Avviso di sicurezza
Microsoft Security Advisory 971888
Aggiornamento per la devoluzione DNS
Pubblicato: 9 giugno 2009
Versione: 1.0
Microsoft annuncia la disponibilità di un aggiornamento alla devoluzione DNS che consente ai clienti di mantenere protetti i sistemi. I clienti il cui nome di dominio ha tre o più etichette, ad esempio "contoso.co.us", o che non dispongono di un elenco di suffissi DNS configurato o per i quali i seguenti fattori di mitigazione non si applicano possono inavvertitamente consentire ai sistemi client di trattare i sistemi al di fuori del limite dell'organizzazione come se fossero interni al limite dell'organizzazione.
Fattori di mitigazione:
- I clienti che sono aggiunti a un dominio e hanno un elenco di ricerca suffisso DNS configurato nel proprio sistema non sono a rischio di gestire inavvertitamente sistemi esterni come se fossero interni. Microsoft incoraggia tutti i clienti aziendali a impostare elenchi di ricerca di suffissi DNS nei sistemi client per garantire che tutte le query DNS rimangano entro i limiti dell'organizzazione.
- Nella maggior parte dei casi, gli utenti domestici che non sono membri di un dominio non usano la devoluzione DNS e pertanto non sono esposti a questo rischio. Gli utenti domestici che non sono membri di un dominio ma hanno configurato un suffisso DNS primario, tuttavia, usano la devoluzione DNS e sono a rischio di gestire inavvertitamente i sistemi esterni come se fossero interni.
- I clienti il cui nome di dominio DNS è costituito da due etichette non sono esposti a questo rischio. Un esempio di cliente che non è interessato è contoso.com o fabrikam.gov, dove "contoso" e "fabrikam" sono nomi di dominio registrati dai clienti con i rispettivi domini di primo livello ".com" e ".gov".
Informazioni generali
Panoramica
Scopo dell'avviso: fornire chiarimenti e notifiche sulla disponibilità di un aggiornamento non della sicurezza che può aiutare i clienti a mantenere protetti i propri sistemi.
Stato avviso: l'articolo della Microsoft Knowledge Base e gli aggiornamenti associati sono stati rilasciati.
Raccomandazione: esaminare la Knowledge Base di riferimento e applicare gli aggiornamenti appropriati.
| Riferimenti | Identificazione |
|---|---|
| Articolo della Microsoft Knowledge Base | 957579 |
Questo avviso illustra il software seguente.
Domande frequenti
Qual è l'ambito dell'avviso?
Questo avviso fornisce una notifica che indica che gli aggiornamenti sono disponibili che consentono di definire un limite dell'organizzazione per i sistemi aggiunti a un dominio ma che non dispongono di un elenco di suffissi DNS configurato. Aggiornamenti sono disponibili per il software elencato nel Sezione Panoramica.
Che cos'è un dominio di primo livello (TLD)?
Il dominio di primo livello (TLD) è l'ultima parte di un nome di dominio Internet. Queste sono le lettere che seguono il punto finale di qualsiasi nome di dominio. Ad esempio, nel nome di dominio wpad.western.corp.contoso.co.us, il TLD è ".us". I valori TLD possono essere suddivisi principalmente in due tipi: codice paese e generico. I codici paese TLD sono abbreviazioni di due lettere per ogni paese. In questo esempio .us è per Stati Uniti. I TTLD generici sono le abbreviazioni di tre lettere (o superiori) più tradizionalmente riconoscibili, ad esempio .com, .net, .org e così via. Per un elenco completo di tutti i valori TLD disponibili, vedere l'elenco seguente in IANA.
Che cos'è un suffisso DNS primario (PDS)?
Si tratta del nome di dominio aggiunto a destra del nome host a etichetta singola di un computer. Un nome di dominio completo (FQDN) può essere definito come <nome> host.<suffisso> DNS primario. Per impostazione predefinita, la parte del suffisso DNS primario del nome di dominio completo di un computer corrisponde al nome del dominio di Active Directory a cui viene aggiunto il computer. Tuttavia, il PDS di un computer può essere diverso dal dominio DNS a cui viene aggiunto quando configurato tramite la finestra di dialogo Proprietà del computer.
Che cos'è un dominio di secondo livello (SLD)?
