Bollettino Microsoft sulla sicurezza MS04-011

• Solo Windows 2000 e Windows XP possono essere attaccati in remoto da un utente anonimo. Sebbene la vulnerabilità sia presente anche in Windows Server 2003 e Windows XP 64-Bit Edition versione 2003, in tali sistemi può essere sfruttata solo da un amministratore locale.
• Windows NT 4.0 non è interessato dalla vulnerabilità.
• Le configurazioni predefinite standard dei firewall e le procedure consigliate per la configurazione dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale. È consigliabile che i sistemi connessi a Internet abbiano un numero minimo di porte esposte.

Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata di seguito.

• Creare un file di sola lettura denominato %systemroot%\debug\dcpromo.log. A tale scopo, digitare il seguente comando:

  echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log

  Nota Si tratta della procedura di risoluzione più efficace poiché riduce completamente la vulnerabilità impedendo l'esecuzione di codice dannoso. Questa soluzione è appropriata per i pacchetti inviati a porte affette dalla vulnerabilità.

• Utilizzare un firewall personale come Firewall connessione Internet, incluso in Windows XP e Windows Server 2003.

  Se si utilizza la funzionalità Firewall connessione Internet in Windows XP o Windows Server 2003 per proteggere la connessione a Internet, viene bloccato, per impostazione predefinita, il traffico in ingresso non richiesto. Microsoft consiglia di bloccare tutte le comunicazioni in ingresso non richieste provenienti da Internet.

  Per attivare la funzionalità Firewall connessione Internet utilizzando l'Installazione guidata rete, seguire i passaggi riportati di seguito:

  1. Fare clic su Start e scegliere Pannello di controllo.
  2. Nella visualizzazione predefinita, per categorie, fare clic su Rete e connessioni Internet, quindi su Installa o cambia una piccola rete domestica o una piccola rete aziendale. Firewall connessione Internet viene attivato se, durante l'Installazione guidata rete, si sceglie una configurazione che preveda il collegamento diretto a Internet del sistema.

  Per configurare manualmente Firewall connessione Internet per una connessione, seguire i passaggi riportati di seguito:

  1. Fare clic su Start e scegliere Pannello di controllo.
  2. Nella visualizzazione predefinita, per categorie, fare doppio clic su Rete e connessioni Internet, quindi fare clic su Connessioni di rete.
  3. Fare clic con il pulsante destro del mouse sulla connessione per la quale si desidera abilitare Firewall connessione Internet e scegliere Proprietà.
  4. Fare clic sulla scheda Avanzate.
  5. Selezionare la casella di controllo Proteggi il computer e la rete limitando o impedendo l'accesso al computer da Internet, quindi scegliere OK.

  Nota Per consentire l'utilizzo di alcuni programmi e servizi attraverso il firewall, fare clic sul pulsante Impostazioni della scheda Avanzate, quindi selezionare i programmi, i protocolli e i servizi desiderati.

• Bloccare i seguenti elementi a livello del firewall:
  • Porte UDP 135, 137, 138 e 445 e porte TCP 135, 139, 445 e 593
  • Tutto il traffico in ingresso non richiesto sulle porte successive alla 1024
  • Qualsiasi altra porta RPC specificamente configurata

  Queste porte vengono utilizzate per avviare una connessione con RPC. Bloccandole a livello di firewall è quindi possibile evitare che i sistemi protetti dal firewall subiscano attacchi mirati a sfruttare la vulnerabilità. Inoltre, assicurarsi di bloccare qualsiasi altra porta RPC specificamente configurata sul sistema remoto. Microsoft consiglia di bloccare tutte le comunicazioni in ingresso non richieste provenienti da Internet, per impedire gli attacchi che potrebbero utilizzare altre porte. Per ulteriori informazioni sulle porte utilizzate da RPC, visitare il seguente sito Web.

• Attivare il filtro TCP/IP avanzato sui sistemi che lo supportano.

  Per bloccare tutto il traffico non richiesto in ingresso, è possibile attivare il filtro TCP/IP avanzato. Per ulteriori informazioni sulla procedura di configurazione del filtro TCP/IP, vedere l'articolo della Microsoft Knowledge Base 309798.

• Bloccare le porte interessate utilizzando IPSec sui sistemi interessati.

  Utilizzare IPSec (Internet Protocol Security) per proteggere le comunicazioni di rete. Per informazioni dettagliate su IPSec e sull'applicazione di filtri, vedere gli articoli della Microsoft Knowledge Base 313190 e 813878.

Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità di sovraccarico del buffer che, se sfruttata, può consentire a un utente malintenzionato di assumere il controllo completo in remoto di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.

Quali sono le cause di questa vulnerabilità?
Un buffer non controllato nel servizio LSASS.

Che cos'è LSASS?
LSASS (Local Security Authority Subsystem Service) fornisce un'interfaccia per la gestione della protezione locale, dell'autenticazione di dominio e dei processi Active Directory. Gestisce l'autenticazione per il client e il server. Contiene funzionalità utilizzate per supportare utilità di Active Directory.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Se un hacker riesce a sfruttarla può assumere il controllo completo del sistema interessato.

Quali capacità sono necessarie per sfruttare questa vulnerabilità?
In Windows 2000 e Windows XP qualsiasi utente anonimo in grado di recapitare un messaggio appositamente predisposto può tentare di sfruttare la vulnerabilità.

In quale modo un hacker può sfruttare questa vulnerabilità?
Per sfruttare la vulnerabilità, un utente malintenzionato può creare un messaggio appositamente predisposto e inviarlo a un sistema interessato, in modo da forzare il sistema ad eseguire codice.

Un hacker può, inoltre, accedere al componente interessato con un'altra strategia. Può, ad esempio, accedere al sistema in modo interattivo o utilizzando un programma che passa parametri al componente affetto dalla vulnerabilità (in locale o in remoto).

Quali sono i sistemi principalmente interessati da questa vulnerabilità?
I sistemi principalmente a rischio sono Windows 2000 e Windows XP.

Windows Server 2003 e Windows XP 64-Bit Edition versione 2003 prevedono un'ulteriore protezione, grazie alla quale, per sfruttare la vulnerabilità, un utente malintenzionato dovrebbe accedere al sistema come amministratore locale.

Quali sono gli scopi dell'aggiornamento?
L'aggiornamento elimina la vulnerabilità modificando il modo in cui il servizio LSASS convalida la lunghezza del messaggio prima di passarlo al buffer allocato.

L'aggiornamento rimuove, inoltre, il codice affetto dalla vulnerabilità da Windows 2000 Professional e Windows XP, poiché tali sistemi operativi non hanno bisogno dell'interfaccia vulnerabile. In questo modo si protegge il sistema da possibili vulnerabilità future del servizio in questione.

• Per sfruttare questa vulnerabilità, un utente malintenzionato deve inviare un messaggio LDAP appositamente predisposto al controller di dominio. Se le porte LDAP non sono bloccate da un firewall, per sfruttare la vulnerabilità non saranno necessari ulteriori privilegi.
• La vulnerabilità incide solo sui controller di dominio Windows 2000 Server; i controller di dominio Windows Server 2003 non sono interessati.
• Windows NT 4.0 e Windows XP non sono interessati.
• Se un hacker riesce a sfruttare la vulnerabilità, potrebbe essere visualizzato un avviso in cui si segnala che il sistema verrà riavviato dopo 60 secondi. Al termine del conto alla rovescia, il sistema interessato verrà automaticamente riavviato. Dopo il riavvio, il sistema interessato tornerà a funzionare normalmente. Tuttavia, se non viene applicato l'aggiornamento, il sistema potrebbe essere esposto a un nuovo attacco di negazione del servizio.
• Le configurazioni predefinite standard dei firewall e le procedure consigliate per la configurazione dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale. È consigliabile che i sistemi connessi a Internet abbiano un numero minimo di porte esposte.

Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata di seguito.

• Bloccare le porte TCP LDAP 389, 636, 3268 e 3269 a livello del firewall.

  Queste porte vengono utilizzate per avviare una connessione LDAP con un controller di dominio Windows 2000. Bloccandole a livello di firewall è quindi possibile evitare che i sistemi protetti dal firewall subiscano attacchi mirati a sfruttare la vulnerabilità e generati dall'esterno del perimetro aziendale. Sebbene per sfruttare la vulnerabilità possano essere utilizzate anche altre porte, quelle indicate sono le più comunemente utilizzate per gli attacchi. Microsoft consiglia di bloccare tutte le comunicazioni in ingresso non richieste provenienti da Internet, per impedire gli attacchi che potrebbero utilizzare altre porte.

  Impatto della soluzione alternativa: sulle connessioni di rete in cui queste porte sono bloccate non potrà essere utilizzata l'autenticazione di dominio di Active Directory.

Qual è la portata o l'impatto di questa vulnerabilità?

Si tratta di una vulnerabilità legata alla possibilità di negazione del servizio che, se sfruttata, può consentire a un utente malintenzionato di forzare il riavvio automatico del sistema e impedire al server di rispondere alle richieste di autenticazione. La vulnerabilità è presente nei sistemi Windows 2000 Server che ricoprono il ruolo di controller di dominio. L'unico effetto sugli altri sistemi Windows 2000 è che i client potrebbero non essere in grado di accedere al dominio, nel caso in cui il controller di dominio smetta di rispondere alle richieste.

