Bollettino Microsoft sulla sicurezza MS05-039

Nel servizio Plug and Play è presente una vulnerabilità associata alla possibilità di esecuzione di codice in modalità remota e all'acquisizione di privilegi più elevati sul sistema locale che potrebbe consentire a un utente malintenzionato di assumere pieno controllo di un sistema interessato.

•	In Windows XP Service Pack 2 e Windows Server 2003, l'utente malintenzionato deve essere in possesso di credenziali di accesso valide e riuscire a effettuare l'accesso locale al sistema per tentare di sfruttare questa vulnerabilità. La vulnerabilità non può essere sfruttata in remoto o da utenti anonimi o da utenti che dispongono di account utente standard. Tuttavia, il componente interessato è disponibile in remoto agli utenti che dispongono di autorizzazioni amministrative.
•	In Windows XP Service Pack 1, l'utente malintenzionato deve essere in possesso di credenziali di accesso valide per tentare di sfruttare questa vulnerabilità. La vulnerabilità non può essere sfruttata in remoto da utenti anonimi. Tuttavia, il componente interessato è disponibile in remoto agli utenti che dispongono di account utente standard.
•	Le configurazioni predefinite standard dei firewall e le procedure consigliate per la configurazione dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale. È consigliabile che i sistemi connessi a Internet abbiano un numero minimo di porte esposte.

Top of section

Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità sottostante, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata nella sezione seguente.

Nota Altri protocolli, come ad esempio IPX (Internetwork Packet Exchange) e SPX (Sequenced Packet Exchange) potrebbero essere esposti al problema. Se si utilizzano protocolli interessati dalla vulnerabilità, come IPX e SPX, è necessario bloccare le porte appropriate per questi protocolli. Per ulteriori informazioni su IPX e SPX, visitare il seguente sito Web Microsoft.

Nota Come descritto nella sezione "Fattori attenuanti", Windows XP Service Pack 2 e Windows Server 2003 sono esposti a questa vulnerabilità principalmente a causa di utenti che eseguono l'accesso localmente. Le soluzioni alternative riportate di seguito sono progettate principalmente per versioni precedenti del sistema operativo che sono esposte ad attacchi anonimi basati sulla rete.

•	Bloccare le porte TCP 139 e 445 a livello del firewall: Queste porte vengono utilizzate per avviare una connessione con il protocollo interessato. Bloccandole a livello di firewall, sia in ingresso che in uscita, è quindi possibile evitare che i sistemi protetti dal firewall subiscano attacchi mirati a sfruttare la vulnerabilità. Si consiglia di bloccare tutte le comunicazioni in ingresso non richieste provenienti da Internet per impedire gli attacchi che potrebbero utilizzare altre porte. Per ulteriori informazioni sulle porte, visitare il seguente sito Web.
•	Per assicurare la protezione contro i tentativi di sfruttare questa vulnerabilità con attacchi basati sulla rete, utilizzare un firewall personale, come ad esempio Firewall connessione Internet, incluso in Windows XP Service Pack 1. Per impostazione predefinita, la funzionalità Firewall connessione Internet in Windows XP Service Pack 1 consente di proteggere la connessione a Internet in quanto blocca il traffico in entrata non richiesto. È preferibile bloccare tutte le comunicazioni in entrata non richieste provenienti da Internet. Per attivare la funzionalità Firewall connessione Internet utilizzando l'Installazione guidata rete, seguire i passaggi riportati di seguito: 1. Fare clic su Start e scegliere Pannello di controllo. 2. Nella visualizzazione predefinita, per categorie, fare clic su Rete e connessioni Internet, quindi su Installa o cambia una piccola rete domestica o una piccola rete aziendale. La funzionalità Firewall connessione Internet viene attivata se, durante l'Installazione guidata rete, si sceglie una configurazione che prevede il collegamento diretto a Internet del sistema. Per configurare manualmente Firewall connessione Internet per una connessione, seguire i passaggi riportati di seguito: 1. Fare clic su Start e scegliere Pannello di controllo. 2. Nella visualizzazione predefinita, per categorie, fare doppio clic su Rete e connessioni Internet, quindi fare clic su Connessioni di rete. 3. Fare clic con il pulsante destro del mouse sulla connessione per la quale si desidera abilitare Firewall connessione Internet e scegliere Proprietà. 4. Fare clic sulla scheda Avanzate. 5. Selezionare la check box Proteggi il computer e la rete limitando o impedendo l'accesso al computer da Internet, quindi scegliere OK. Nota Per abilitare la comunicazione di alcuni programmi e servizi attraverso il firewall, fare clic su Impostazioni nella scheda Avanzate, quindi selezionare i programmi, i protocolli e i servizi desiderati.
•	Per assicurare la protezione contro i tentativi di sfruttare questa vulnerabilità con attacchi basati sulla rete, attivare il filtro TCP/IP avanzato nei sistemi che lo supportano. Per bloccare tutto il traffico in ingresso non richiesto, è possibile attivare il filtro TCP/IP avanzato. Per ulteriori informazioni sulla procedura di configurazione del filtro TCP/IP, vedere l'articolo della Microsoft Knowledge Base 309798.
•	Per assicurare la protezione contro i tentativi di sfruttare questa vulnerabilità con attacchi basati sulla rete, bloccare le porte interessate utilizzando IPSec nei sistemi interessati. Utilizzare IPSec (Internet Protocol Security) per proteggere le comunicazioni di rete. Per informazioni dettagliate su IPSec e sull'applicazione di filtri, vedere gli articoli della Knowledge Base 313190 e 813878.

