Bollettino Microsoft sulla sicurezza MS05-027

Esiste una vulnerabilità associata alla possibilità di esecuzione di codice in modalità remota in SMB che potrebbe consentire a un utente malintenzionato in grado di sfruttare questa vulnerabilità di assumere pieno controllo del sistema interessato.

•

A causa della natura specifica del problema, i tentativi di sfruttamento di questa vulnerabilità comporterebbero quasi sicuramente un Denial of Service.

•

Le configurazioni predefinite standard dei firewall e le procedure consigliate per la configurazione dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale. È consigliabile che i sistemi connessi a Internet abbiano un numero minimo di porte esposte. Per impostazione predefinita, Windows Firewall (fornito con Windows XP Service Pack 2 e Windows Server 2003) impedisce alle porte interessate di rispondere agli attacchi basati sulla rete per sfruttare questa vulnerabilità.

Top of section

Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità sottostante, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata nella sezione seguente.

Nota Altri protocolli, come ad esempio IPX (Internetwork Packet Exchange) e SPX (Sequenced Packet Exchange) potrebbero essere esposti alla vulnerabilità. Se vengono utilizzati, è importante bloccare anche le porte appropriate per questi protocolli. Per ulteriori informazioni su IPX e SPX, visitare il seguente sito Web Microsoft.

•	Bloccare le porte TCP 139 e 445 a livello del firewall: Queste porte vengono utilizzate per avviare una connessione con il protocollo interessato. Bloccandole a livello di firewall, sia in ingresso che in uscita, è quindi possibile evitare che i sistemi protetti dal firewall subiscano attacchi mirati a sfruttare la vulnerabilità. Si consiglia di bloccare tutte le comunicazioni in ingresso non richieste provenienti da Internet per impedire gli attacchi che potrebbero utilizzare altre porte. Per ulteriori informazioni sulle porte, visitare il seguente sito Web.
•	Per assicurare la protezione contro i tentativi di sfruttare questa vulnerabilità con attacchi basati sulla rete, utilizzare un firewall personale, come ad esempio Firewall connessione Internet, incluso in Windows XP e Windows Server 2003. Per impostazione predefinita, la funzionalità Firewall connessione Internet in Windows XP e Windows Server 2003 consente di proteggere la connessione a Internet in quanto blocca il traffico in entrata non richiesto. È preferibile bloccare tutte le comunicazioni in entrata non richieste provenienti da Internet. Per attivare la funzionalità Firewall connessione Internet utilizzando l'Installazione guidata rete, seguire i passaggi riportati di seguito: 1. Fare clic su Start e scegliere Pannello di controllo. 2. Nella visualizzazione predefinita, per categorie, fare clic su Rete e connessioni Internet, quindi su Installa o cambia una piccola rete domestica o una piccola rete aziendale. Firewall connessione Internet viene attivato se, durante l'Installazione guidata rete, si sceglie una configurazione che preveda il collegamento diretto a Internet del sistema. Per configurare manualmente Firewall connessione Internet per una connessione, seguire i passaggi riportati di seguito: 1. Fare clic su Start e scegliere Pannello di controllo. 2. Nella visualizzazione predefinita, per categorie, fare doppio clic su Rete e connessioni Internet, quindi fare clic su Connessioni di rete. 3. Fare clic con il pulsante destro del mouse sulla connessione per la quale si desidera abilitare Firewall connessione Internet e scegliere Proprietà. 4. Fare clic sulla scheda Avanzate. 5. Selezionare la check box Proteggi il computer e la rete limitando o impedendo l'accesso al computer da Internet, quindi scegliere OK. Nota Per abilitare la comunicazione di alcuni programmi e servizi attraverso il firewall, fare clic su Impostazioni nella scheda Avanzate, quindi selezionare i programmi, i protocolli e i servizi desiderati.
•	Per assicurare la protezione contro i tentativi di sfruttare questa vulnerabilità con attacchi basati sulla rete, attivare il filtro TCP/IP avanzato nei sistemi che lo supportano. Per bloccare tutto il traffico non richiesto in ingresso, è possibile attivare il filtro TCP/IP avanzato. Per ulteriori informazioni sulla procedura di configurazione del filtro TCP/IP, vedere l'articolo della Microsoft Knowledge Base 309798.
•	Per assicurare la protezione contro i tentativi di sfruttare questa vulnerabilità con attacchi basati sulla rete, bloccare le porte interessate utilizzando IPSec nei sistemi interessati. Utilizzare IPSec (Internet Protocol Security) per proteggere le comunicazioni di rete. Per informazioni dettagliate su IPSec e sull'applicazione di filtri, vedere gli articoli della Microsoft Knowledge Base 313190 e 813878.

