Articolo
03/14/2024

Bollettino sulla sicurezza

Microsoft Security Bulletin MS03-034 - Basso

Difetto in NetBIOS potrebbe portare alla divulgazione di informazioni (824105)

Pubblicato: 3 settembre 2003 | Aggiornato: 13 aprile 2004

Versione: 1.2

Pubblicato originariamente: 03 settembre 2003
Aggiornato: 13 aprile 2004
Versione: 1.2

Riepilogo

Chi deve leggere questo bollettino: Clienti che usano Microsoft® Windows®

Impatto della vulnerabilità: divulgazione di informazioni

Valutazione massima gravità: bassa

Raccomandazione: gli utenti devono valutare se applicare la patch di sicurezza ai sistemi interessati.

Bollettino per l'utente finale: una versione dell'utente finale di questo bollettino è disponibile all'indirizzo: https:.

Software interessato:

Microsoft Windows NT Workstation 4.0
Microsoft Windows NT Server 4.0®
Microsoft Windows NT Server 4.0, Terminal Server Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server™ 2003

Software non interessato:

Microsoft Windows Millennium Edition

Informazioni generali

Dettagli tecnici

Descrizione tecnica:

Successivamente alla versione originale di questo bollettino Microsoft ha esteso il supporto di Windows NT Workstation 4.0 e Windows 2000 Service Pack 2. Un aggiornamento della sicurezza è ora disponibile dal Servizio Supporto Tecnico Clienti Microsoft per i clienti che eseguono questi sistemi operativi. Per ottenere questi aggiornamenti di sicurezza aggiuntivi, contattare il Servizio Supporto Tecnico Clienti Microsoft.

Network basic input/output system (NetBIOS) è un'API (Application Programming Interface) che può essere usata dai programmi in una rete locale (LAN). NetBIOS fornisce programmi con un set uniforme di comandi per richiedere i servizi di livello inferiore necessari per gestire nomi, eseguire sessioni e inviare datagrammi tra nodi in una rete.

Questa vulnerabilità riguarda uno dei servizi NetBT (NetBIOS su TCP), ovvero il servizio Nome NetBIOS (NBNS). NBNS è analogo a DNS nel mondo TCP/IP e offre un modo per trovare l'indirizzo IP di un sistema in base al nome NetBIOS o viceversa.

In determinate condizioni, la risposta a una query netBT Name Service può, oltre alla risposta tipica, contenere dati casuali dalla memoria del sistema di destinazione. Questi dati, ad esempio, potrebbero essere un segmento di HTML se l'utente nel sistema di destinazione usava un browser Internet o potrebbe contenere altri tipi di dati presenti in memoria al momento in cui il sistema di destinazione risponde alla query del servizio Nome NetBT.

Un utente malintenzionato potrebbe cercare di sfruttare questa vulnerabilità inviando una query netBT Name Service al sistema di destinazione e quindi esaminando la risposta per verificare se include dati casuali dalla memoria del sistema.

Se sono state seguite le procedure di sicurezza consigliate e la porta 137 UDP è stata bloccata nel firewall, gli attacchi basati su Internet non sarebbero possibili.

Fattori di mitigazione:

Qualsiasi divulgazione di informazioni sarebbe completamente casuale.
Per impostazione predefinita, Internet Connessione ion Firewall (ICF), disponibile con Windows XP e Windows Server 2003, blocca le porte usate da NetBT.
Per sfruttare questa vulnerabilità, un utente malintenzionato deve essere in grado di inviare una richiesta NetBT appositamente creata alla porta 137 nel sistema di destinazione e quindi esaminare la risposta per verificare se sono inclusi dati casuali dalla memoria del sistema. Negli ambienti Intranet queste porte sono in genere accessibili, ma i sistemi connessi a Internet in genere hanno queste porte bloccate da un firewall.

Valutazione gravità:


Workstation Windows NT 4.0	Basso
Windows NT Server 4.0	Basso
Windows NT Server 4.0, Terminal Server Edition	Basso
Windows 2000	Basso
Windows XP	Basso
Windows Server 2003	Basso

La valutazione precedente si basa sui tipi di sistemi interessati dalla vulnerabilità, sui modelli di distribuzione tipici e sull'effetto che l'exploit della vulnerabilità avrebbe su di essi.

