Bollettino Microsoft sulla sicurezza MS09-061 – Critico

Le applicazioni Microsoft .NET che non sono dannose non rischiano di essere compromesse a causa di questa vulnerabilità. Soltanto le applicazioni costruite in un modo esplicitamente dannoso possono sfruttare questa vulnerabilità.

In uno scenario di hosting Web, un utente malintenzionato deve disporre dell'autorizzazione per caricare pagine ASP.NET non autorizzate in un sito Web e ASP.NET deve essere installato su tale server Web. In una configurazione predefinita, un utente anonimo non può caricare ed eseguire codice Microsoft .NET su un server Internet Information Server (IIS).

Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Questa modalità attenua la vulnerabilità soltanto in uno scenario di attacco dal Web. Vedere la sezione Domande frequenti per questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.

Internet Explorer 8 disattiva il filtro MIME di Microsoft .NET nell'area Internet. Questa funzionalità di Internet Explorer 8 rende più difficile lo sfruttamento della vulnerabilità bloccando una tecnica conosciuta per eludere la protezione ASLR e DEP. La disattivazione del filtro MIME di Microsoft .NET nell'area Internet non impedisce lo sfruttamento di questa vulnerabilità in Internet Explorer 8, ma lo rende più difficile per i siti Web dannosi.

In uno scenario di attacco basato sull'esplorazione Web, l'utente malintenzionato può pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. malintenzionato dovrebbe invece indurre le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o Instant Messenger che le indirizzi al sito.

Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale o dell'account utente ASP.NET. Gli utenti o gli account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto agli utenti e agli account che operano con privilegi amministrativi.

Disattivazione delle applicazioni Microsoft .NET parzialmente attendibili

Per disattivare tutte le applicazioni Microsoft .NET eseguite in maniera parzialmente attendibile, comprese le applicazioni browser XAML (XBAP) e le applicazioni Microsoft .NET situate sulla rete, eseguire i comandi seguenti da un prompt dei comandi di livello elevato:

caspol –pp off
caspol –m –resetlockdown
caspol –pp on

Nota È necessario eseguire l'accesso come amministratore o disporre delle credenziali di amministratore per completare questa soluzione alternativa.

Effetto della soluzione alternativa. Alcune applicazioni Microsoft .NET non vengono eseguite.

Per annullare il risultato della soluzione alternativa.

Per ripristinare i criteri di protezione Microsoft .NET ai valori predefiniti, eseguire i comandi seguenti da un prompt dei comandi di livello elevato:

caspol –pp off
caspol –m –reset
caspol –pp on

Nota È necessario eseguire l'accesso come amministratore o disporre delle credenziali di amministratore per annullare questa soluzione alternativa.

Disattivazione delle applicazioni browser XAML in Internet Explorer

È possibile contribuire a una protezione più efficace contro questa vulnerabilità modificando le impostazioni affinché venga richiesta la conferma prima di eseguire le applicazioni browser XBAP o affinché vengano disattivate nell'aree di protezione Internet e Intranet locale.

Effetto della soluzione alternativa. Il codice Microsoft .NET non viene eseguito in Internet Explorer o non viene eseguito senza istruzioni. Se si disattivano le applicazioni Microsoft .NET nelle aree di protezione Internet e Intranet locale, alcuni siti Web possono non funzionare in maniera corretta. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco dei siti attendibili. In questo modo il sito funzionerà correttamente.

Per annullare il risultato della soluzione alternativa.

Scenario di esplorazione Web
Un utente malintenzionato può pubblicare un sito Web che contiene un'applicazione browser XAML (XBAP) appositamente predisposta, in grado di sfruttare questa vulnerabilità e convincere un utente a visualizzare il sito. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Scenario di hosting Web
Se un ambiente di hosting Web consente agli utenti di caricare applicazioni ASP.NET personalizzate, un utente malintenzionato può caricare un'applicazione ASP.NET dannosa che utilizza questa vulnerabilità per evadere dal sandbox utilizzato per impedire al codice ASP.NET di eseguire azioni dannose sul sistema server.