Top of section

Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Se la vulnerabilità viene sfruttata, può consentire a un utente malintenzionato di assumere in remoto il controllo completo del sistema interessato; riuscendo quindi a installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

Quali sono le cause di questa vulnerabilità?
Questa vulnerabilità è dovuta alla procedura utilizzata dai sistemi operativi interessati per convalidare alcuni pacchetti SMB in entrata.

Che cos'è SMB?
SMB (Server Message Block), e la versione successiva Common Internet File System (CIFS), è il protocollo standard Internet utilizzato da Windows per la condivisione di file, stampanti e porte seriali, oltre che per la comunicazione tra computer. A tal fine, SMB utilizza named pipe e mail slot. In un ambiente di rete, i server mettono a disposizione dei client file system e risorse. I client richiedono tali risorse mediante il protocollo SMB e i server inviano risposte SMB. Ciò viene descritto come protocollo client-server di richiesta-risposta.

Questa vulnerabilità interessa anche CIFS?
CIFS (Common Internet File System) è un protocollo standard Internet. Questa vulnerabilità risiede specificatamente nell'implementazione di Microsoft del protocollo e non nel protocollo stesso.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Sfruttando questa vulnerabilità, un utente malintenzionato potrebbe assumere il pieno controllo del sistema interessato. Potrebbe inoltre eseguire attacchi Denial of Service remoti e attacchi che consentono l'acquisizione di privilegi più elevati sul sistema locale.

Quali capacità sono necessarie per sfruttare questa vulnerabilità?
Qualsiasi utente anonimo in grado di inviare un messaggio opportunamente predisposto a un sistema interessato può tentare di sfruttare la vulnerabilità.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?
Un utente malintenzionato può tentare di sfruttare questa vulnerabilità in vari modi. Potrebbe sfruttarla direttamente in rete creando una serie di messaggi appositamente predisposti e inviandoli al sistema interessato. I messaggi possono quindi costringere il sistema interessato a eseguire codice.

Un utente malintenzionato potrebbe inoltre accedere al componente interessato con un'altra strategia. Potrebbe, ad esempio, utilizzare un programma che passa parametri al componente interessato dalla vulnerabilità, in locale o in remoto.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?
Tutti i sistemi operativi interessati sono esposti a questa vulnerabilità. Per impostazione predefinita, Windows Firewall (fornito con Windows XP Service Pack 2 e Windows Server 2003) impedisce alle porte interessate di rispondere agli attacchi basati sulla rete per sfruttare questa vulnerabilità.

È possibile sfruttare questa vulnerabilità tramite Internet?
Sì. Un utente malintenzionato può tentare di sfruttare questa vulnerabilità tramite Internet. Le configurazioni predefinite standard dei firewall e le procedure consigliate per la configurazione dei firewall consentono di proteggersi dagli attacchi provenienti da Internet. Microsoft fornisce informazioni su come è possibile proteggere il proprio PC. Informazioni per gli utenti finali: visitare il sito Web Proteggi il tuo PC. Informazioni per i professionisti IT: visitare il sito Web Security Center.