Top of section

Qual è la portata o l'impatto di questa vulnerabilità?

La vulnerabilità può consentire l'esecuzione di codice in modalità remota oppure l'acquisizione di privilegi più elevati sul sistema locale. In Windows 2000, un utente malintenzionato anonimo può tentare di sfruttare la vulnerabilità in remoto. In Windows XP Service Pack 1, la vulnerabilità può essere sfruttata in remoto solo da un utente autenticato. In Window XP Service Pack 2 e Windows Server 2003, solo un amministratore può essere in grado di effettuare l'accesso remoto al componente interessato. Pertanto, nei sistemi Windows XP Service Pack 2 e Windows Server 2003, la vulnerabilità potrebbe consentire unicamente l'acquisizione di privilegi più elevati sul sistema locale. Nei sistemi Windows XP Service Pack 2 e Windows Server 2003, un utente anonimo non può tentare di sfruttare la vulnerabilità in remoto.

Sfruttando questa vulnerabilità, un utente malintenzionato può assumere il pieno controllo di un sistema interessato, riuscendo quindi a installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

Quali sono le cause di questa vulnerabilità?
Un buffer non controllato nel servizio Plug and Play.

Che cos'è il servizio Plug and Play?
Il servizio Plug and Play (PnP) consente al sistema operativo di rilevare il nuovo hardware non appena viene installato nel sistema. Ad esempio, quando si installa un nuovo mouse nel sistema, la funzionalità PnP consente a Windows di rilevarlo, di caricare i driver necessari e di iniziare a utilizzare il nuovo mouse.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?
In Windows 2000, un utente malintenzionato può tentare di sfruttare la vulnerabilità creando un messaggio appositamente predisposto e inviandolo a un sistema interessato. Il messaggio può quindi costringere il sistema interessato a eseguire codice. In Windows XP Service Pack 1, tale operazione può essere svolta in remoto solo da un utente autenticato. In Windows XP Service Pack 2 e Windows Server 2003, per tentare di sfruttare la vulnerabilità, è necessario effettuare l'accesso locale al sistema ed eseguire un'applicazione appositamente predisposta.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?
I sistemi Windows 2000 sono maggiormente interessati da questa vulnerabilità. In Windows XP Service Pack 1, Windows XP Service Pack 2 e Windows Server 2003, l'utente malintenzionato deve essere in possesso di credenziali di accesso valide per sfruttare questa vulnerabilità. La vulnerabilità non può essere sfruttata in remoto o da utenti anonimi in Windows XP Service Pack 1, Windows XP Service Pack 2 e Windows Server 2003.