Quali sono le cause di questa vulnerabilità?

L'elaborazione di messaggi LDAP appositamente predisposti da parte del servizio LSASS (Local Security Authority Subsystem Service).

Quali sono le caratteristiche di LDAP?

LDAP (Lightweight Directory Access Protocol) è un protocollo standard che consente agli utenti autorizzati di eseguire query o di modificare dati in una metadirectory. Ad esempio, in Windows 2000, LDAP è uno dei protocolli utilizzati per accedere ai dati in Active Directory.

Qual è il punto debole del processo di gestione dei messaggi LDAP appositamente predisposti?

Un hacker può inviare un messaggio LDAP appositamente predisposto al servizio LSASS impedendogli di rispondere alle richieste.

Che cos'è LSASS?

LSASS (Local Security Authority Subsystem Service) fornisce un'interfaccia per la gestione della protezione locale, dell'autenticazione di dominio e dei processi Active Directory. Gestisce l'autenticazione per il client e il server. Contiene funzionalità utilizzate per supportare utilità di Active Directory.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?

Un hacker in grado di sfruttare la vulnerabilità potrebbe impedire al servizio LSASS di rispondere alle richieste e forzare il riavvio del sistema interessato. In questo caso potrebbe essere visualizzato un avviso in cui si segnala che il sistema verrà riavviato dopo 60 secondi. Durante il conto alla rovescia non sarà possibile eseguire né l'autenticazione locale sulla console del sistema interessato né l'autenticazione di dominio degli utenti con il sistema interessato. Al termine del conto alla rovescia, il sistema interessato verrà automaticamente riavviato. Se gli utenti non riescono a eseguire l'autenticazione di dominio con il sistema interessato, potrebbero non accedere alle risorse di dominio. Dopo il riavvio, il sistema interessato tornerà a funzionare normalmente. Tuttavia, se non viene applicato l'aggiornamento, il sistema potrebbe essere esposto a un nuovo attacco di negazione del servizio.

Quali capacità sono necessarie per sfruttare questa vulnerabilità?

Qualsiasi utente anonimo in grado di inviare messaggi LDAP appositamente predisposti al sistema interessato può sfruttare la vulnerabilità.

In quale modo un hacker può sfruttare questa vulnerabilità?

La vulnerabilità può essere sfruttata inviando un messaggio LDAP appositamente predisposto ai controller di dominio di una sola o di più foreste, al fine di provocare una negazione del servizio di autenticazione di dominio in tutta l'azienda. In questo modo è possibile impedire a LSASS di rispondere alle richieste e forzare il riavvio del sistema interessato. Per inviare un messaggio LDAP appositamente predisposto non è necessario disporre di un account utente valido nel dominio: l'attacco può essere eseguito con un accesso anonimo.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?

Sono affetti dalla vulnerabilità solo i controller di dominio Windows 2000.

Se si esegue Windows 2000, quali sistemi è necessario aggiornare?

L'aggiornamento deve essere installato solo sui sistemi che fungono da controller di dominio Windows 2000. Tuttavia, può essere installato in assoluta sicurezza su computer Windows 2000 Server con altri ruoli. Microsoft consiglia di installare l'aggiornamento sui sistemi che potrebbero, in futuro, assumere il ruolo di controller di dominio.

Quali sono gli scopi dell'aggiornamento?

L'aggiornamento elimina la vulnerabilità modificando il modo in cui LSASS elabora il messaggio LDAP appositamente predisposto.

• Sono interessati solo i sistemi su cui sia attivato SSL e si tratta, in genere, di sistemi server. Il supporto SSL non è attivato per impostazione predefinita su nessuno dei sistemi interessati. Tuttavia, SSL viene in genere utilizzato sui server Web per supportare le applicazioni di e-commerce e online banking, nonché altri programmi che richiedono comunicazioni protette.
• Windows Server 2003 è interessato dal problema solo se un amministratore ha attivato manualmente PCT (anche se è stato attivato SSL).
• In alcuni casi, le funzionalità di Web Publishing di ISA Server 2000 o Proxy Server 2.0 consentono di bloccare i tentativi di sfruttare la vulnerabilità. Alcuni test hanno dimostrato che le funzionalità di Web Publishing di ISA Server 2000, in combinazione con l'attivazione del Packet Filtering e la selezione di tutte le opzioni del Packet Filtering, consentono di bloccare l'attacco senza apparenti effetti collaterali. Anche Proxy Server 2.0 consente di bloccare questo tipo di attacco. Tuttavia, fino a quando non viene applicato l'aggiornamento per la protezione sul sistema Proxy Server 2.0, l'attacco impedisce ai servizi Web di Proxy Server 2.0 di rispondere alle richieste e provoca il riavvio del sistema.
• Le configurazioni predefinite standard dei firewall e le procedure consigliate per la configurazione dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale. È consigliabile che i sistemi connessi a Internet abbiano un numero minimo di porte esposte.

Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata di seguito.

• Disattivare il supporto PCT tramite il Registro di sistema

  Questa soluzione è documentata in modo esauriente nell'articolo della Microsoft Knowledge Base 187498, riepilogato di seguito.

  I passaggi seguenti illustrano come disattivare il protocollo PCT 1.0 impedendo al sistema interessato di negoziarne l'uso.

  Nota L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe causare problemi tali da rendere necessaria la reinstallazione del sistema operativo. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione.

  Per informazioni sulla modifica del Registro di sistema, vedere gli argomenti "Change Keys and Values", della Guida dell'Editor del Registro di sistema (Regedit.exe), o "Add and Delete Information in the Registry" e "Edit Registry Information", della Guida di Regedt32.exe.

  Nota È buona norma eseguire il backup del Registro di sistema prima di modificarlo.

  1. Fare clic su Start, selezionare Esegui, digitare "regedt32" (senza virgolette) e scegliere OK.
  2. Nell'Editor del Registro di sistema individuare la seguente chiave:

     HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server

  3. Scegliere Aggiungi valore dal menu Modifica per creare un nuovo valore REG_BINARY denominato "Enabled" nella sottochiave Server.
  4. Nell'elenco Tipo di dati scegliere REG_BINARY.
  5. Nella casella di testo Nome valore digitare "Enabled" (senza virgolette) e fare clic su OK.

     Nota Se il valore è già presente, fare doppio clic su di esso per modificarne il valore corrente e andare al passaggio 6.

  6. Nell'Editor binario, impostare il nuovo valore della chiave su 0 immettendo la seguente stringa: 00000000.
  7. Fare clic su OK e riavviare il sistema.

     Nota Per attivare PCT, modificare il valore della chiave del Registro di sistema Enabled impostandola su 00000001 e riavviare il sistema.

Qual è la portata o l'impatto di questa vulnerabilità?

Esiste una vulnerabilità di sovraccarico del buffer nel protocollo PCT (Private Communications Transport), che fa parte della libreria Microsoft Secure Sockets Layer (SSL). Sono interessati dalla vulnerabilità solo i sistemi su cui è attivato SSL e, in alcuni casi, i controller di dominio Windows 2000.

Possono essere interessati tutti i programmi che utilizzano SSL. Sebbene SSL sia comunemente associato a Internet Information Services tramite HTTPS e la porta 443, sono a rischio tutti i servizi che implementano SSL su una piattaforma interessata, tra cui Microsoft Internet Information Services 4.0, Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000, Microsoft Exchange Server 2003, Microsoft Analysis Services 2000 (incluso in SQL Server 2000) e qualsiasi programma di terze parti che utilizzi PCT. SQL Server 2000 non è affetto dalla vulnerabilità poiché blocca le connessioni PCT.

Windows Server 2003 e Internet Information Services 6.0 sono interessati dalla vulnerabilità solo se un amministratore ha attivato manualmente PCT (anche se è stato attivato SSL).

Questa vulnerabilità, se sfruttata, può consentire a un utente malintenzionato di assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.

Quali sono le cause di questa vulnerabilità?

Il processo utilizzato dalla libreria SSL per controllare gli input dei messaggi.

Che cos'è la libreria SSL?

La libreria Microsoft Secure Sockets Layer (SSL) contiene il supporto per diversi protocolli di comunicazione protetti tra cui Transport Layer Security 1.0 (TLS 1.0), Secure Sockets Layer 3.0 (SSL 3.0), l'obsoleto e raramente utilizzato Secure Sockets Layer 2.0 (SSL 2.0) e Private Communication Technology 1.0 (PCT 1.0).

Questi protocolli garantiscono una connessione crittografata tra server e client. SSL è in grado di proteggere le informazioni durante la trasmissione in reti pubbliche come Internet. Il supporto SSL richiede un certificato SSL, che deve essere installato su un server. Per ulteriori informazioni su SSL, vedere l'articolo della Microsoft Knowledge Base 245152.

Quali sono le caratteristiche del protocollo PCT?