Quali sono gli scopi dell'aggiornamento?
L'aggiornamento elimina la vulnerabilità modificando il modo in cui i sistemi operativi interessati convalidano i pacchetti di rete SMB prima di passare i dati al buffer allocato.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private. Secondo le informazioni in possesso di Microsoft, al momento della pubblicazione del presente bollettino, l'esistenza di questa vulnerabilità non era stata ancora divulgata pubblicamente.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Qual è la relazione tra questa vulnerabilità e quella in SMB (Server Message Block) corretta dal bollettino MS05-011?
Entrambe le vulnerabilità riguardano Server Message Block. Tuttavia, il presente aggiornamento corregge una nuova vulnerabilità non affrontata nel bollettino MS05-011. MS05-011 consente di proteggere il sistema dalle vulnerabilità in esso illustrate, ma non da quella trattata nel presente bollettino. Questo aggiornamento non sostituisce il bollettino MS05-011. Per proteggere il sistema da entrambe le vulnerabilità, è necessario installare sia il presente aggiornamento che l'aggiornamento incluso nel bollettino sulla sicurezza MS05-011.

Top of section

Prerequisiti
Questo aggiornamento per la protezione richiede Windows Server 2003 o Windows Server 2003 Service Pack 1.

Disponibilità nei service pack futuri:
La correzione per questo problema verrà inclusa in un service pack o rollup di aggiornamento futuro.

Informazioni per l'installazione

Questo aggiornamento per la protezione supporta le seguenti opzioni del programma di installazione.

Nota È possibile combinare queste opzioni in un unico comando. Per garantire la compatibilità con le versioni precedenti, l'aggiornamento per la protezione supporta inoltre numerose opzioni utilizzate dalla versione precedente del programma di installazione. Per ulteriori informazioni sulle opzioni di installazione supportate, consultare l'articolo della Microsoft Knowledge Base 262841. Per ulteriori informazioni sul programma di installazione Update.exe, visitare il sito Web Microsoft TechNet.

Informazioni per il deployment

Per installare l'aggiornamento per la protezione senza l'intervento dell'utente, immettere la riga seguente al prompt dei comandi di Windows Server 2003:

Windowsserver2003-kb896422-x86-enu /quiet

Nota L'utilizzo dell'opzione /quiet evita di visualizzare tutti i messaggi, inclusi i messaggi di errore. Quando viene utilizzata l'opzione /quiet, è opportuno che gli amministratori adottino uno dei metodi supportati per verificare che l'installazione sia avvenuta correttamente. È inoltre consigliabile esaminare il file KB896422.log per individuare eventuali messaggi di errore registrati quando questa opzione è attivata.

Per installare l'aggiornamento per la protezione senza imporre il riavvio del sistema, immettere la riga seguente al prompt dei comandi di Windows Server 2003:

Windowsserver2003-kb896422-x86-enu /norestart

Per informazioni su come eseguire il deployment di questo aggiornamento per la protezione con Software Update Services, visitare il sito Web Software Update Services.

Necessità di riavvio

Dopo l'applicazione dell'aggiornamento per la protezione è necessario riavviare il sistema. Per ridurre le probabilità di dover effettuare un riavvio, interrompere tutti i servizi interessati e chiudere tutte le applicazioni che potrebbero utilizzare i file interessati prima di installare l'aggiornamento per la protezione. Per ulteriori informazioni sui motivi della richiesta di riavvio del computer, vedere l'articolo della Microsoft Knowledge Base 887012.

Informazioni per la rimozione

Per rimuovere questo aggiornamento, utilizzare Installazione applicazioni dal Pannello di controllo.

Gli amministratori di sistema possono inoltre rimuovere l'aggiornamento per la protezione mediante l'utilità Spuninst.exe, disponibile nella cartella %Windir%\$NTUninstallKB896422$\Spuninst.

Informazioni sui file

I file della versione inglese di questo aggiornamento per la protezione presentano gli attributi riportati nella tabella che segue. Le date e le ore dei file indicati nella tabella sono espressi utilizzando l'ora UTC (Coordinated Universal Time). Al momento della visualizzazione, tali informazioni verranno convertite nella data e nell'ora locali. Per informazioni sulle differenze fra l'ora UTC e l'ora locale, utilizzare la scheda Fuso orario dello strumento Data/Ora del Pannello di controllo.