È possibile sfruttare questa vulnerabilità tramite Internet?
Sì, la vulnerabilità potrebbe essere sfruttata da utenti anonimi nei sistemi Windows 2000 e da utenti autenticati nei sistemi Windows XP Service Pack 1. Le configurazioni predefinite standard dei firewall e le procedure consigliate per la configurazione dei firewall contribuiscono ad assicurare la protezione contro gli attacchi provenienti da Internet. Microsoft fornisce informazioni su come è possibile proteggere il proprio PC. Informazioni per gli utenti finali: visitare il sito Web Proteggi il tuo PC. Informazioni per i professionisti IT: visitare il sito Web Security Guidance Center. In Windows XP Service Pack 2 e Windows Server 2003, l'utente malintenzionato deve accedere al sistema specifico a cui è destinato l'attacco. Tuttavia non può caricare ed eseguire un programma in remoto come utente anonimo sfruttando questa vulnerabilità.

Quali sono gli scopi dell'aggiornamento?
L'aggiornamento elimina la vulnerabilità modificando il modo in cui il servizio Plug and Play convalida la lunghezza di un messaggio prima di passarlo al buffer allocato. In Windows 2000, l'aggiornamento limita inoltre l'accesso anonimo ai componenti interessati, richiedendo agli utenti di effettuare l'autenticazione per i componenti interessati prima di tentare di utilizzare tali funzionalità in remoto. Questa modifica è coerente con le impostazioni predefinite di Windows XP Service Pack 1.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private. Secondo le informazioni in possesso di Microsoft, al momento della pubblicazione del presente bollettino, l'esistenza di questa vulnerabilità non era stata ancora divulgata pubblicamente.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Top of section

Prerequisiti
Questo aggiornamento per la protezione richiede Windows Server 2003 o Windows Server 2003 Service Pack 1.

Disponibilità nei service pack futuri:
La correzione per questo problema verrà inclusa in un service pack o rollup di aggiornamento futuro.

Informazioni per l'installazione

Questo aggiornamento per la protezione supporta le seguenti opzioni del programma di installazione.

Nota È possibile combinare queste opzioni in un unico comando. Per garantire la compatibilità con le versioni precedenti, l'aggiornamento per la protezione supporta inoltre numerose opzioni utilizzate dalla versione precedente del programma di installazione. Per ulteriori informazioni sulle opzioni di installazione supportate, consultare l'articolo della Microsoft Knowledge Base 262841. Per ulteriori informazioni sul programma di installazione Update.exe, visitare il sito Web Microsoft TechNet.

Informazioni per la distribuzione

Per installare l'aggiornamento per la protezione senza l'intervento dell'utente, immettere la riga seguente al prompt dei comandi di Windows Server 2003:

Windowsserver2003-kb899588-x86-enu /quiet

Nota L'utilizzo dell'opzione /quiet evita di visualizzare tutti i messaggi, inclusi i messaggi di errore. Quando viene utilizzata l'opzione /quiet, è opportuno che gli amministratori adottino uno dei metodi supportati per verificare che l'installazione sia avvenuta correttamente. Gli amministratori dovrebbero inoltre esaminare il file KB899588.log per individuare eventuali messaggi di errore registrati quando questa opzione è attivata.

Per installare l'aggiornamento per la protezione senza imporre il riavvio del sistema, immettere la riga seguente al prompt dei comandi di Windows Server 2003:

Windowsserver2003-kb899588-x86-enu /norestart

Per informazioni su come eseguire la distribuzione di questo aggiornamento per la protezione con Software Update Services, visitare il sito Web Software Update Services. Per ulteriori informazioni su come eseguire la distribuzione di questo aggiornamento per la protezione con Windows Server Update Services, visitare il sito Web Windows Server Update Services. Questo aggiornamento per la protezione è anche disponibile dal sito Web Microsoft Update.