PCT (Private Communication Technology) è un protocollo sviluppato da Microsoft e Visa International per la comunicazione protetta in Internet. Rappresenta un'alternativa a SSL 2.0. È simile a SSL. I formati dei messaggi sono talmente simili che un server può interagire sia con client che supportano SSL che con client che supportano PCT.

PCT è un protocollo precedente che è stato sostituito da SSL 3.0 e viene utilizzato raramente. La libreria Microsoft Secure Sockets Layer (SSL) supporta PCT solo per la compatibilità con le versioni precedenti. La maggior parte dei server e dei programmi attuali utilizza SSL 3.0 e PCT non è più necessario. Per ulteriori informazioni, visitare il sito Web MSDN Library.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?

Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.

Quali capacità sono necessarie per sfruttare questa vulnerabilità?

Qualsiasi utente anonimo in grado di recapitare un messaggio TCP opportunamente predisposto a un servizio abilitato a SSL di un determinato sistema può tentare di sfruttare la vulnerabilità.

In quale modo un hacker può sfruttare questa vulnerabilità?

La vulnerabilità può essere sfruttata comunicando con un sistema interessato tramite un servizio abilitato a SSL e inviando un messaggio TCP opportunamente predisposto. Alla ricezione di tale messaggio il servizio interessato del sistema affetto dalla vulnerabilità genera un errore tale da consentire l'esecuzione di codice.

Un hacker può, inoltre, accedere al componente interessato con un'altra strategia. Può, ad esempio, accedere al sistema in modo interattivo o utilizzando un programma che passa parametri al componente affetto dalla vulnerabilità (in locale o in remoto).

Quali sono i sistemi principalmente interessati da questa vulnerabilità?

Possono essere interessati tutti i programmi che utilizzano SSL. Sebbene SSL sia comunemente associato a Internet Information Services tramite HTTPS e la porta 443, sono a rischio tutti i servizi che implementano SSL su una piattaforma interessata, tra cui Internet Information Services 4.0, Internet Information Services 5.0, Internet Information Services 5.1, Exchange Server 5.5, Exchange Server 2000, Exchange Server 2003, Analysis Services 2000 (incluso in SQL Server 2000) e qualsiasi programma di terze parti che utilizzi PCT. SQL Server 2000 non è affetto dalla vulnerabilità poiché blocca le connessioni PCT.

Windows Server 2003 e Internet Information Services 6.0 sono interessati dalla vulnerabilità solo se un amministratore ha attivato manualmente PCT (anche se è stato attivato SSL).

Sono affetti dalla vulnerabilità anche i domini Active Directory in cui sia installata la Certification Authority di tipo Enterprise Root, poiché i controller di dominio Windows 2000 automaticamente attenderanno connessioni SSL.

In che modo è interessato dalla vulnerabilità Windows Server 2003?

Nella procedura con cui Windows Server 2003 implementa PCT è contenuto lo stesso sovraccarico del buffer rilevato in altre piattaforme. Tuttavia, PCT è disattivato per impostazione predefinita. Se il protocollo PCT venisse attivato tramite una chiave del Registro di sistema, Windows Server 2003 potrebbe essere esposto al problema. Microsoft sta quindi per rilasciare un aggiornamento per la protezione per Windows Server 2003 che corregga il sovraccarico del buffer mantenendo disattivato PCT.

Quali sono gli scopi dell'aggiornamento?

L'aggiornamento elimina la vulnerabilità modificando il modo in cui l'implementazione PCT convalida le informazioni che le vengono passate e disattivando il protocollo PCT.

L'aggiornamento comporta modifiche funzionali?

Sì. Sebbene l'aggiornamento miri a risolvere la vulnerabilità presente in PCT, provvede anche a disattivare PCT, poiché questo protocollo non è più utilizzato ed è stato sostituito da SSL 3.0. Questa modifica è coerente con le impostazioni predefinite di Windows Server 2003. Se gli amministratori si trovano a dover utilizzare PCT, possono servirsi della chiave del Registro di sistema descritta nella sezione delle soluzioni alternative di questo bollettino per riattivare il protocollo.

• Sono interessati dalla vulnerabilità solo i sistemi Windows NT 4.0, Windows 2000 e Windows XP che appartengono a un dominio. Windows Server 2003 non è affetto dalla vulnerabilità.
• Per sfruttare la vulnerabilità, un utente malintenzionato deve disporre dell'autorizzazione per modificare oggetti utente in un dominio. In genere, dispongono di tale autorizzazione solo i membri dei gruppi Administrators e Account Operators. Tuttavia, l'autorizzazione può essere delegata ad altri account del dominio.
• I domini supportano di norma il controllo delle modifiche agli oggetti utente. Questi record di controllo consentono di determinare quale account utente potrebbe aver appositamente modificato altri account utente per tentare di sfruttare la vulnerabilità.

Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata di seguito.

• Ridurre il numero di utenti con autorizzazioni di modifica degli account.

  Per sfruttare la vulnerabilità, un hacker deve poter modificare oggetti utente nel dominio. Alcune organizzazioni aggiungono account utente ai gruppi Administrators o Account Operators senza che esista una necessità reale. Ad esempio, se un responsabile del supporto tecnico ha bisogno di reimpostare password utente, l'amministratore può limitarsi a delegare questa specifica autorizzazione senza aggiungere il responsabile in questione al gruppo Account Operators. Riducendo il numero di account utente nei gruppi amministrativi è possibile bloccare tipologie di attacco note. Dei gruppi amministrativi devono far parte solo i dipendenti degni di fiducia. Per ulteriori informazioni sulle procedure consigliate per i domini, visitare il seguente sito Web.

Qual è la portata o l'impatto di questa vulnerabilità?

Si tratta di una vulnerabilità di sovraccarico del buffer. Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.

Quali sono le cause di questa vulnerabilità?

Winlogon legge un valore dal dominio ma non controlla la dimensione di tale valore prima di inserirlo nel buffer allocato.

Che cos'è winlogon?

Il processo di accesso a Windows (Winlogon) è il componente del sistema operativo Windows che fornisce il supporto di accesso interattivo. Winlogon.exe è il processo che gestisce le interazioni degli utenti relative alla protezione in Windows. Gestisce, ad esempio, le richieste di accesso e disconnessione, di blocco o sblocco del sistema e di modifica della password. Legge i dati dal dominio durante il processo di accesso e li utilizza per configurare l'ambiente di un utente. Per ulteriori informazioni su Winlogon, visitare il sito Web MSDN Library.

Che cos'è un dominio?

Un dominio può essere utilizzato per archiviare informazioni su praticamente qualsiasi oggetto di rete, come stampanti, percorsi di condivisione file e informazioni personali. Per ulteriori informazioni sulla creazione di domini tramite Windows 2000 Server o Windows Server 2003, visitare il seguente sito Web.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?

Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.

Quali capacità sono necessarie per sfruttare questa vulnerabilità?

Per sfruttare la vulnerabilità, un utente malintenzionato deve disporre dell'autorizzazione per modificare oggetti utente in un dominio. In genere, dispongono di tale autorizzazione solo i membri dei gruppi Administrators e Account Operators. Tuttavia, l'autorizzazione può essere delegata ad altri account del dominio. Gli account utente che non dispongono di questa autorizzazione o gli utenti anonimi non potranno sfruttare la vulnerabilità.

In quale modo un hacker può sfruttare questa vulnerabilità?

Per sfruttare la vulnerabilità, un utente malintenzionato potrebbe modificare un valore memorizzato nel dominio per includere dati dannosi. Quando questo valore viene passato a un buffer non controllato in Winlogon durante il processo di accesso, Winlogon potrebbe consentire l'esecuzione di codice dannoso.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?

Sono interessati dalla vulnerabilità solo i sistemi Windows NT 4.0, Windows 2000 e Windows XP che appartengono a un dominio.

Quali sono gli scopi dell'aggiornamento?

L'aggiornamento elimina la vulnerabilità modificando il modo in cui il processo Winlogon convalida la lunghezza di un valore prima di passarlo al buffer allocato.

• La vulnerabilità può essere sfruttata da un hacker in grado di indurre un utente ad aprire un file appositamente predisposto o visualizzare una directory contenente un'immagine appositamente predisposta. Non c'è alcun modo per obbligare un utente ad aprire un file dannoso.
• In uno scenario di attacco dal Web, l'hacker dovrebbe pubblicare un sito contenente una pagina utilizzata per sfruttare la vulnerabilità. Poiché non è in alcun modo possibile obbligare gli utenti a visitare un sito Web dannoso, l'hacker deve indurre le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento che le indirizzi a esso.
• Se l'hacker riesce a sfruttare la vulnerabilità, può ottenere gli stessi privilegi dell'utente. Pertanto gli utenti con account configurati in modo da disporre solo di privilegi limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi amministrativi.
• Windows Server 2003 non è affetto dalla vulnerabilità.

Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata di seguito.

• Leggere la posta elettronica in formato solo testo, se si utilizza Outlook 2002 e versioni successive o Outlook Express 6 SP1 e versioni successive, per proteggersi dagli attacchi sferrati tramite messaggi di posta elettronica HTML.