Windows Server 2003, Web Edition; Windows Server 2003, Standard Edition; Windows Server 2003, Datacenter Edition; Windows Server 2003, Enterprise Edition; Windows Small Business Server 2003; Windows Server 2003, Web Edition con SP1; Windows Server 2003, Standard Edition con SP1; Windows Server 2003, Enterprise Edition con SP1; Windows Server 2003, Datacenter Edition con SP1:

Windows Server, 2003 Enterprise Edition per sistemi basati su Itanium; Windows Server 2003, Datacenter Edition per sistemi basati su Itanium; Windows Server 2003, Enterprise Edition con SP1 per sistemi basati su Itanium; Windows Server 2003, Datacenter Edition con SP1 per sistemi basati su Itanium:

Windows Server 2003, Standard x64 Edition; Windows Server 2003, Enterprise x64 Edition; Windows Server 2003, Datacenter x64 Edition:

Nota Quando si installa questo aggiornamento per la protezione in un sistema Windows Server 2003, il programma di installazione verifica se uno o più file da aggiornare nel sistema sono stati aggiornati in precedenza mediante un aggiornamento rapido Microsoft. Se un file interessato è stato aggiornato mediante l'installazione di un aggiornamento rapido precedente, il programma di installazione copia nel sistema i file della cartella RTMQFE. In caso contrario, copia nel sistema i file della cartella RTMGDR.

Per ulteriori informazioni in merito, vedere l'articolo della Microsoft Knowledge Base 824994.

Per ulteriori informazioni sul programma di installazione Update.exe, visitare il sito Web Microsoft TechNet.

Per ulteriori informazioni sulla terminologia utilizzata nel presente bollettino, ad esempio su ciò che si intende per aggiornamento rapido, vedere l'articolo della Microsoft Knowledge Base 824684.

Verifica dell'applicazione dell'aggiornamento

Prerequisiti
Per questo aggiornamento per la protezione è necessario Microsoft Windows XP Service Pack 1 o versione successiva. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 322389.

Disponibilità nei service pack futuri:
La correzione per questo problema verrà inclusa in un service pack o rollup di aggiornamento futuro.

Informazioni per l'installazione

Questo aggiornamento per la protezione supporta le seguenti opzioni del programma di installazione.

Nota È possibile combinare queste opzioni in un unico comando. Per garantire la compatibilità con le versioni precedenti, l'aggiornamento per la protezione supporta anche le opzioni utilizzate dalla versione precedente del programma di installazione. Per ulteriori informazioni sulle opzioni di installazione supportate, consultare l'articolo della Microsoft Knowledge Base 262841. Per ulteriori informazioni sul programma di installazione Update.exe, visitare il sito Web Microsoft TechNet.

Informazioni per il deployment

Per installare l'aggiornamento per la protezione senza l'intervento dell'utente, immettere la riga seguente al prompt dei comandi di Microsoft Windows XP:

Windowsxp-kb896422-x86-enu /quiet

Nota L'utilizzo dell'opzione /quiet evita di visualizzare tutti i messaggi, inclusi i messaggi di errore. Quando viene utilizzata l'opzione /quiet, è opportuno che gli amministratori adottino uno dei metodi supportati per verificare che l'installazione sia avvenuta correttamente. È inoltre consigliabile esaminare il file KB896422.log per individuare eventuali messaggi di errore registrati quando questa opzione è attivata.

Per installare l'aggiornamento per la protezione senza imporre il riavvio del sistema, immettere la riga seguente al prompt dei comandi di Windows XP:

Windowsxp-kb896422-x86-enu /norestart

Per informazioni su come eseguire il deployment di questo aggiornamento per la protezione con Software Update Services, visitare il sito Web Software Update Services.