Scenario delle applicazioni Microsoft .NET Framework
Un utente malintenzionato può collocare un'applicazione dannosa di Microsoft .NET Framework su una condivisione di rete e convincere gli utenti di tale rete ad eseguire l'applicazione.

Scenario di esplorazione Web
Per sfruttare questa vulnerabilità, è necessario che un utente abbia effettuato l'accesso e stia visitando siti Web mediante un browser capace di creare applicazioni XBAP. Pertanto, i sistemi maggiormente a rischio sono quelli in cui un browser Web viene utilizzato frequentemente, come le workstation o i server terminal. I server potrebbero essere maggiormente a rischio se gli amministratori consentono agli utenti di navigare in Internet e leggere la posta elettronica sui server. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Scenario di hosting Web
I siti hosting Web che consentono agli utenti di caricare applicazioni ASP.NET personalizzate sono maggiormente a rischio.

Le applicazioni Microsoft .NET che non sono dannose non rischiano di essere compromesse a causa di questa vulnerabilità. Soltanto le applicazioni costruite in un modo esplicitamente dannoso possono sfruttare questa vulnerabilità.

In uno scenario di hosting Web, un utente malintenzionato deve disporre dell'autorizzazione per caricare pagine ASP.NET non autorizzate in un sito Web e ASP.NET deve essere installato su tale server Web. In una configurazione predefinita, un utente anonimo non può caricare ed eseguire codice Microsoft .NET su un server Internet Information Server (IIS).

Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Questa modalità attenua la vulnerabilità soltanto in uno scenario di attacco dal Web. Vedere la sezione Domande frequenti per questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.

Internet Explorer 8 disattiva il filtro MIME di Microsoft .NET nell'area Internet. Questa funzionalità di Internet Explorer 8 rende più difficile lo sfruttamento della vulnerabilità bloccando una tecnica conosciuta per eludere la protezione ASLR e DEP. La disattivazione del filtro MIME di Microsoft .NET nell'area Internet non impedisce lo sfruttamento di questa vulnerabilità in Internet Explorer 8, ma lo rende più difficile per i siti Web dannosi.

In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. malintenzionato dovrebbe invece indurre le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o Instant Messenger che le indirizzi al sito.

Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale o dell'account utente ASP.NET. Gli utenti o gli account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto agli utenti e agli account che operano con privilegi amministrativi.

Disattivazione delle applicazioni Microsoft .NET parzialmente attendibili

Per disattivare tutte le applicazioni Microsoft .NET eseguite in maniera parzialmente attendibile, comprese le applicazioni browser XAML (XBAP) e le applicazioni Microsoft .NET situate sulla rete, eseguire i comandi seguenti da un prompt dei comandi di livello elevato:

caspol –pp off
caspol –m –resetlockdown
caspol –pp on

Nota È necessario eseguire l'accesso come amministratore o disporre delle credenziali di amministratore per completare questa soluzione alternativa.

Effetto della soluzione alternativa. Alcune applicazioni Microsoft .NET non vengono eseguite.

Per annullare il risultato della soluzione alternativa.

Per ripristinare i criteri di protezione Microsoft .NET ai valori predefiniti, eseguire i comandi seguenti da un prompt dei comandi di livello elevato:

caspol –pp off
caspol –m –reset
caspol –pp on

Nota È necessario eseguire l'accesso come amministratore o disporre delle credenziali di amministratore per annullare questa soluzione alternativa.

Disattivazione delle applicazioni browser XAML in Internet Explorer

È possibile contribuire a una protezione più efficace contro questa vulnerabilità modificando le impostazioni affinché venga richiesta la conferma prima di eseguire le applicazioni browser XBAP o affinché vengano disattivate nell'aree di protezione Internet e Intranet locale.