  Gli utenti di Microsoft Outlook 2002 che hanno applicato Office XP Service Pack 1 o versione successiva e gli utenti di Outlook Express 6 che hanno applicato Internet Explorer 6 Service Pack 1 possono attivare questa impostazione e visualizzare automaticamente in formato solo testo tutti i messaggi privi di firma digitale o non crittografati.

  Tale impostazione non interessa i messaggi dotati di firma digitale o crittografati, che possono essere letti nei formati originali. Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook 2002, vedere l'articolo della Microsoft Knowledge Base 307594.

  Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook Express 6, vedere l'articolo della Microsoft Knowledge Base 291387.

  Effetto della soluzione: i messaggi di posta elettronica visualizzati come testo normale non possono includere immagini, tipi di carattere speciali, animazioni o altro contenuto avanzato. Inoltre:

  • Le modifiche vengono apportate sia nel riquadro di anteprima, sia nei messaggi aperti.
  • Le immagini diventano allegati in modo da non essere perse.
  • Poiché il messaggio nell'archivio è ancora in formato RTF o HTML, il modello di oggetti (soluzioni di codice personalizzato) potrebbe avere un comportamento inaspettato.

Qual è la portata o l'impatto di questa vulnerabilità?

Si tratta di una vulnerabilità di sovraccarico del buffer. Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.

Quali sono le cause di questa vulnerabilità?

Un buffer non controllato nel rendering dei formati immagine Windows Metafile (WMF) ed Enhanced Metafile (EMF).

Cosa sono i formati immagine Windows Metafile (WMF) ed Enhanced Metafile (EMF)?

WMF è un formato metafile a 16 bit che può contenere informazioni vettoriali e bitmap. Il formato è ottimizzato per il sistema operativo Windows.

EMF è un formato a 32 bit che può contenere informazioni vettoriali e bitmap. Rappresenta un miglioramento rispetto a Windows Metafile Format e prevede funzionalità estese.

Per ulteriori informazioni sui tipi di immagine e i relativi formati, consultare l'articolo della Microsoft Knowledge Base 320314. Per ulteriori informazioni su questi formati file, visitare il sito Web MSDN Library.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?

Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.

In quale modo un hacker può sfruttare questa vulnerabilità?

Qualsiasi programma che esegue il rendering dei tipi di immagine interessati può essere esposto a questo tipo di attacco. Di seguito sono riportati alcuni esempi:

• Un hacker potrebbe pubblicare un sito Web dannoso progettato per sfruttare la vulnerabilità tramite Internet Explorer 6 e quindi indurre un utente a visualizzare il sito.
• Potrebbe creare un messaggio di posta elettronica HTML con un'immagine allegata appositamente predisposta. L'immagine appositamente predisposta potrebbe essere progettata per sfruttare la vulnerabilità tramite Outlook 2002 o Outlook Express 6. L'hacker potrebbe quindi indurre l'utente a visualizzare il messaggio di posta elettronica HTML.
• Potrebbe incorporare un'immagine appositamente predisposta in un documento Office e quindi indurre l'utente a visualizzare il documento.
• Potrebbe aggiungere un'immagine appositamente predisposta al file system locale o a una condivisione di rete e quindi indurre l'utente a visualizzare in anteprima la directory tramite Esplora risorse in Windows XP

Quali sono i sistemi principalmente interessati da questa vulnerabilità?

La vulnerabilità può essere sfruttata, sui sistemi interessati, da un hacker in grado di indurre un utente ad aprire un file appositamente predisposto o visualizzare una directory contenente un'immagine appositamente predisposta. Non c'è alcun modo per obbligare un utente ad aprire un file dannoso.

In uno scenario di attacco dal Web, l'hacker dovrebbe pubblicare un sito contenente una pagina utilizzata per sfruttare la vulnerabilità. Poiché non è in alcun modo possibile obbligare gli utenti a visitare un sito Web dannoso, l'hacker deve indurre le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento che le indirizzi a esso.

Quali sono gli scopi dell'aggiornamento?

L'aggiornamento elimina la vulnerabilità modificando il modo in cui Windows convalida i tipi di immagine interessati.

• In uno scenario di attacco dal Web, l'hacker dovrebbe pubblicare un sito contenente una pagina utilizzata per sfruttare la vulnerabilità. Poiché non è in alcun modo possibile obbligare gli utenti a visitare un sito Web dannoso, l'hacker deve indurre le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento che le indirizzi a esso.
• La posta elettronica in formato HTML viene aperta con le limitazioni previste per l'area Siti con restrizioni per impostazione predefinita anche in Outlook Express 6, Outlook 2002 e Outlook 2003. Inoltre, in Outlook 98 e Outlook 2000, i messaggi di posta elettronica in formato HTML vengono aperti con le limitazioni previste per l'area Siti con restrizioni, se è stato installato Outlook E-mail Security Update. L'area Siti con restrizioni consente di ridurre gli attacchi mirati a sfruttare la vulnerabilità.

  Le probabilità di subire un attacco per posta elettronica HTML possono essere drasticamente ridotte adottando le misure di protezione seguenti:

  • Applicare l'aggiornamento incluso nel bollettino Microsoft sulla sicurezza MS03-040 o un aggiornamento cumulativo per la protezione di Internet Explorer successivo.
  • Utilizzare Internet Explorer 6 o versioni successive.
  • Utilizzare Microsoft Outlook E-mail Security Update, Microsoft Outlook Express 6 e versioni successive o Microsoft Outlook 2000 Service Pack 2 e versioni successive nella configurazione predefinita.
• Se l'hacker riesce a sfruttare la vulnerabilità, può ottenere gli stessi privilegi dell'utente. Pertanto gli utenti con account configurati in modo da disporre solo di privilegi limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi amministrativi.
• Windows NT 4.0 e Windows 2000 non sono interessati dalla vulnerabilità.

Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata di seguito.

• Annullare la registrazione del protocollo HCP.

  Per impedire l'attacco, annullare la registrazione del protocollo HCP eliminando la seguente chiave dal Registro di sistema: HKEY_CLASSES_ROOT\HCP. A tale scopo, attenersi alla procedura che segue.

  1. Fare clic su Start e quindi su Esegui.
  2. Digitare regedit e fare clic su OK.

     Viene avviato l'Editor del Registro di sistema.

  3. Espandere HKEY_CLASSES_ROOT ed evidenziare la chiave HCP.
  4. Fare clic con il pulsante destro del mouse sulla chiave HCP, quindi scegliere Elimina.

  Nota L'utilizzo non corretto dell'Editor del Registro di sistema potrebbe provocare problemi tali da rendere necessaria la reinstallazione di Windows. Microsoft non garantisce la risoluzione di problemi dovuti a un utilizzo non corretto dell'Editor del Registro di sistema. È quindi necessario utilizzare questo strumento con grande attenzione.

  Effetto della soluzione: con l'annullamento della registrazione del protocollo HCP vengono interrotti tutti i collegamenti legittimi locali alla Guida che utilizzano hcp://. Ad esempio, i collegamenti presenti nel Pannello di controllo smetteranno di funzionare.

• Installare Outlook E-mail Security Update se si utilizza Outlook 2000 SP1 o versioni precedenti.

  Per impostazione predefinita, in Outlook Express 6, Outlook 2002 e Outlook 2003 la posta elettronica in formato HTML viene aperta con le limitazioni previste per l'area Siti con restrizioni. Inoltre, in Outlook 98 e Outlook 2000, i messaggi di posta elettronica in formato HTML vengono aperti con le limitazioni previste per l'area Siti con restrizioni, se è stato installato Outlook E-mail Security Update.

  I clienti che utilizzano uno dei prodotti indicati sono solo limitatamente esposti ad attacchi tramite posta elettronica mirati a sfruttare la vulnerabilità, a meno che non facciano clic su un collegamento dannoso presente in un messaggio di posta elettronica.

• Leggere la posta elettronica in formato solo testo, se si utilizza Outlook 2002 e versioni successive o Outlook Express 6 SP1 e versioni successive, per proteggersi dagli attacchi sferrati tramite messaggi di posta elettronica HTML.

  Gli utenti di Microsoft Outlook 2002 che hanno applicato Office XP Service Pack 1 o versione successiva e gli utenti di Outlook Express 6 che hanno applicato Internet Explorer 6 Service Pack 1 possono attivare questa impostazione e visualizzare automaticamente in formato solo testo tutti i messaggi privi di firma digitale o non crittografati.

  Tale impostazione non interessa i messaggi dotati di firma digitale o crittografati, che possono essere letti nei formati originali. Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook 2002, vedere l'articolo della Microsoft Knowledge Base 307594.

  Per ulteriori informazioni sull'attivazione di questa impostazione in Outlook Express 6, vedere l'articolo della Microsoft Knowledge Base 291387.

  Effetto della soluzione: i messaggi di posta elettronica visualizzati come testo normale non possono includere immagini, tipi di carattere speciali, animazioni o altro contenuto avanzato. Inoltre:

  • Le modifiche vengono apportate sia nel riquadro di anteprima, sia nei messaggi aperti.
  • Le immagini diventano allegati in modo da non essere perse.
  • Poiché il messaggio nell'archivio è ancora in formato RTF o HTML, il modello di oggetti (soluzioni di codice personalizzato) potrebbe avere un comportamento inaspettato.