Identificatore di vulnerabilità:CAN-2003-0661

Versioni testate:

Microsoft ha testato Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000, Windows Millennium Edition, Windows XP e Windows Server 2003 per valutare se sono interessati da questa vulnerabilità. Le versioni precedenti non sono più supportate e potrebbero non essere interessate da queste vulnerabilità.

Domande frequenti

Perché Microsoft ha rilasciato nuovi aggiornamenti della sicurezza per Windows NT Workstation 4.0 e Windows 2000 Service Pack 2?
Successivamente alla versione originale di questo bollettino Microsoft ha esteso il supporto di Windows NT Workstation 4.0 e Windows 2000 Service Pack 2. Un aggiornamento della sicurezza è ora disponibile da Microsoft Product Support Services per i clienti che eseguono questi sistemi operativi. Per ottenere questi aggiornamenti di sicurezza aggiuntivi, contattare il Servizio Supporto Tecnico Clienti Microsoft.

Qual è l'ambito della vulnerabilità?
Si tratta di una vulnerabilità di divulgazione di informazioni che potrebbe consentire a un utente malintenzionato di ricevere dati arbitrari o casuali dalla memoria di un altro sistema di computer che si trova in una rete. In determinate condizioni, la risposta a una query netBT Name Service può, oltre alla normale risposta, contenere dati casuali dalla memoria del sistema di destinazione. Questi dati, ad esempio, potrebbero essere un segmento di HTML se l'utente nel sistema di destinazione usava un browser Internet al momento in cui il sistema di destinazione risponde alla query netBT Name Service. Può anche contenere altri tipi di dati, a seconda dei dati presenti in memoria al momento in cui il sistema di destinazione risponde alla query netBT Name Service. Per sfruttare la vulnerabilità, l'utente malintenzionato deve essere in grado di accedere al sistema di destinazione tramite NetBT. La potenziale divulgazione di informazioni non può essere indirizzata o controllata. Qualsiasi dato che un utente malintenzionato potrebbe ricevere sarebbe molto arbitrario nella sua natura perché la divulgazione di informazioni è limitata a segmenti casuali di dati in memoria. Un utente malintenzionato potrebbe aumentare la probabilità di questa divulgazione di memoria inviando ripetutamente query netBT Name Service al sistema. Tuttavia, le informazioni che potrebbero essere divulgate sarebbero ancora casuali e dipenderebbero dal modo in cui l'utente usava il proprio sistema al momento dell'attacco.

Che cos'è NetBIOS?
NetBIOS è un set di servizi di rete per la rete di computer. NetBIOS può essere implementato su diversi protocolli di rete, ad esempio TCP/IP.

Che cos'è NetBT?
NetBT è il protocollo che descrive il modo in cui i servizi NetBIOS vengono forniti tramite una rete TCP/IP. Per altre informazioni, visitare il seguente sito Web Microsoft: Concetti relativi a NetBIOS su TCP/IP (NetBT)

Che cosa causa la vulnerabilità?
Se il datagramma di rete (detto anche pacchetto) richiede la spaziatura interna, la spaziatura interna deve essere vuota. Una vulnerabilità risulta a causa di un difetto in NetBT che può causare l'uso di dati arbitrari per la spaziatura interna anziché per i dati vuoti.

Che cos'è un datagramma?
Un datagramma è un dato indipendente e indipendente che contiene informazioni sufficienti da instradare dall'origine al computer di destinazione senza basarsi su scambi precedenti tra queste origini e la destinazione attraverso la rete di trasporto. In breve, un datagramma è ciò che TCP/IP divide i file e altri tipi di contenuto in prima di instradarlo su una rete specifica.

Che cosa c'è di sbagliato con NetBT?
C'è un difetto nel modo in cui NetBT riempie i datagrammi. Quando NetBT costruisce Name Service risponde, alloca un buffer più grande per contenere le informazioni necessarie per la risposta. Questo buffer non viene inizializzato correttamente prima che venga usato per assicurarsi che sia vuoto. NetBT scriverà solo la quantità di dati necessari per la risposta al buffer, ma NetBT leggerà tutto il contenuto del buffer quando invia la risposta al sistema richiedente. Di conseguenza, la differenza tra i dati scritti in e quindi letti dal buffer potrebbe essere dati arbitrari da un'operazione di memoria precedente perché il buffer non è stato inizializzato per la prima volta.