Necessità di riavvio

Dopo l'applicazione dell'aggiornamento per la protezione è necessario riavviare il sistema. Per ridurre le probabilità di dover effettuare un riavvio, interrompere tutti i servizi interessati e chiudere tutte le applicazioni che potrebbero utilizzare i file interessati prima di installare l'aggiornamento per la protezione. Per ulteriori informazioni sui motivi della richiesta di riavvio del computer, vedere l'articolo della Microsoft Knowledge Base 887012.

Informazioni per la rimozione

Per rimuovere questo aggiornamento per la protezione, utilizzare lo strumento Installazione applicazioni del Pannello di controllo.

Gli amministratori di sistema possono inoltre rimuovere l'aggiornamento per la protezione mediante l'utilità Spuninst.exe, disponibile nella cartella %Windir%\$NTUninstallKB896422$\Spuninst.

Informazioni sui file

I file della versione inglese di questo aggiornamento per la protezione presentano gli attributi riportati nella tabella che segue. Le date e le ore dei file indicati nella tabella sono espressi utilizzando l'ora UTC (Coordinated Universal Time). Al momento della visualizzazione, tali informazioni verranno convertite nella data e nell'ora locali. Per informazioni sulle differenze fra l'ora UTC e l'ora locale, utilizzare la scheda Fuso orario dello strumento Data/Ora del Pannello di controllo.

Windows XP Home Edition Service Pack 1, Windows XP Professional Service Pack 1, Windows XP Tablet PC Edition, Windows XP Media Center Edition, Windows XP Home Edition Service Pack 2, Windows XP Professional Service Pack 2, Windows XP Tablet PC Edition 2005 e Windows XP Media Center Edition 2005:

Windows XP 64-Bit Edition Service Pack 1 (Itanium):

Windows XP 64-Bit Edition versione 2003 (Itanium):

Windows XP Professional x64:

Nota Questo aggiornamento per la protezione di Windows XP è disponibile in pacchetti dual-mode, ossia in pacchetti che contengono i file per la versione originale di Windows XP Service Pack 1 (SP1) e quelli per Windows XP Service Pack 2 (SP2).

Per ulteriori informazioni sui pacchetti dual-mode, vedere l'articolo della Microsoft Knowledge Base 328848.

Quando si installa questo aggiornamento per la protezione, il programma di installazione verifica se uno o più file da aggiornare nel sistema sono stati aggiornati in precedenza mediante una correzione rapida Microsoft. Se è già stata installata una correzione rapida per correggere un file interessato, viene effettuata una delle seguenti operazioni, a seconda del sistema operativo:

Se non è stato installato un aggiornamento rapido precedente per aggiornare un file interessato, viene effettuata una delle seguenti operazioni, a seconda del sistema operativo:

Per ulteriori informazioni in merito, vedere l'articolo della Microsoft Knowledge Base 824994.

Per ulteriori informazioni sul programma di installazione Update.exe, visitare il sito Web Microsoft TechNet.

Per ulteriori informazioni sulla terminologia utilizzata nel presente bollettino, ad esempio su ciò che si intende per aggiornamento rapido, vedere l'articolo della Microsoft Knowledge Base 824684.

Nota L'aggiornamento per la protezione di Windows XP 64-Bit Edition versione 2003 (Itanium) è identico all'aggiornamento per la protezione di Windows Server 2003 per sistemi basati su Itanium.

Verifica dell'applicazione dell'aggiornamento

Prerequisiti
Per installare questo aggiornamento per la protezione in Windows 2000, è richiesto Service Pack 3 (SP3) o Service Pack 4 (SP4). Per installare questo aggiornamento per la protezione in Small Business Server 2000, è richiesto Small Business Server 2000 Service Pack 1a (SP1a) o Small Business Server 2000 con Windows 2000 Server Service Pack 4 (SP4).