Effetto della soluzione alternativa. Il codice Microsoft .NET non viene eseguito in Internet Explorer o non viene eseguito senza istruzioni. Se si disattivano le applicazioni Microsoft .NET nelle aree di protezione Internet e Intranet locale, alcuni siti Web possono non funzionare in maniera corretta. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco dei siti attendibili. In questo modo il sito funzionerà correttamente.

Per annullare il risultato della soluzione alternativa.

Scenario di esplorazione Web
Un utente malintenzionato può pubblicare un sito Web che contiene un'applicazione browser XAML (XBAP) appositamente predisposta, in grado di sfruttare questa vulnerabilità e convincere un utente a visualizzare il sito. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Scenario di hosting Web
Se un ambiente di hosting Web consente agli utenti di caricare applicazioni ASP.NET personalizzate, un utente malintenzionato può caricare un'applicazione ASP.NET dannosa che utilizza questa vulnerabilità per evadere dal sandbox utilizzato per impedire al codice ASP.NET di eseguire azioni dannose sul sistema server.

Scenario delle applicazioni Microsoft .NET Framework
Un utente malintenzionato può collocare un'applicazione dannosa di Microsoft .NET Framework su una condivisione di rete e convincere gli utenti di tale rete ad eseguire l'applicazione.

Scenario di esplorazione Web
Per sfruttare questa vulnerabilità, è necessario che un utente abbia effettuato l'accesso e stia visitando siti Web mediante un browser capace di creare applicazioni XBAP. Pertanto, i sistemi maggiormente a rischio sono quelli in cui un browser Web viene utilizzato frequentemente, come le workstation o i server terminal. I server potrebbero essere maggiormente a rischio se gli amministratori consentono agli utenti di navigare in Internet e leggere la posta elettronica sui server. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Scenario di hosting Web
I siti hosting Web che consentono agli utenti di caricare applicazioni ASP.NET personalizzate sono maggiormente a rischio.

La versione attuale di Microsoft Silverlight, Silverlight 3, non è interessata da questa vulnerabilità. Per impostazione predefinita, Silverlight controlla periodicamente un sito Web di Microsoft per verificare l'eventuale presenza di aggiornamenti al fine di fornire all'utente le funzionalità e i miglioramenti più recenti. Se è disponibile una versione più recente, essa viene scaricata e installata sul computer. La maggior parte dei sistemi esegue già una versione di Silverlight 3. Per ulteriori informazioni, vedere Microsoft Silverlight Updater.

Le applicazioni Microsoft .NET che non sono dannose non rischiano di essere compromesse a causa di questa vulnerabilità. Soltanto le applicazioni costruite in un modo esplicitamente dannoso possono sfruttare questa vulnerabilità.

In uno scenario di hosting Web, un utente malintenzionato deve disporre dell'autorizzazione per caricare pagine ASP.NET non autorizzate in un sito Web e ASP.NET deve essere installato su tale server Web. In una configurazione predefinita, un utente anonimo non può caricare ed eseguire codice Microsoft .NET su un server Internet Information Server (IIS).

Per impostazione predefinita, Internet Explorer in Windows Server 2003 e Windows Server 2008 viene eseguito in una modalità limitata denominata Protezione avanzata. Questa modalità attenua la vulnerabilità soltanto in uno scenario di attacco dal Web. Vedere la sezione Domande frequenti per questa vulnerabilità per ulteriori informazioni sulla Protezione avanzata di Internet Explorer.

Internet Explorer 8 disattiva il filtro MIME di Microsoft .NET nell'area Internet. Questa funzionalità di Internet Explorer 8 rende più difficile lo sfruttamento di questa vulnerabilità in Internet Explorer 8 bloccando una tecnica conosciuta per eludere la protezione ASLR e DEP. Tale operazione non impedisce lo sfruttamento di questa vulnerabilità in Internet Explorer 8, ma lo rende più difficile per i siti Web dannosi.