Necessità di riavvio

Dopo l'applicazione dell'aggiornamento per la protezione è necessario riavviare il sistema.

Informazioni per la rimozione

Per rimuovere questo aggiornamento, utilizzare Installazione applicazioni dal Pannello di controllo.

Gli amministratori di sistema possono inoltre rimuovere l'aggiornamento per la protezione mediante l'utilità Spuninst.exe, disponibile nella cartella %Windir%\$NTUninstallKB899588$\Spuninst.

Informazioni sui file

I file della versione inglese di questo aggiornamento per la protezione presentano gli attributi riportati nella tabella che segue. Le date e le ore dei file indicati nella tabella sono espressi utilizzando l'ora UTC (Coordinated Universal Time). Al momento della visualizzazione, tali informazioni verranno convertite nella data e nell'ora locali. Per informazioni sulle differenze fra l'ora UTC e l'ora locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.

Windows Server 2003, Web Edition; Windows Server 2003, Standard Edition; Windows Server 2003, Datacenter Edition; Windows Server 2003, Enterprise Edition; Windows Small Business Server 2003; Windows Server 2003, Web Edition con SP1; Windows Server 2003, Standard Edition con SP1; Windows Server 2003, Enterprise Edition con SP1; Windows Server 2003, Datacenter Edition con SP1:

Windows Server, 2003 Enterprise Edition per sistemi basati su Itanium; Windows Server 2003, Datacenter Edition per sistemi basati su Itanium; Windows Server 2003, Enterprise Edition con SP1 per sistemi basati su Itanium; Windows Server 2003, Datacenter Edition con SP1 per sistemi basati su Itanium:

Windows Server 2003, Standard x64 Edition; Windows Server 2003, Enterprise x64 Edition; Windows Server 2003, Datacenter x64 Edition:

Note Quando si installano questi aggiornamenti per la protezione, il programma di installazione verifica se uno o più file da aggiornare nel sistema sono stati aggiornati in precedenza mediante una correzione rapida Microsoft.

Se uno di questi file è stato già aggiornato mediante l'installazione di una correzione rapida, il programma di installazione copia i file RTMQFE, SP1QFE o SP2QFE nel sistema. In alternativa, copia i file RTMGDR, SP1GDR o SP2GDR. Gli aggiornamenti per la protezione potrebbero non contenere tutte le variazioni di questi file. Per ulteriori informazioni in merito, vedere l'articolo della Microsoft Knowledge Base 824994.

Per ulteriori informazioni in merito, vedere l'articolo della Microsoft Knowledge Base 824994.

Per ulteriori informazioni sul programma di installazione Update.exe, visitare il sito Web Microsoft TechNet.

Per ulteriori informazioni sulla terminologia utilizzata nel presente bollettino, ad esempio su ciò che si intende per correzione rapida, vedere l'articolo della Microsoft Knowledge Base 824684.

Il file Arpidfix.exe viene utilizzato dal programma di installazione dell'aggiornamento per la protezione per risolvere un problema documentato nell'articolo della Knowledge Base 904630, ma non viene installato nel sistema interessato.

Verifica dell'applicazione dell'aggiornamento

Prerequisiti
Per questo aggiornamento per la protezione è necessario Microsoft Windows XP Service Pack 1 o versione successiva. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 322389.

Disponibilità nei service pack futuri:
La correzione per questo problema verrà inclusa in un service pack o rollup di aggiornamento futuro.

Informazioni per l'installazione

Questo aggiornamento per la protezione supporta le seguenti opzioni del programma di installazione.

Nota È possibile combinare queste opzioni in un unico comando. Per garantire la compatibilità con le versioni precedenti, l'aggiornamento per la protezione supporta anche le opzioni utilizzate dalla versione precedente del programma di installazione. Per ulteriori informazioni sulle opzioni di installazione supportate, consultare l'articolo della Microsoft Knowledge Base 262841. Per ulteriori informazioni sul programma di installazione Update.exe, visitare il sito Web Microsoft TechNet.