Un dominio di secondo livello (SLD) è un dominio che si trova direttamente "sotto" o a sinistra del TLD. Nell'esempio precedente, wpad.western.corp.contoso.co.us, il valore SLD è ".co". La registrazione più comune dei contratti di servizio è sotto il codice paese TLD. Il Stati Uniti usa principalmente la SLD per la registrazione dello stato degli Stati Uniti, ad esempio ".co.us" per lo stato del Colorado. I SLD non US spesso riutilizzano nomi TLD comuni, ad esempio ".com.sg".
Che cosa fa la funzionalità di devoluzione DNS?
Devolution è una funzionalità client DNS Windows. Devolution è il processo in base al quale i client DNS Windows risolvono le query DNS per nomi host non qualificati con etichetta singola. Le query vengono costruite aggiungendo PDS al nome host. La query viene ritentata rimuovendo sistematicamente l'etichetta più a sinistra nel PDS fino a quando il nome host e il PDS rimanente non risolvono o rimangono solo due etichette nel PDS rimosso. Ad esempio, i client Windows che cercano "Etichetta singola" nel dominio di western.corp.contoso.co.us eseguiranno query progressivamente su Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us e quindi Single-label.co.us finché non trova un sistema risolto. Questo processo viene definito devoluzione. Per altre informazioni sul servizio client DNS e sulla devoluzione, vedere la sezione Risoluzione dei nomi per un'etichetta singola, nomi di dominio non qualificati nell'articolo TechNet, nozioni fondamentali su TCP/IP per Windows, capitolo 9 - Supporto di Windows per DNS.
Che cosa causa questo rischio?
Un utente malintenzionato potrebbe ospitare un sistema con un nome con etichetta singola al di fuori del limite di un'organizzazione e a causa della devoluzione DNS DNS potrebbe ottenere correttamente un client DNS Windows per connettersi a esso come se fosse interno al limite dell'organizzazione. Ad esempio, se il suffisso DNS di un'organizzazione è corp.contoso.co.us e viene effettuato un tentativo di risolvere un nome host non qualificato "Single-Label", il sistema di risoluzione DNS tenterà di Single-Label.corp.contoso.co.us. Se non viene trovato, proverà, tramite la devoluzione DNS, per risolvere Single-label.contoso.co.us. Se non viene trovato, tenterà di risolvere Single-label.co.us, che si trova all'esterno del dominio contoso.co.us.
Quali sono le implicazioni per le query che esulano dai limiti dell'organizzazione?
Le implicazioni variano a seconda del limite della query che esca dal limite dell'organizzazione.
Tutte le query espongono gli indirizzi IP interni. I client di rete possono scambiare credenziali con il server dannoso. Nel caso in cui la query sia relativa a un server WPAD, è possibile impostare proxy dannoso nei computer client.
Questo aggiornamento modifica il comportamento corrente della devoluzione DNS?
Sì. L'aggiornamento verifica il dominio del client Windows e limita le query DNS all'interno di tale dominio. Per altre informazioni ed esempi della modifica del comportamento di devoluzione DNS, vedere l'articolo della Microsoft Knowledge Base 957579.
Dopo l'installazione di questo aggiornamento è stata apportata una modifica all'esperienza utente?
Sì. Dopo l'installazione dell'aggiornamento, il resolver DNS eseguirà solo la devoluzione a un livello in base alle impostazioni di dominio del client Windows, interrompendo potenzialmente tutte le applicazioni o le configurazioni che si basano su questo comportamento. Per altre informazioni sulla modifica del comportamento della devoluzione DNS, vedere l'articolo della Microsoft Knowledge Base 957579.
Si tratta di un avviso di sicurezza relativo a un aggiornamento non della sicurezza. Non è una contraddizione?
Gli avvisi di sicurezza rispondono alle modifiche alla sicurezza che potrebbero non richiedere un bollettino sulla sicurezza, ma potrebbero comunque influire sulla sicurezza complessiva del cliente. Gli avvisi di sicurezza consentono a Microsoft di comunicare ai clienti informazioni relative alla sicurezza relative a problemi che potrebbero non essere classificati come vulnerabilità e potrebbero non richiedere un bollettino sulla sicurezza o problemi per i quali non è stato rilasciato alcun bollettino sulla sicurezza. In questo caso, stiamo comunicando la disponibilità di un aggiornamento che influisce sulla possibilità di eseguire gli aggiornamenti successivi, inclusi gli aggiornamenti della sicurezza. Pertanto, questo avviso non risolve una vulnerabilità di sicurezza specifica; piuttosto, risolve la sicurezza complessiva.