Qual è la portata o l'impatto di questa vulnerabilità?

Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota che, se sfruttata, può consentire a un hacker di assumere il controllo completo del sistema interessato ed effettuare qualsiasi operazione, incluse l'installazione di programmi, la visualizzazione, modifica o eliminazione di dati e la creazione di nuovi account con privilegi completi.

Quali sono le cause di questa vulnerabilità?

Il processo utilizzato da Guida in linea e supporto tecnico per convalidare gli input di dati.

Che cos'è  Guida in linea e supporto tecnico?

Guida in linea e supporto tecnico è una funzionalità di Windows che consente di ottenere assistenza su un'ampia varietà di argomenti. Ad esempio, è possibile ottenere informazioni sulle funzionalità di Windows, sul download e l'installazione degli aggiornamenti software, sulla procedura per stabilire se un particolare dispositivo hardware è compatibile con Windows e sui servizi di assistenza offerti da Microsoft. Utenti e applicazioni possono eseguire collegamenti URL a Guida in linea e supporto tecnico utilizzando il prefisso "hcp://" invece di "http://".

Che cos'è il protocollo HCP?

Come il protocollo HTTP può utilizzare collegamenti URL per aprire un browser, così il protocollo HCP può eseguire collegamenti URL per aprire Guida in linea e supporto tecnico.

Qual è il problema relativo a Guida in linea e supporto tecnico?

Si verifica un errore nella convalida dell'input.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?

Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.

In quale modo un hacker può sfruttare questa vulnerabilità?

Per sfruttare la vulnerabilità, un hacker deve pubblicare un sito Web dannoso e quindi indurre un utente a visualizzarlo. In alternativa, può creare un messaggio di posta elettronica HTML contenente un collegamento appositamente predisposto, quindi indurre l'utente a visualizzare il messaggio e a fare clic sul collegamento. Se l'utente fa clic sul collegamento, può aprirsi una finestra di Internet Explorer con un URL HCP scelto dall'hacker che potrebbe consentire l'esecuzione di codice non autorizzato.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?

Windows XP e Windows Server 2003 contengono la versione di Guida in linea e supporto tecnico interessata dalla vulnerabilità. Windows NT 4.0 e Windows 2000 non sono interessati dal problema perché non contengono Guida in linea e supporto tecnico.

Se si utilizza Internet Explorer in Windows Server 2003, il problema ha una portata più limitata?

No. Per impostazione predefinita, in Windows Server 2003 Internet Explorer viene eseguito in una modalità limitata denominata Protezione avanzata di Internet Explorer. Tuttavia, il protocollo HCP è autorizzato ad accedere a Guida in linea e supporto tecnico per impostazione predefinita. Quindi, Windows Server 2003 è un sistema vulnerabile. Per ulteriori informazioni sulla configurazione di Protezione avanzata di Internet Explorer, visitare il seguente sito Web.

Quali sono gli scopi dell'aggiornamento?

L'aggiornamento elimina la vulnerabilità modificando la convalida dei dati passati a Guida in linea e supporto tecnico.

• L'autore dell'attacco deve essere in possesso di credenziali valide per sfruttare la vulnerabilità. La vulnerabilità non può essere sfruttata da utenti anonimi.
• Windows NT 4.0, Windows XP e Windows Server 2003 non sono interessati dalla vulnerabilità. Windows NT 4.0 non implementa Utility Manager.
• Nel documento Windows 2000 Hardening Guide si consiglia di disattivare il servizio Utility Manager. Per gli ambienti conformi a tali linee guida il livello di rischio è ridotto.

Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata di seguito.

• Utilizzare Criteri di gruppo per disattivare Utility Manager su tutti i sistemi interessati che non richiedano questa funzionalità.

  Il servizio Utility Manager, in quanto possibile vettore di attacco, può essere disattivato utilizzando Criteri di gruppo. Il nome del processo di Utility Manager è Utilman.exe. Nel documento indicato di seguito viene illustrato come fare in modo che gli utenti eseguano solo applicazioni approvate tramite Criteri di gruppo.

  Nota È inoltre possibile consultare il documento Windows 2000 Hardening Guide, che include informazioni sulla disattivazione di Utility Manager.

  Effetto della soluzione

  Utility Manager garantisce accesso semplificato a molte delle funzioni di Accesso facilitato del sistema operativo. Tale accesso non sarà disponibile fino alla rimozione delle restrizioni. Per istruzioni sull'avvio manuale delle funzionalità di Accesso facilitato, visitare questo sito Web.

Qual è la portata o l'impatto di questa vulnerabilità?

Si tratta di una vulnerabilità legata alla possibilità di acquisizione di privilegi più elevati. Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.

Quali sono le cause di questa vulnerabilità?

Il processo utilizzato da Utility Manager per avviare applicazioni. È possibile che Utility Manager avvii applicazioni con privilegi di sistema.

Cos'è Utility Manager?

Utility Manager è un'utilità di accesso facilitato che consente agli utenti di verificare lo stato dei programmi di accesso facilitato, come Microsoft Magnifier, Assistente vocale oppure Tastiera su schermo, nonché di avviare o arrestare tali programmi.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?

Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.

Quali capacità sono necessarie per sfruttare questa vulnerabilità?

Per sfruttare la vulnerabilità, è necessario essere in grado di accedere al sistema, avviare Utility Manager ed eseguire un programma che invii a quest'ultimo un messaggio appositamente predisposto allo scopo.

In quale modo un hacker può sfruttare questa vulnerabilità?

Per sfruttare la vulnerabilità, è necessario innanzitutto avviare Utility Manager in Windows 2000 e quindi eseguire un'applicazione specificamente progettata allo scopo. Per impostazione predefinita, in Windows 2000 Utility Manager è installato ma non è in esecuzione. La vulnerabilità può consentire a un utente malintenzionato di assumere il controllo completo di un sistema Windows 2000.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?

La vulnerabilità riguarda solo Windows 2000. I sistemi più esposti sono le workstation e i server terminal basati su Windows 2000. I server sono a rischio solo se agli utenti privi di credenziali amministrative sufficienti è consentito di accedere ai server e di eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Se è in esecuzione Windows 2000, ma non viene utilizzato né Utility Manager né qualsiasi altra funzionalità di Accesso facilitato, si è comunque esposti alla vulnerabilità?

Sì. Per impostazione predefinita, Utility Manager è installato e attivato, ma non in esecuzione.

È possibile sfruttare questa vulnerabilità tramite Internet?

No. L'hacker deve accedere al sistema specifico a cui è destinato l'attacco. Non può caricare ed eseguire un programma in remoto sfruttando la vulnerabilità.

Quali sono gli scopi dell'aggiornamento?

L'aggiornamento elimina la vulnerabilità modificando il modo in cui Utility Manager avvia le applicazioni.

• L'autore dell'attacco deve essere in possesso di credenziali valide per sfruttare la vulnerabilità. La vulnerabilità non può essere sfruttata da un utente anonimo.
• Windows NT 4.0, Windows 2000 e Windows Server 2003 non sono interessati dalla vulnerabilità.

Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata di seguito.

Eliminare il provider Strumentazione gestione Windows (WMI) interessato.

Un amministratore con autorizzazioni amministrative locali può eliminare il provider WMI interessato inserendo il seguente script in un file di testo con estensione ".vbs" ed eseguendolo.

Per eliminare il provider Strumentazione gestione Windows (WMI) interessato:

set osvc = getobject("winmgmts:root\cimv2") set otrigger = osvc.get("__win32provider='cmdtriggerconsumer'") otrigger.delete_

L'installazione dell'aggiornamento riregistra automaticamente il provider WMI interessato a cui si è fatto riferimento. Dopo aver applicato l'aggiornamento, non sono richiesti ulteriori passaggi per ripristinare le normali funzionalità del sistema.

Effetto della soluzione:le attività create come trigger basati su eventi non funzioneranno se il provider non è registrato. Per ulteriori informazioni sui trigger basati su eventi, visitare il seguente sito Web.

Nota In rari casi, Windows XP potrebbe registrare nuovamente il provider WMI. Ad esempio, se Windows XP rileva che il repository WMI è danneggiato, può tentare di registrare nuovamente il provider WMI interessato.

Qual è la portata o l'impatto di questa vulnerabilità?

Si tratta di una vulnerabilità legata alla possibilità di acquisizione di privilegi più elevati. Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.

Quali sono le cause di questa vulnerabilità?

In particolari condizioni, un utente senza privilegi di Microsoft Windows XP può creare un'attività eseguibile con autorizzazioni di sistema.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?

Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.

In quale modo un hacker può sfruttare questa vulnerabilità?

Per sfruttare la vulnerabilità, è necessario accedere al sistema e creare un'attività. Poiché a tale scopo l'utente malintenzionato deve disporre di credenziali di accesso valide, i sistemi remoti non sono a rischio.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?

La vulnerabilità interessa solo Windows XP.

Quali sono gli scopi dell'aggiornamento?

L'aggiornamento elimina la vulnerabilità impedendo agli utenti di creare attività con un livello di privilegi elevato.