In uno scenario di attacco basato sul Web, l'utente malintenzionato potrebbe pubblicare un sito Web contenente una pagina utilizzata per sfruttare la vulnerabilità. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti o annunci pubblicitari forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. malintenzionato dovrebbe invece indurre le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o Instant Messenger che le indirizzi al sito.

Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale o dell'account utente ASP.NET. Gli utenti o gli account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto agli utenti e agli account che operano con privilegi amministrativi.

Disattivazione delle applicazioni Microsoft .NET parzialmente attendibili

Per disattivare tutte le applicazioni Microsoft .NET eseguite in maniera parzialmente attendibile, comprese le applicazioni browser XAML (XBAP) e le applicazioni Microsoft .NET situate sulla rete, eseguire i comandi seguenti da un prompt dei comandi di livello elevato:

caspol –pp off
caspol –m –resetlockdown
caspol –pp on

Nota È necessario eseguire l'accesso come amministratore o disporre delle credenziali di amministratore per completare questa soluzione alternativa.

Effetto della soluzione alternativa. Alcune applicazioni Microsoft .NET non vengono eseguite.

Per annullare il risultato della soluzione alternativa.

Per ripristinare i criteri di protezione Microsoft .NET ai valori predefiniti, eseguire i comandi seguenti da un prompt dei comandi di livello elevato:

caspol –pp off
caspol –m –reset
caspol –pp on

Nota È necessario eseguire l'accesso come amministratore o disporre delle credenziali di amministratore per annullare questa soluzione alternativa.

Disattivazione delle applicazioni browser XAML in Internet Explorer

È possibile contribuire a una protezione più efficace contro questa vulnerabilità modificando le impostazioni affinché venga richiesta la conferma prima di eseguire le applicazioni browser XAML o affinché vengano disattivate nell'aree di protezione Internet e Intranet locale.

Effetto della soluzione alternativa. Il codice Microsoft .NET non viene eseguito in Internet Explorer o non viene eseguito senza istruzioni. Se si disattivano le applicazioni Microsoft .NET nelle aree di protezione Internet e Intranet locale, alcuni siti Web possono non funzionare in maniera corretta. Se si incontrano difficoltà nell'utilizzo di un sito Web dopo aver effettuato questa modifica e si è certi che il sito è sicuro, è possibile aggiungere il sito all'elenco dei siti attendibili. In questo modo il sito funzionerà correttamente.

Per annullare il risultato della soluzione alternativa.

Disattivare temporaneamente l'esecuzione del controllo ActiveX di Microsoft Silverlight in Internet Explorer in Windows XP Service Pack 2 o versione successiva

La disattivazione temporanea del controllo ActiveX di Silverlight in Internet Explorer contribuisce a proteggere il sistema dai rischi connessi a queste vulnerabilità. È possibile utilizzare la funzione Gestione componenti aggiuntivi di Internet Explorer per disattivare il controllo ActiveX.

Nota Se non è possibile individuare il controllo ActiveX, utilizzare l'elenco a discesa per passare da "Componenti aggiuntivi attualmente caricati in Internet Explorer" a "Componenti aggiuntivi che sono stati usati da Internet Explorer", oppure da "Componenti aggiuntivi attualmente caricati" a "Tutti i componenti aggiuntivi", quindi seguire i passaggi 2 e 3. Se il controllo ActiveX non è presente nell'elenco, è possibile che non sia stato mai usato prima oppure che non sia installato nel sistema.

Nota Questa soluzione alternativa è intesa solo per i sistemi in cui Silverlight è già installato e non può essere utilizzata in maniera attiva sui sistemi in cui Silverlight non è ancora installato.

Per ulteriori informazioni sulla funzione Gestione componenti aggiuntivi di Internet Explorer in Windows XP Service Pack 2, vedere l'articolo della Microsoft Knowledge Base 883256.

Effetto della soluzione alternativa. Le applicazioni e i siti Web che richiedono il controllo ActiveX di Microsoft Silverlight potrebbero non funzionare più correttamente. Se implementata, questa soluzione alternativa incide su qualsiasi controllo ActiveX di Microsoft Silverlight installato sul sistema.