Cosa potrebbe fare questa vulnerabilità per consentire a un utente malintenzionato di eseguire?
Questa vulnerabilità potrebbe consentire a un utente malintenzionato di leggere parte del contenuto della memoria di un sistema di destinazione esaminando la rete per le risposte alle query del servizio Nome NetBT. L'utente malintenzionato non avrebbe alcun modo per determinare quale contenuto di memoria sarebbe stato divulgato, né un utente malintenzionato forzava l'esposizione di dati specifici.

In che modo un utente malintenzionato potrebbe sfruttare questa vulnerabilità?
Un utente malintenzionato potrebbe cercare di sfruttare questa vulnerabilità inviando query netBT Name Service a un sistema di destinazione e quindi esaminando le risposte per i dati arbitrari dalla memoria del sistema di destinazione.

Quanti dati potrebbero essere divulgati?
La quantità di dati che possono essere divulgati è piccola; in genere la spaziatura interna necessaria è di 15 byte o inferiore.

Soluzioni alternative:

Esistono soluzioni alternative che è possibile usare per bloccare lo sfruttamento di questa vulnerabilità durante il test o la valutazione della patch?
Sì. Anche se Microsoft invita tutti i clienti a applicare la patch esistono diverse soluzioni alternative che è possibile applicare nel frattempo per bloccare lo sfruttamento di questa vulnerabilità. Non esiste alcuna garanzia che le soluzioni alternative blocchino tutti i possibili vettori di attacco. Si noti che queste soluzioni alternative devono essere considerate misure temporanee perché consentono solo di bloccare i percorsi di attacco anziché correggere la vulnerabilità sottostante.

Bloccare TCP e UDP sulla porta 137 nel firewall nei computer interessati Il servizio nome NetBT usa questa porta. Il blocco di TCP e UDP nel firewall consente di impedire ai sistemi protetti dal firewall di essere attaccati dai tentativi di sfruttare queste vulnerabilità. Usa Internet Connessione ion Firewall (disponibile solo con Windows XP e Windows Server 2003). Se si usa Internet Connessione ion Firewall incluso in Windows XP o Windows Server 2003 per proteggere la connessione Internet, per impostazione predefinita blocca il traffico NetBT in ingresso da Internet. Per ulteriori informazioni su come abilitare ICF e per informazioni su altre opzioni disponibili, visitare il sito Web Proteggi pc.
Bloccare la porta interessata usando un filtro IPSec nei computer interessati È possibile proteggere le comunicazioni di rete nei computer basati su Windows 2000 se si usa la sicurezza IPSec (Internet Protocol Security). Per altre informazioni su IPSec e su come applicare i filtri, vedere l'articolo della Microsoft Knowledge Base 313190 e 813878
Disabilita NetBIOS su TCP/IP È anche possibile disabilitare NetBT in Windows 2000, Windows XP e Windows Server 2003. Per altre informazioni su come eseguire questa operazione e per informazioni su cosa potrebbe essere interessato da questa operazione, visitare il seguente sito Web Microsoft: NetBIOS su TCP/IP (NetBT).

Che cosa fa la patch?
La patch elimina la vulnerabilità assicurandosi che NetBT inizializzi correttamente il buffer interessato.

Disponibilità delle patch

Percorsi di download per questa patch

Nota I clienti che eseguono Windows NT Workstation 4.0 o Windows 2000 Service Pack 2 devono contattare il Servizio Supporto Tecnico Clienti Microsoft per ottenere questo aggiornamento della sicurezza aggiuntivo

Informazioni aggiuntive su questa patch

Piattaforme di installazione:

Questa patch può essere installata nei sistemi in esecuzione.

Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0, Terminal Server Edition Service Pack 6
Microsoft Windows 2000 Service Pack 4 o Windows 2000 Service Pack 3
Microsoft Windows XP Gold e Windows XP Service Pack 1
Microsoft Windows Server 2003

Inclusione nei Service Pack futuri:

La correzione per questo problema verrà inclusa in Windows 2000 Service Pack 5, Windows XP Service Pack 2 e in Windows Server 2003 Service Pack 1.