L'aggiornamento include anche altre modifiche funzionali?

Sì. L'aggiornamento include diverse modifiche funzionali, indicate di seguito:

• Prima dell'aggiornamento, era possibile creare trigger basati su eventi utilizzando lo strumento della riga di comando Eventtriggers.exe senza dover fornire nome utente e password. Dopo l'installazione dell'aggiornamento, per creare trigger basati su eventi utilizzando "Eventttrigers.exe", l'utente deve fornire un nome utente e una password validi. Per ulteriori informazioni sulle opzioni della riga di comando "Eventtriggers.exe", visitare il seguente sito Web.
• In precedenza gli amministratori potevano creare trigger basati su eventi con il servizio Utilità di pianificazione interrotto o disattivato. Ora, il servizio deve essere in esecuzione. Per ulteriori informazioni sul servizio Utilità di pianificazione, visitare il seguente sito Web.
• Come parte dell'aggiornamento è stato stabilito un nuovo limite di 1.000 trigger. La quota esistente di trigger basati su eventi che supera il nuovo limite fissato continuerà a funzionare anche dopo l'applicazione dell'aggiornamento, ma non sarà possibile creare ulteriori trigger.
• Sono state aumentate le autorizzazioni sui trigger basati su eventi creati dopo l'installazione dell'aggiornamento.

• Per sfruttare la vulnerabilità, è necessario disporre di credenziali di accesso valide ed essere in grado di accedere al sistema in locale. La vulnerabilità non può essere sfruttata in remoto.
• Windows XP e Windows Server 2003 non sono interessati dalla vulnerabilità.

Nessuna

Qual è la portata o l'impatto di questa vulnerabilità?

Si tratta di una vulnerabilità legata alla possibilità di acquisizione di privilegi più elevati. Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.

Quali sono le cause di questa vulnerabilità?

L'interfaccia di programmazione utilizzata per creare voci nella tabella dei descrittori locali. Tali voci contengono informazioni sui segmenti di memoria. Un hacker può creare una voce dannosa per ottenere l'accesso alla memoria del kernel protetta.

Che cos'è la tabella dei descrittori locali?

La tabella dei descrittori locali (LDT) contiene voci denominate descrittori. Tali descrittori contengono informazioni che definiscono un particolare segmento di memoria.

Qual è il problema nella modalità di creazione di una voce descrittore nell'LDT?

L'interfaccia di programmazione non dovrebbe consentire alle applicazioni di creare voci descrittore nell'LDT che puntino ad aree della memoria protetta.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?

Se un hacker riesce a sfruttare la vulnerabilità, può assumere il controllo completo del sistema interessato ed effettuare qualsiasi operazione, incluse l'installazione di programmi, la visualizzazione, modifica o eliminazione di dati e la creazione di nuovi account con privilegi completi.

Quali capacità sono necessarie per sfruttare questa vulnerabilità?

Per sfruttare la vulnerabilità, è necessario accedere in locale al sistema ed eseguire un programma.

In quale modo un hacker può sfruttare questa vulnerabilità?

Per sfruttare la vulnerabilità, è necessario innanzitutto accedere al sistema. Quindi occorre eseguire un programma specificamente progettato e assumere il controllo completo sul sistema.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?

I sistemi maggiormente a rischio sono workstation e server terminal. I server sono a rischio solo se agli utenti privi di credenziali amministrative sufficienti è consentito accedere al sistema ed eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

È possibile sfruttare questa vulnerabilità tramite Internet?

No. L'hacker deve accedere al sistema specifico a cui è destinato l'attacco. Non può caricare ed eseguire un programma in remoto sfruttando la vulnerabilità.

Quali sono gli scopi dell'aggiornamento?

L'aggiornamento elimina la vulnerabilità modificando il modo in cui vengono creati i descrittori nell'LDT.

• Nella maggior parte degli scenari più comuni, perché il sistema diventi vulnerabile è necessario che NetMeeting (che utilizza H.323) sia in esecuzione.
• In genere, i sistemi che utilizzano Firewall connessione Internet (ICF) e non eseguono alcuna applicazione basata su H.323 non sono vulnerabili.
• Windows NT 4.0 non è interessato dalla vulnerabilità, a meno che un amministratore non installi manualmente la versione autonoma di NetMeeting.

Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata di seguito.

• Bloccare le porte TCP 1720 e 1503 in ingresso e in uscita, a livello del firewall.

  Le configurazioni predefinite standard dei firewall e le procedure consigliate per la configurazione dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale. È consigliabile che i sistemi connessi a Internet abbiano un numero minimo di porte esposte. Microsoft consiglia di bloccare tutte le comunicazioni in ingresso non richieste provenienti da Internet, per impedire gli attacchi che potrebbero utilizzare altre porte.

  Effetto della soluzione

  Se le porte TCP 1503 e 1720 in ingresso e in uscita vengono bloccate, gli utenti non potranno connettersi al Servizio di individuazione Internet (ILS) o ad altri client NetMeeting.

Qual è la portata o l'impatto di questa vulnerabilità?

Si tratta di una vulnerabilità di sovraccarico del buffer. Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.

Quali sono le cause di questa vulnerabilità?

Buffer non controllati nell'implementazione di H.323.

Che cos'è H.323?

H.323 è uno standard ITU che specifica come PC, attrezzature e servizi predisposti per il multimediale comunicano in reti che non offrono un livello di servizio garantito (come Internet). I terminali e le attrezzature H.323 possono riprodurre in tempo reale video, contenuto vocale e dati, in qualsiasi combinazione. I prodotti che utilizzano H.323 per i file audio e video consentono agli utenti di connettersi e comunicare tra loro in Internet, esattamente come le persone che utilizzano tipi e modelli di telefoni diversi possono comunicare attraverso il telefono.

Quali applicazioni interessate utilizzano il protocollo H.323?

Il protocollo H.323 viene implementato in diverse applicazioni e componenti dei sistemi operativi Microsoft. Questo problema può interessare sistemi con uno o più dei seguenti servizi o applicazioni in esecuzione:

• Applicazioni basate su TAPI (Telephony Application Programming Interface)
• NetMeeting
• Firewall connessione Internet (ICF)
• Condivisione connessione Internet
• Servizio Routing e Accesso remoto

Che cos'è TAPI?

Windows Telephony Applications Programming Interface (TAPI) fa parte di WOSA (Windows Open System Architecture). Con TAPI gli sviluppatori possono creare applicazioni di telefonia. TAPI è uno standard aperto, definito con il contributo significativo e costante della comunità informatica mondiale. Poiché TAPI è indipendente dall'hardware, le applicazioni compatibili possono essere eseguite su un'ampia gamma di hardware per PC e telefonia e possono supportare numerosi servizi di rete. TAPI implementa il protocollo H.323. Le applicazioni che utilizzano TAPI potrebbero essere interessate dal problema descritto in questo bollettino.

Nei sistemi interessati dal problema sono presenti applicazioni H.323 basate su TAPI installate per impostazione predefinita?

Connessione telefonica è la sola applicazione H.323 basata su TAPI installata per impostazione predefinita in Windows 2000 e Windows XP. Le applicazioni di terze parti potrebbero attivare e utilizzare la funzionalità H.323 in TAPI.

Nota Connessione telefonica non è inclusa in Windows Server 2003.

Che cos'è NetMeeting?

NetMeeting offre una soluzione completa per conferenze aziendali e in Internet per tutti gli utenti di Windows, con conferenza dati multipoint, chat, lavagna e trasferimento file, nonché audio e video point-to-point. NetMeeting implementa il protocollo H.323 e viene installato, ma non eseguito, per impostazione predefinita, su tutti i sistemi interessati.

Se si esegue NetMeeting ma non si utilizza Condivisione connessione Internet, Firewall connessione Internet o Routing e Accesso remoto si è comunque esposti alla vulnerabilità?

Sì. Mentre si esegue NetMeeting, si è esposti al problema.

Se si esegue NetMeeting senza connettersi a un server ILS o si utilizza una sessione NetMeeting peer-to-peer, si è esposti al problema?

Sì, a meno che le porte TCP 1720 e 1503 non siano bloccate.

Se non è stata mai stata installata la versione autonoma di NetMeeting, si è esposti al problema?

NetMeeting è incluso in Windows 2000, Windows XP e Windows Server 2003. Quest'aggiornamento è progettato per le versioni di NetMeeting incluse nei sistemi operativi indicati. NetMeeting è disponibile anche come download autonomo per altri sistemi operativi e come parte di altre applicazioni, che potrebbero a loro volta essere affette dalla vulnerabilità. Se è stata installata la versione autonoma di NetMeeting, installare una versione aggiornata che risolva la vulnerabilità. Per scaricare la versione aggiornata, visitare il seguente sito Web. La versione aggiornata che risolve questa vulnerabilità è la 3.01 (4.4.3399).

Windows 98, Windows 98 Second Edition e Windows Millennium Edition sono interessati dalla vulnerabilità in modo critico?