I prodotti software elencati sono stati sottoposti a test per determinare se tali versioni sono interessate dalla vulnerabilità. Le altre versioni non includono più il supporto degli aggiornamenti per la protezione o potrebbero non essere interessate dal problema. Per informazioni sulla disponibilità del supporto per il prodotto e la versione in uso, visitare il sito Web di Microsoft Ciclo di vita del supporto.

Per ulteriori informazioni su come ottenere la versione più recente del service pack, vedere l'articolo della Microsoft Knowledge Base 260910.

Disponibilità nei service pack futuri:
La correzione per questo problema potrà essere inclusa in un rollup di aggiornamento futuro.

Informazioni per l'installazione

Questo aggiornamento per la protezione supporta le seguenti opzioni del programma di installazione.

Nota È possibile combinare queste opzioni in un unico comando. Per garantire la compatibilità con le versioni precedenti, l'aggiornamento per la protezione supporta anche le opzioni utilizzate dalla versione precedente del programma di installazione. Per ulteriori informazioni sulle opzioni di installazione supportate, consultare l'articolo della Microsoft Knowledge Base 262841. Per ulteriori informazioni sul programma di installazione Update.exe, visitare il sito Web Microsoft TechNet. Per ulteriori informazioni sulla terminologia utilizzata nel presente bollettino, ad esempio su ciò che si intende per aggiornamento rapido, vedere l'articolo della Microsoft Knowledge Base 824684.

Informazioni per il deployment

Per installare l'aggiornamento per la protezione senza l'intervento dell'utente, immettere la seguente riga al prompt dei comandi di Windows 2000 Service Pack 3 e Windows 2000 Service Pack 4:

Windows2000-kb896422-x86-enu /quiet

Nota L'utilizzo dell'opzione /quiet evita di visualizzare tutti i messaggi, inclusi i messaggi di errore. Quando viene utilizzata l'opzione /quiet, è opportuno che gli amministratori adottino uno dei metodi supportati per verificare che l'installazione sia avvenuta correttamente. È inoltre consigliabile esaminare il file KB896422.log per individuare eventuali messaggi di errore registrati quando questa opzione è attivata.

Per installare l'aggiornamento per la protezione senza imporre il riavvio del sistema, immettere la seguente riga al prompt dei comandi di Windows 2000 Service Pack 3 e Windows 2000 Service Pack 4:

Windows2000-kb896422-x86-enu /norestart

Per ulteriori informazioni su come eseguire il deployment di questo aggiornamento per la protezione con Software Update Services, visitare il sito Web Software Update Services.

Necessità di riavvio

Dopo l'applicazione dell'aggiornamento per la protezione è necessario riavviare il sistema. Per ridurre le probabilità di dover effettuare un riavvio, interrompere tutti i servizi interessati e chiudere tutte le applicazioni che potrebbero utilizzare i file interessati prima di installare l'aggiornamento per la protezione. Per ulteriori informazioni sui motivi della richiesta di riavvio del computer, vedere l'articolo della Microsoft Knowledge Base 887012.

Informazioni per la rimozione

Per rimuovere questo aggiornamento per la protezione, utilizzare lo strumento Installazione applicazioni del Pannello di controllo.

Gli amministratori di sistema possono inoltre rimuovere l'aggiornamento per la protezione mediante l'utilità Spuninst.exe, disponibile nella cartella %Windir%\$NTUninstallKB896422$\Spuninst.

Informazioni sui file

I file della versione inglese di questo aggiornamento per la protezione presentano gli attributi riportati nella tabella che segue. Le date e le ore dei file indicati nella tabella sono espressi utilizzando l'ora UTC (Coordinated Universal Time). Al momento della visualizzazione, tali informazioni verranno convertite nella data e nell'ora locali. Per informazioni sulle differenze fra l'ora UTC e l'ora locale, utilizzare la scheda Fuso orario dello strumento Data/Ora del Pannello di controllo.

Windows 2000 Service Pack 3, Windows 2000 Service Pack 4 e Small Business Server 2000:

Verifica dell'applicazione dell'aggiornamento