Informazioni per la distribuzione

Per installare l'aggiornamento per la protezione senza l'intervento dell'utente, immettere la riga seguente al prompt dei comandi di Microsoft Windows XP:

Windowsxp-kb899588-x86-enu /quiet

Nota L'utilizzo dell'opzione /quiet evita di visualizzare tutti i messaggi, inclusi i messaggi di errore. Quando viene utilizzata l'opzione /quiet, è opportuno che gli amministratori adottino uno dei metodi supportati per verificare che l'installazione sia avvenuta correttamente. Gli amministratori dovrebbero inoltre esaminare il file KB899588.log per individuare eventuali messaggi di errore registrati quando questa opzione è attivata.

Per installare l'aggiornamento per la protezione senza imporre il riavvio del sistema, immettere la riga seguente al prompt dei comandi di Windows XP:

Windowsxp-kb899588-x86-enu /norestart

Per informazioni su come eseguire la distribuzione di questo aggiornamento per la protezione con Software Update Services, visitare il sito Web Software Update Services. Per ulteriori informazioni su come eseguire la distribuzione di questo aggiornamento per la protezione con Windows Server Update Services, visitare il sito Web Windows Server Update Services. Questo aggiornamento per la protezione è anche disponibile dal sito Web Microsoft Update.

Necessità di riavvio

Dopo l'applicazione dell'aggiornamento per la protezione è necessario riavviare il sistema.

Informazioni per la rimozione

Per rimuovere questo aggiornamento per la protezione, utilizzare lo strumento Installazione applicazioni del Pannello di controllo.

Gli amministratori di sistema possono inoltre rimuovere l'aggiornamento per la protezione mediante l'utilità Spuninst.exe, disponibile nella cartella %Windir%\$NTUninstallKB899588$\Spuninst.

Informazioni sui file

I file della versione inglese di questo aggiornamento per la protezione presentano gli attributi riportati nella tabella che segue. Le date e le ore dei file indicati nella tabella sono espressi utilizzando l'ora UTC (Coordinated Universal Time). Al momento della visualizzazione, tali informazioni verranno convertite nella data e nell'ora locali. Per informazioni sulle differenze fra l'ora UTC e l'ora locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.

Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP Tablet PC Edition, Windows XP Media Center Edition, Windows XP Home Edition Service Pack 2, Windows XP Professional Service Pack 2, Windows XP Tablet PC Edition 2005 e Windows XP Media Center Edition 2005:

Windows XP Professional x64:

Note Quando si installano questi aggiornamenti per la protezione, il programma di installazione verifica se uno o più file da aggiornare nel sistema sono stati aggiornati in precedenza mediante una correzione rapida Microsoft.

Se uno di questi file è stato già aggiornato mediante l'installazione di una correzione rapida, il programma di installazione copia i file RTMQFE, SP1QFE o SP2QFE nel sistema. In alternativa, copia i file RTMGDR, SP1GDR o SP2GDR. Gli aggiornamenti per la protezione potrebbero non contenere tutte le variazioni di questi file. Per ulteriori informazioni in merito, vedere l'articolo della Microsoft Knowledge Base 824994.

Per ulteriori informazioni sul programma di installazione Update.exe, visitare il sito Web Microsoft TechNet.

Per ulteriori informazioni sulla terminologia utilizzata nel presente bollettino, ad esempio su ciò che si intende per correzione rapida, vedere l'articolo della Microsoft Knowledge Base 824684.

Il file Arpidfix.exe viene utilizzato dal programma di installazione dell'aggiornamento per la protezione per risolvere un problema documentato nell'articolo della Knowledge Base 904630, ma non viene installato nel sistema interessato.

Verifica dell'applicazione dell'aggiornamento

Prerequisiti
Per Windows 2000, questo aggiornamento per la protezione richiede Service Pack 4 (SP4). Per installare questo aggiornamento per la protezione in Small Business Server 2000, è richiesto Small Business Server 2000 Service Pack 1a (SP1a) o Small Business Server 2000 con Windows 2000 Server Service Pack 4 (SP4).