No. Sebbene possano contenere NetMeeting, questi sistemi operativi non sono esposti al problema in modo critico. Per risolvere la vulnerabilità, è possibile scaricare e installare la versione autonoma di NetMeeting per i sistemi operativi indicati dal seguente sito Web. Per ulteriori informazioni sui livelli di gravità, visitare il seguente sito Web.

Che cos'è Firewall connessione Internet?

Firewall connessione Internet (ICF) offre funzionalità di base di prevenzione delle intrusioni per i sistemi in cui sia in esecuzione Windows XP o Windows Server 2003. L'applicazione è progettata per i sistemi direttamente connessi a una rete pubblica e per quelli appartenenti a una rete domestica, se utilizzata con Condivisione connessione Internet.

Se si esegue solo Firewall connessione Internet su Windows XP o Windows Server 2003, si è esposti al problema?

No, non automaticamente. Tuttavia, se si utilizza NetMeeting, anche con ICF in esecuzione, è possibile che si venga esposti al problema. NetMeeting apre porte in ICF che potrebbero esporre il sistema alla vulnerabilità.

Anche l'apertura manuale delle porte TCP 1720 e 1503 potrebbe esporre il sistema alla vulnerabilità. Le applicazioni di terze parti potrebbero costringere ICF ad aprire porte in risposta alle comunicazioni H.323.

Che cos'è Condivisione connessione Internet?

Con Condivisione connessione Internet, gli utenti possono connettere un sistema a Internet e condividere il servizio Internet con diversi altri sistemi in una rete domestica o in una piccola rete aziendale. L'Installazione guidata rete in Windows XP fornirà automaticamente tutte le impostazioni di rete necessarie per condividere una connessione Internet con tutti i sistemi di una rete. Ogni sistema potrà utilizzare programmi come Internet Explorer e Outlook Express come se fosse direttamente connesso a Internet.

Condivisione connessione Internet è una funzionalità di Windows 2000, Windows XP e Windows Server 2003, che non è attivata per impostazione predefinita su nessuno dei sistemi interessati.

Se è stata attivata Condivisione connessione Internet, ma non è stato attivato Firewall connessione Internet, si è esposti al problema?

Sì, Condivisione connessione Internet attiva le porte che potrebbero esporre il sistema al problema.

Se Firewall connessione Internet e Condivisione connessione Internet sono in esecuzione, l'attacco non può verificarsi a meno che l'utente non utilizzi NetMeeting o apra manualmente la porta 1503 o 1720.

Che cos'è il servizio Routing e Accesso remoto?

Routing e Accesso remoto consente a un sistema, in cui sia in esecuzione Windows 2000 Server o Windows Server 2003, di fungere da router di rete. Le funzionalità di accesso remoto consentono agli utenti con sistemi remoti di stabilire una connessione logica con la rete di un'organizzazione o con Internet. Il servizio Routing e Accesso remoto supporta le richieste H.323 indirizzate a o da una rete.

Se si esegue Routing e Accesso remoto su Windows 2000, si è esposti al problema?

Sì. Per impostazione predefinita, Windows 2000 utilizza il servizio Routing e Accesso remoto con la funzionalità NAT (Network Address Translation), che espone il sistema alla vulnerabilità. Tuttavia, un amministratore può disattivare la funzionalità H.323 con il comando netsh. Per informazioni dettagliate, consultare l'articolo della Microsoft Knowledge Base 838834.

Nota I sistemi configurati per eseguire un altro servizio Routing e Accesso remoto senza NAT (ad esempio, VPN, OSPF o Routing Information Protocol) non sono interessati dalla vulnerabilità.

Se si esegue Routing e Accesso remoto su Windows Server 2003, si è esposti al problema?

No. Per impostazione predefinita, il servizio Routing e Accesso remoto di Windows Server 2003 non attiva la funzionalità H.323. Tuttavia, un amministratore può attivare la funzionalità H.323 ed esporre così il sistema alla vulnerabilità.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?

Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.

Quali capacità sono necessarie per sfruttare questa vulnerabilità?

Qualsiasi utente anonimo in grado di inviare una richiesta H.323 appositamente predisposta a uno dei sistemi interessati.

In quale modo un hacker può sfruttare questa vulnerabilità?

Un hacker può tentare di sfruttare la vulnerabilità individuando utenti che eseguono NetMeeting e/o un programma TAPI basato su H.323,

oppure servendosi di Condivisione connessione Internet ed eseguendo codice in modalità remota sui sistemi in cui il servizio ICS sia attivato. Se ICF e ICS sono in esecuzione, l'attacco non può essere sferrato, a meno che l'utente non utilizzi anche NetMeeting.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?

I sistemi che eseguono NetMeeting o un programma basato su H.323.

Quali sono gli scopi dell'aggiornamento?

L'aggiornamento modifica il modo in cui i sistemi interessati elaborano le richieste H.323 appositamente predisposte.

• Per sfruttare la vulnerabilità, è necessario disporre di credenziali di accesso valide ed essere in grado di accedere al sistema in locale. La vulnerabilità non può essere sfruttata in remoto.
• Windows XP e Windows Server 2003 non sono interessati dalla vulnerabilità.

Nessuna

Qual è la portata o l'impatto di questa vulnerabilità?

Si tratta di una vulnerabilità legata alla possibilità di acquisizione di privilegi più elevati. Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi. Per sfruttare la vulnerabilità, è necessario accedere al sistema in locale ed eseguire un programma.

Quali sono le cause di questa vulnerabilità?

Il componente del sistema operativo che gestisce il sottosistema VDM può essere utilizzato per accedere alla memoria del kernel protetta. In particolari situazioni, alcune funzioni con privilegi del sistema operativo potrebbero non convalidare le strutture di sistema e consentire a un hacker di eseguire codice dannoso con privilegi di sistema.

Che cos'è il sottosistema Virtual DOS Machine?

Una Virtual DOS Machine (VDM) è un ambiente che emula finestre MS-DOS e DOS nei sistemi operativi basati su Windows NT. Viene creata una VDM ogni volta che un utente avvia un'applicazione MS-DOS in un sistema operativo basato su Windows NT.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?

Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.

Quali capacità sono necessarie per sfruttare questa vulnerabilità?

Per sfruttare la vulnerabilità, è necessario accedere al sistema in locale ed eseguire un programma.

In quale modo un hacker può sfruttare questa vulnerabilità?

Per sfruttare la vulnerabilità, è necessario innanzitutto accedere al sistema. Quindi occorre eseguire un'applicazione specificamente progettata allo scopo e assumere il controllo completo sul sistema.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?

I sistemi maggiormente a rischio sono workstation e server terminal. I server sono a rischio solo se agli utenti privi di credenziali amministrative sufficienti è consentito di accedere ai server e di eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

È possibile sfruttare questa vulnerabilità tramite Internet?

No. L'hacker deve accedere al sistema specifico a cui è destinato l'attacco. Non può caricare ed eseguire un programma in remoto sfruttando la vulnerabilità.

Quali sono gli scopi dell'aggiornamento?

L'aggiornamento modifica il modo in cui Windows convalida i dati quando fanno riferimento alle posizioni di memoria allocate a una VDM.

• Negli scenari più comuni, la vulnerabilità è legata alla possibilità di negazione del servizio.
• L'interfaccia di negoziazione dell'SSP viene attivata, per impostazione predefinita, anche in Internet Information Services (IIS). Tuttavia, solo in Windows 2000 (IIS 5.0) e Windows Server 2003 Web Server Edition (IIS 6.0) Internet Information Services (IIS) è installato per impostazione predefinita.
• Windows NT 4.0 non è interessato dalla vulnerabilità.

Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata di seguito.

• Soluzioni alternative per l'attacco basato su Internet Information Services
  • Disattivare Autenticazione integrata di Windows

    Gli amministratori possono ridurre il rischio di attacco tramite Internet Information Services disattivando l'Autenticazione integrata di Windows. Per informazioni sull'attivazione o la disattivazione di quest'opzione, visitare il seguente sito Web.

    Effetto della soluzione:tutte le applicazioni basate su IIS che richiedono l'autenticazione Challenge/Response di Windows NT (NTLM) o Kerberos non funzioneranno più correttamente.

  • Disattivare l'interfaccia di negoziazione dell'SSP

    Gli amministratori possono disattivare solo l'interfaccia di negoziazione dell'SSP (con l'autenticazione NTLM attivata) seguendo le istruzioni presenti nell'articolo della Microsoft Knowledge Base 215383 e riepilogate di seguito:

    Per disattivare l'interfaccia di negoziazione (e quindi impedire l'autenticazione Kerberos), utilizzare il seguente comando (si noti che "NTLM" deve essere scritto in maiuscolo per evitare effetti negativi):

    cscript adsutil.vbs set w3svc/NTAuthenticationProviders “NTLM”

    Effetto della soluzione: tutte le applicazioni basate su IIS che richiedono l'autenticazione Kerberos non funzioneranno più correttamente.

Qual è la portata o l'impatto di questa vulnerabilità?

Si tratta di una vulnerabilità di sovraccarico del buffer. Tuttavia, conduce, in genere, a una negazione del servizio. Un hacker in grado di sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.

Quali sono le cause di questa vulnerabilità?

Un buffer non controllato nell'interfaccia di negoziazione dell'SSP.

