitato, si è comunque esposti alla vulnerabilità?
Sì. Per impostazione predefinita, Utility Manager è installato e attivato, ma non in esecuzione.
È possibile sfruttare questa vulnerabilità tramite Internet?
No. L'hacker deve accedere al sistema specifico a cui è destinato l'attacco. Non può caricare ed eseguire un programma in remoto sfruttando la vulnerabilità.
Quali sono gli scopi dell'aggiornamento?
L'aggiornamento elimina la vulnerabilità modificando il modo in cui Utility Manager avvia le applicazioni.
Vulnerabilità di Gestione Windows - CAN-2003-0909 |
Esiste una vulnerabilità legata alla possibilità di acquisizione di privilegi più elevati nel modo in cui Windows XP consente la creazione di attività. In particolari condizioni, un utente senza privilegi può creare un'attività eseguibile con autorizzazioni di sistema e assumere così il controllo completo del sistema.
Fattori attenuanti della vulnerabilità di Gestione Windows - CAN-2003-0909 |
| • | L'autore dell'attacco deve essere in possesso di credenziali valide per sfruttare la vulnerabilità. La vulnerabilità non può essere sfruttata da un utente anonimo. |
| • | Windows NT 4.0, Windows 2000 e Windows Server 2003 non sono interessati dalla vulnerabilità. |
Soluzioni alternative per la vulnerabilità di Gestione Windows - CAN-2003-0909 |
Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata di seguito.
Eliminare il provider Strumentazione gestione Windows (WMI) interessato.
Un amministratore con autorizzazioni amministrative locali può eliminare il provider WMI interessato inserendo il seguente script in un file di testo con estensione ".vbs" ed eseguendolo.
Per eliminare il provider Strumentazione gestione Windows (WMI) interessato:
set osvc = getobject("winmgmts:root\cimv2") set otrigger = osvc.get("__win32provider='cmdtriggerconsumer'") otrigger.delete_
L'installazione dell'aggiornamento riregistra automaticamente il provider WMI interessato a cui si è fatto riferimento. Dopo aver applicato l'aggiornamento, non sono richiesti ulteriori passaggi per ripristinare le normali funzionalità del sistema.
Effetto della soluzione:le attività create come trigger basati su eventi non funzioneranno se il provider non è registrato. Per ulteriori informazioni sui trigger basati su eventi, visitare il seguente sito Web.
Nota In rari casi, Windows XP potrebbe registrare nuovamente il provider WMI. Ad esempio, se Windows XP rileva che il repository WMI è danneggiato, può tentare di registrare nuovamente il provider WMI interessato.
Domande frequenti relative alla vulnerabilità di Gestione Windows - CAN-2003-0909 |
Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità legata alla possibilità di acquisizione di privilegi più elevati. Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.
Quali sono le cause di questa vulnerabilità?
In particolari condizioni, un utente senza privilegi di Microsoft Windows XP può creare un'attività eseguibile con autorizzazioni di sistema.
A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.
In quale modo un hacker può sfruttare questa vulnerabilità?
Per sfruttare la vulnerabilità, è necessario accedere al sistema e creare un'attività. Poiché a tale scopo l'utente malintenzionato deve disporre di credenziali di accesso valide, i sistemi remoti non sono a rischio.
Quali sono i sistemi principalmente interessati da questa vulnerabilità?
La vulnerabilità interessa solo Windows XP.
Quali sono gli scopi dell'aggiornamento?
L'aggiornamento elimina la vulnerabilità impedendo agli utenti di creare attività con un livello di privilegi elevato.
L'aggiornamento include anche altre modifiche funzionali?
Sì. L'aggiornamento include diverse modifiche funzionali, indicate di seguito:
| • | Prima dell'aggiornamento, era possibile creare trigger basati su eventi utilizzando lo strumento della riga di comando Eventtriggers.exe senza dover fornire nome utente e password. Dopo l'installazione dell'aggiornamento, per creare trigger basati su eventi utilizzando "Eventttrigers.exe", l'utente deve fornire un nome utente e una password validi. Per ulteriori informazioni sulle opzioni della riga di comando "Eventtriggers.exe", visitare il seguente sito Web. |
| • | In precedenza gli amministratori potevano creare trigger basati su eventi con il servizio Utilità di pianificazione interrotto o disattivato. Ora, il servizio deve essere in esecuzione. Per ulteriori informazioni sul servizio Utilità di pianificazione, visitare il seguente sito Web. |
| • | Come parte dell'aggiornamento è stato stabilito un nuovo limite di 1.000 trigger. La quota esistente di trigger basati su eventi che supera il nuovo limite fissato continuerà a funzionare anche dopo l'applicazione dell'aggiornamento, ma non sarà possibile creare ulteriori trigger. |
| • | Sono state aumentate le autorizzazioni sui trigger basati su eventi creati dopo l'installazione dell'aggiornamento. |
Vulnerabilità della tabella dei descrittori locali - CAN-2003-0910 |
Esiste una vulnerabilità associata all'acquisizione di privilegi più elevati in un'interfaccia di programmazione utilizzata per creare voci nella tabella dei descrittori locali (LDT). Tali voci contengono informazioni sui segmenti di memoria. Un hacker che abbia avuto accesso in locale al sistema, in grado di creare una voce dannosa e ottenere così l'accesso alla memoria protetta, può assumere il controllo completo del sistema.
Fattori attenuanti della vulnerabilità della tabella dei descrittori locali - CAN-2003-0910 |
| R |