Riavvio necessario: Sì

È possibile disinstallare patch: Sì

Patch sostituite: Nessuno.

Verifica dell'installazione delle patch:

Windows NT Workstation 4.0 o Windows NT Server 4.0

Per verificare che la patch sia stata installata nel computer, verificare che tutti i file elencati nel manifesto del file nell'articolo della Microsoft Knowledge Base 824105 siano presenti nel sistema.
Windows NT Server 4.0, Terminal Server Edition

Per verificare che la patch sia stata installata nel computer, verificare che tutti i file elencati nel manifesto del file nell'articolo della Microsoft Knowledge Base 824105 siano presenti nel sistema.
Windows 2000

Per verificare che la patch sia stata installata nel computer, verificare che nel sistema sia stata creata la chiave del Registro di sistema seguente: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Aggiornamenti\Windows 2000\SP5\KB824105

Per verificare i singoli file, usare la data/ora e le informazioni sulla versione fornite nel manifesto del file nell'articolo della Microsoft Knowledge Base 824105 e verificare che tutti i file elencati nel manifesto del file siano presenti nel sistema.
Windows XP Gold

Per verificare che la patch sia stata installata nel sistema, verificare che nel sistema sia stata creata la chiave del Registro di sistema seguente: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Aggiornamenti\Windows XP\SP1\KB824105

Per verificare i singoli file, usare la data/ora e le informazioni sulla versione fornite nel manifesto del file nell'articolo della Microsoft Knowledge Base 824105 e verificare che tutti i file elencati nel manifesto del file siano presenti nel sistema.
Windows XP Service Pack 1

Per verificare che la patch sia stata installata nel sistema, verificare che nel sistema sia stata creata la chiave del Registro di sistema seguente: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Aggiornamenti\Windows XP\SP2\KB824105

Per verificare i singoli file, usare la data/ora e le informazioni sulla versione fornite nel manifesto del file nell'articolo della Microsoft Knowledge Base 824105 e verificare che tutti i file elencati nel manifesto del file siano presenti nel sistema.
Windows Server 2003

Per verificare che la patch sia stata installata nel sistema, verificare che la chiave del Registro di sistema seguente sia stata creata nel sistema HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Aggiornamenti\Windows Server 2003\SP1\KB824105

Per verificare i singoli file, usare la data/ora e le informazioni sulla versione fornite nel manifesto del file nell'articolo della Microsoft Knowledge Base 824105 e verificare che tutti i file elencati nel manifesto del file siano presenti nel sistema.

Avvertenze:

None

Localizzazione:

Le versioni localizzate di questa patch sono disponibili nelle posizioni descritte in "Disponibilità patch".

Recupero di altre patch di sicurezza:

Le patch per altri problemi di sicurezza sono disponibili nelle posizioni seguenti:

Le patch di sicurezza sono disponibili nell'Area download Microsoft e possono essere trovate più facilmente eseguendo una ricerca di parole chiave "security_patch".
Le patch per le piattaforme consumer sono disponibili nel sito Web WindowsUpdate

Altre informazioni:

Riconoscimenti

Microsoft ringrazia Mike Price of Foundstone Labs per segnalare questo problema e collaborare con microsoft per proteggere i clienti.

Supporto:

L'articolo della Microsoft Knowledge Base 824105 illustra questo problema e sarà disponibile circa 24 ore dopo il rilascio di questo bollettino. Gli articoli della Knowledge Base sono disponibili nel sito Web del supporto online Microsoft.
Il supporto tecnico è disponibile in Servizi supporto tecnico Microsoft. Non sono previsti addebiti per le chiamate di supporto associate alle patch di sicurezza.

Risorse di sicurezza: il sito Web del Centro sicurezza Microsoft TechNet fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.

Declinazione di responsabilità:

Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.

Revisioni:

V1.0 (03 settembre 2003): Bollettino pubblicato.
V1.1 (03 settembre 2003): aggiornato per riflettere che verrà incluso anche in Windows 2000 Service Pack 5.
V1.2 (13 aprile 2004): aggiunta di domande frequenti per informare i clienti sulla disponibilità di un aggiornamento della sicurezza per Windows NT Workstation 4.0 Service Pack 6a e Windows 2000 Service Pack 2.

Costruito al 2014-04-18T13:49:36Z-07:00</https:>