Per annullare il risultato della soluzione alternativa.

Disattivare temporaneamente l'esecuzione del controllo ActiveX di Microsoft Silverlight in Internet Explorer

È possibile aumentare la protezione nei confronti di questa vulnerabilità disattivando temporaneamente la creazione del controllo ActiveX di Silverlight in Internet Explorer impostando il kill bit per il controllo.

Avvertenza L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione.

Prima di apportare eventuali modifiche, è consigliabile eseguire il backup del Registro di sistema.

Utilizzare il seguente testo per creare un file .reg che disattivi temporaneamente i tentativi di creare un'istanza del controllo ActiveX di Silverlight in Internet Explorer. A tale scopo è possibile copiare e incollare il testo seguente all'interno di un editor di testo come Blocco note, quindi salvare il file con l'estensione .reg. Eseguire il file .reg sul client vulnerabile.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{DFEAF541-F3E1-4C24-ACAC-99C30715084A}]

Chiudere Internet Explorer, quindi riaprirlo per rendere effettive le modifiche.

Per informazioni dettagliate su come interrompere l'esecuzione di un controllo in Internet Explorer, vedere l'articolo della Microsoft Knowledge Base 240797. Seguire la procedura descritta e creare un valore Compatibility Flags nel Registro di sistema in modo da impedire l'esecuzione del controllo ActiveX di Silverlight in Internet Explorer.

Effetto della soluzione alternativa. Le applicazioni e i siti Web che richiedono il controllo ActiveX di Microsoft Silverlight potrebbero non funzionare più correttamente. Se implementata, questa soluzione alternativa incide su qualsiasi controllo ActiveX di Microsoft Silverlight installato sul sistema.

Per annullare il risultato della soluzione alternativa. Rimuovere le chiavi del Registro di sistema aggiunte temporaneamente per evitare la creazione del controllo ActiveX di Silverlight in Internet Explorer.

Scenario di esplorazione Web
Un utente malintenzionato può pubblicare un sito Web che contiene un'applicazione browser XAML (XBAP) o un'applicazione Silverlight appositamente predisposta, in grado di sfruttare questa vulnerabilità e convincere un utente a visualizzare il sito. L'utente malintenzionato potrebbe inoltre servirsi di siti Web manomessi e di siti Web che accettano o pubblicano contenuti o annunci pubblicitari inviati da altri utenti. Questi siti Web possono includere contenuti appositamente predisposti in grado di sfruttare questa vulnerabilità. In tutti questi casi, comunque, non è in alcun modo possibile obbligare gli utenti a visitare questi siti Web. L'utente malintenzionato dovrebbe invece convincere le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

Scenario di hosting Web
Se un ambiente di hosting Web consente agli utenti di caricare applicazioni ASP.NET personalizzate, un utente malintenzionato può caricare un'applicazione ASP.NET dannosa che utilizza questa vulnerabilità per evadere dal sandbox utilizzato per impedire al codice ASP.NET di eseguire azioni dannose sul sistema server.

Scenario delle applicazioni Microsoft .NET Framework
Un utente malintenzionato può collocare un'applicazione dannosa di Microsoft .NET Framework su una condivisione di rete e convincere gli utenti di tale rete ad eseguire l'applicazione.

Scenario di esplorazione Web
Per sfruttare questa vulnerabilità, è necessario che un utente abbia effettuato l'accesso e stia visitando siti Web mediante un browser capace di creare applicazioni XBAP o Silverlight. Pertanto, i sistemi maggiormente a rischio sono quelli in cui un browser Web viene utilizzato frequentemente, come le workstation o i server terminal. I server potrebbero essere maggiormente a rischio se gli amministratori consentono agli utenti di navigare in Internet e leggere la posta elettronica sui server. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Scenario di hosting Web
I siti hosting Web che consentono agli utenti di caricare applicazioni ASP.NET personalizzate sono maggiormente a rischio.