I prodotti software elencati sono stati sottoposti a test per determinare se tali versioni sono interessate dalla vulnerabilità. Le altre versioni non includono più il supporto degli aggiornamenti per la protezione o potrebbero non essere interessate dal problema. Per informazioni sulla disponibilità del supporto per il prodotto e la versione in uso, visitare il sito Web Ciclo di vita del supporto Microsoft.

Per ulteriori informazioni su come ottenere la versione più recente del service pack, vedere l'articolo della Microsoft Knowledge Base 260910.

Disponibilità nei service pack futuri:
La correzione per questo problema potrà essere inclusa in un rollup di aggiornamento futuro.

Informazioni per l'installazione

Questo aggiornamento per la protezione supporta le seguenti opzioni del programma di installazione.

Nota È possibile combinare queste opzioni in un unico comando. Per garantire la compatibilità con le versioni precedenti, l'aggiornamento per la protezione supporta anche le opzioni utilizzate dalla versione precedente del programma di installazione. Per ulteriori informazioni sulle opzioni di installazione supportate, consultare l'articolo della Microsoft Knowledge Base 262841. Per ulteriori informazioni sul programma di installazione Update.exe, visitare il sito Web Microsoft TechNet. Per ulteriori informazioni sulla terminologia utilizzata nel presente bollettino, ad esempio su ciò che si intende per correzione rapida, vedere l'articolo della Microsoft Knowledge Base 824684.

Informazioni per la distribuzione

Per installare l'aggiornamento per la protezione senza l'intervento dell'utente, immettere la riga seguente al prompt dei comandi di Windows 2000 Service Pack 4:

Windows2000-kb899588-x86-enu /quiet

Nota L'utilizzo dell'opzione /quiet evita di visualizzare tutti i messaggi, inclusi i messaggi di errore. Quando viene utilizzata l'opzione /quiet, è opportuno che gli amministratori adottino uno dei metodi supportati per verificare che l'installazione sia avvenuta correttamente. Gli amministratori dovrebbero inoltre esaminare il file KB899588.log per individuare eventuali messaggi di errore registrati quando questa opzione è attivata.

Per installare l'aggiornamento per la protezione senza imporre il riavvio del sistema, immettere la riga seguente al prompt dei comandi di Windows 2000 Service Pack 4:

Windows2000-kb899588-x86-enu /norestart

Per ulteriori informazioni su come eseguire la distribuzione di questo aggiornamento per la protezione con Software Update Services, visitare il sito Web Software Update Services. Per ulteriori informazioni su come eseguire la distribuzione di questo aggiornamento per la protezione con Windows Server Update Services, visitare il sito Web Windows Server Update Services. Questo aggiornamento per la protezione è anche disponibile dal sito Web Microsoft Update.

Necessità di riavvio

Dopo l'applicazione dell'aggiornamento per la protezione è necessario riavviare il sistema.

Informazioni per la rimozione

Per rimuovere questo aggiornamento per la protezione, utilizzare lo strumento Installazione applicazioni del Pannello di controllo.

Gli amministratori di sistema possono inoltre rimuovere l'aggiornamento per la protezione mediante l'utilità Spuninst.exe, disponibile nella cartella %Windir%\$NTUninstallKB899588$\Spuninst.

Informazioni sui file

I file della versione inglese di questo aggiornamento per la protezione presentano gli attributi riportati nella tabella che segue. Le date e le ore dei file indicati nella tabella sono espressi utilizzando l'ora UTC (Coordinated Universal Time). Al momento della visualizzazione, tali informazioni verranno convertite nella data e nell'ora locali. Per informazioni sulle differenze fra l'ora UTC e l'ora locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.

Windows 2000 Service Pack 4 e Small Business Server 2000:

Verifica dell'applicazione dell'aggiornamento