Come viene offerto questo aggiornamento?
Questi aggiornamenti sono disponibili nell'Area download Microsoft. I collegamenti diretti agli aggiornamenti per software interessato specifico sono elencati nella tabella Software interessato nella sezione Panoramica . Per altre informazioni sull'aggiornamento e sulle modifiche apportate al comportamento, vedere l'articolo della Microsoft Knowledge Base 957579.
Questo aggiornamento viene distribuito nell'aggiornamento automatico?
No. Questi aggiornamenti non vengono distribuiti tramite il meccanismo di aggiornamento automatico. Gli aggiornamenti sono disponibili solo nell'Area download Microsoft. I collegamenti diretti agli aggiornamenti per software interessato specifico sono elencati nella tabella Software interessato nella sezione Panoramica .
Perché non si tratta di un aggiornamento della sicurezza annunciato in un bollettino sulla sicurezza?
Si tratta di un problema di configurazione. La devoluzione DNS funziona come previsto e alcuni clienti possono dipendere dalla devoluzione DNS per raggiungere legittimamente gli asset dal limite dell'organizzazione e considerarli come asset interni.
Perché questo aggiornamento viene offerto in un avviso di sicurezza?
I clienti potrebbero non sapere che i client Windows nel proprio ambiente usano la devoluzione. La devoluzione potrebbe consentire ai client di considerare i sistemi al di fuori del limite come asset interni e di conseguenza è probabile che si rinuncino alle credenziali o si espongano a vulnerabilità dei tipi di divulgazione delle informazioni.
Azioni suggerite
Soluzioni alternative
Microsoft ha testato le soluzioni alternative seguenti. Anche se queste soluzioni alternative non correggeranno il rischio sottostante, consentono di bloccare i vettori di attacco noti. Quando una soluzione alternativa riduce la funzionalità, viene identificata nella sezione seguente.
Disabilitare la devoluzione DNS
Per disabilitare la devoluzione DNS automatica, salvare il codice seguente in un file con un oggetto . Estensione REG e quindi eseguire regedit.exe /s <filename> da un prompt dei comandi con privilegi elevati o amministrativi:
Nota Fare riferimento all'articolo TechNet UseDomainNameDevolution per altre informazioni sul valore del Registro di sistema UseDomainNameDevolution.
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]"UseDomainNameDevolution"=dword:00000000
Per rendere effettive le modifiche, il servizio client DNS deve essere arrestato e avviato di nuovo. Questa operazione può essere eseguita da un prompt dei comandi con privilegi elevati o amministrativi usando il comando seguente:
net stop dnscache & net start dnscache
Impatto della soluzione alternativa: il sistema di risoluzione DNS non eseguirà la devoluzione, interrompendo potenzialmente le applicazioni o le configurazioni che si basano su questo comportamento. Le applicazioni che eseguono la propria forma di devoluzione non sono interessate da questa impostazione.
Configurare un elenco di ricerca suffisso di dominio
Per creare un elenco di ricerca suffisso di dominio, salvare quanto segue in un file con . Estensione REG e quindi eseguire regedit.exe /s <filename> da un prompt dei comandi con privilegi elevati o amministrativi:
Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters"SearchList"=<domain specific="specific" search="search" list="list">
Nota: Windows Server 2003 include la possibilità di distribuire l'elenco di ricerca del suffisso di dominio tramite Criteri di gruppo. Per altre informazioni, vedere Microsoft Knowledge Base 294785 nella sezione Elenco di ricerca suffisso DNS.
Impatto della soluzione alternativa: quando un elenco di ricerca suffisso di dominio è configurato nei sistemi client, viene usato solo l'elenco di suffissi nelle query DNS. Il suffisso DNS primario e i suffissi DNS specifici della connessione non vengono usati. Il sistema di risoluzione DNS non eseguirà la devoluzione, interrompendo potenzialmente le applicazioni o le configurazioni che si basano su questo comportamento.
Altre informazioni
Risorse:
- È possibile fornire commenti e suggerimenti completando il modulo visitando il sito Web seguente.
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni sulle opzioni di supporto disponibili, vedere il sito Web guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il sito Web del supporto internazionale.
- Il sito Web Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Declinazione di responsabilità:
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni:
- V1.0 (9 giugno 2009): Avviso pubblicato.
Costruito al 2014-04-18T13:49:36Z-07:00