Che cos'è l'interfaccia di negoziazione dell'SSP?

Poiché Windows supporta diversi tipi di autenticazione, il metodo di autenticazione utilizzato quando un client si connette a un server deve essere negoziato. L'interfaccia di negoziazione dell'SSP è il componente del sistema operativo che offre questa funzionalità. Si basa sul meccanismo SPNEGO (Simple and Protected GSS-API Negotiate), definito nell'RFC 2478. Per ulteriori informazioni sui metodi di autenticazione di Windows, visitare il seguente sito Web.

Perché Internet Information Services è interessato dalla vulnerabilità?

L'interfaccia di negoziazione dell'SSP viene attivata, per impostazione predefinita, anche in IIS (Internet Information Services), in modo che sia possibile utilizzare protocolli di autenticazione come NTLM o Kerberos per garantire accesso protetto alle risorse. Per ulteriori informazioni sui metodi di autenticazione supportati da IIS, visitare il seguente sito Web.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?

Sebbene sia probabile che l'effetto del problema si riduca semplicemente a una negazione del servizio, un hacker che riesca a sfruttare la vulnerabilità può assumere il controllo completo di un sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi. Se un hacker riesce a impedire al sistema di rispondere alle richieste, un amministratore può ripristinare le normali funzionalità riavviando il sistema interessato. Tuttavia, se non viene applicato l'aggiornamento, il sistema potrebbe essere esposto a un nuovo attacco di negazione del servizio.

Quali capacità sono necessarie per sfruttare questa vulnerabilità?

Qualsiasi utente anonimo in grado di inviare un messaggio opportunamente predisposto a un sistema interessato può tentare di sfruttare la vulnerabilità. Poiché questa funzionalità è attivata per impostazione predefinita su tutti i sistemi interessati, qualsiasi utente in grado di stabilire una connessione con uno di essi può tentare di sfruttare la vulnerabilità.

In quale modo un hacker può sfruttare questa vulnerabilità?

Un hacker può tentare di sfruttare la vulnerabilità creando un messaggio di rete appositamente predisposto e inviandolo al sistema interessato dal problema.

Un hacker può, inoltre, accedere al componente interessato con un'altra strategia. Può, ad esempio, accedere al sistema in modo interattivo o utilizzando un programma che passa parametri al componente affetto dalla vulnerabilità (in locale o in remoto).

Quali sono i sistemi principalmente interessati da questa vulnerabilità?

Tutti i sistemi indicati potrebbero essere vulnerabili al problema per impostazione predefinita. Sono esposti al problema, tramite le porte di attesa, anche i sistemi che eseguono Internet Information Services 5.0, Internet Information Services 5.1 e Internet Information Services 6.0.

Quali sono gli scopi dell'aggiornamento?

L'aggiornamento elimina la vulnerabilità modificando il modo in cui l'interfaccia di negoziazione dell'SSP convalida la lunghezza di un messaggio prima di passarlo al buffer allocato.

• Sono interessati solo i sistemi su cui sia attivato SSL e si tratta, in genere, di sistemi server. Il supporto SSL non è attivato per impostazione predefinita su nessuno dei sistemi interessati. Tuttavia, SSL viene in genere utilizzato sui server Web per supportare le applicazioni di e-commerce e online banking, nonché altri programmi che richiedono comunicazioni protette.
• Le configurazioni predefinite standard dei firewall e le procedure consigliate per la configurazione dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale. È consigliabile che i sistemi connessi a Internet abbiano un numero minimo di porte esposte.
• Windows NT 4.0 non è interessato dalla vulnerabilità.

Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata di seguito.

• Bloccare le porte 443 e 636 a livello del firewall

  La porta 443 viene utilizzata per ricevere traffico SSL. La porta 636 viene utilizzata per le connessioni LDAP SSL (LDAPS). Bloccandole a livello di firewall è quindi possibile evitare che i sistemi protetti dal firewall subiscano attacchi mirati a sfruttare la vulnerabilità. Un hacker potrebbe utilizzare anche altre porte, ma quelle elencate costituiscono i più frequenti vettori di attacco. Microsoft consiglia di bloccare tutte le comunicazioni in ingresso non richieste provenienti da Internet, per impedire gli attacchi che potrebbero utilizzare altre porte.

  Effetto della soluzione: se le porte 443 o 636 vengono bloccate, i sistemi interessati non potranno più accettare connessioni esterne che utilizzano SSL o LDAPS.

Qual è la portata o l'impatto di questa vulnerabilità?

La vulnerabilità di negazione del servizio presente nella libreria Microsoft Secure Sockets Layer (SSL) incide sul modo in cui il componente gestisce i messaggi SSL appositamente predisposti e può essere sfruttata per impedire al sistema interessato di accettare connessioni SSL in Windows 2000 e Windows XP. In Windows Server 2003, la vulnerabilità può provocare il riavvio del sistema.

Si noti che la vulnerabilità di negazione del servizio non consente di eseguire codice o acquisire privilegi più elevati, ma può impedire al sistema interessato di accettare richieste.

Quali sono le cause di questa vulnerabilità?

Il processo utilizzato dalla libreria SSL per controllare gli input dei messaggi.

Che cos'è la libreria Microsoft Secure Sockets Layer?

La libreria Microsoft Secure Sockets Layer contiene il supporto per diversi protocolli di comunicazione protetti tra cui Transport Layer Security 1.0 (TLS 1.0), Secure Sockets Layer 3.0 (SSL 3.0), l'obsoleto e raramente utilizzato Secure Sockets Layer 2.0 (SSL 2.0) e Private Communication Technology 1.0 (PCT 1.0).

Questi protocolli garantiscono una connessione crittografata tra server e client. SSL è in grado di proteggere le informazioni quando gli utenti si connettono attraverso reti pubbliche come Internet. Il supporto SSL richiede un certificato SSL, che deve essere installato su un server. Per ulteriori informazioni su SSL, vedere l'articolo della Microsoft Knowledge Base 245152.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?

In Windows 2000 e Windows XP, un hacker che riesca a sfruttare la vulnerabilità può impedire al sistema di accettare connessioni SSL. In Windows Server 2003, la vulnerabilità può provocare il riavvio automatico del sistema interessato durante il quale non sarà possibile rispondere alle richieste di autenticazione. Dopo il riavvio, il sistema interessato tornerà a funzionare normalmente. Tuttavia, se non viene applicato l'aggiornamento, il sistema potrebbe essere esposto a un nuovo attacco di negazione del servizio.

Se un hacker riesce a sfruttare la vulnerabilità, può essere registrato un evento di errore di sistema. Nel registro degli eventi di sistema può essere registrato l'ID di evento 5000 con il valore SymbolicName di "SPMEVENT_PACKAGE_FAULT" e la seguente descrizione:

"Il pacchetto di protezione NOME ha generato un'eccezione", dove NOME contiene il valore "Schannel" o "Microsoft Unified Security Protocol Provider".

Quali capacità sono necessarie per sfruttare questa vulnerabilità?

Qualsiasi utente anonimo in grado di inviare un messaggio SSL opportunamente predisposto a un sistema interessato può tentare di sfruttare la vulnerabilità.

In quale modo un hacker può sfruttare questa vulnerabilità?

Per sfruttare la vulnerabilità, un hacker potrebbe creare un programma in grado di comunicare con un server vulnerabile tramite un servizio abilitato a SSL, per inviare un tipo specifico di messaggio TCP opportunamente predisposto. La ricezione di tale messaggio può provocare l'arresto del sistema interessato con conseguente negazione del servizio.

Un hacker può, inoltre, accedere al componente interessato con un'altra strategia. Può, ad esempio, accedere al sistema in modo interattivo o utilizzando un programma che passa parametri al componente affetto dalla vulnerabilità (in locale o in remoto).

Quali sono i sistemi principalmente interessati da questa vulnerabilità?

Sono esposti al problema tutti i sistemi in cui sia attivato SSL. Sebbene SSL sia comunemente associato a Internet Information Services tramite HTTPS e la porta 443, sono a rischio tutti i servizi che implementano SSL su una piattaforma interessata, tra cui Internet Information Services 4.0, Internet Information Services 5.0, Internet Information Services 5.1, Exchange Server 5.5, Exchange Server 2000, Exchange Server 2003, Analysis Services 2000 (incluso in SQL Server 2000) e qualsiasi programma di terze parti che utilizzi SSL.

Sono interessati dalla vulnerabilità anche i controller di dominio Windows 2000 installati in un dominio Active Directory in cui sia presente l'autorità di certificazione principale dell'organizzazione, poiché attendono automaticamente connessioni SSL protette.

Quali sono gli scopi dell'aggiornamento?

L'aggiornamento elimina la vulnerabilità modificando la gestione di messaggi SSL opportunamente predisposti.

• Grazie al layout esclusivo delle strutture di memoria nei sistemi interessati, sfruttare questa vulnerabilità su larga scala può essere piuttosto complesso.

Nessuna

Qual è la portata o l'impatto di questa vulnerabilità?

Sebbene si tratti potenzialmente di una vulnerabilità associata all'esecuzione di codice in remoto, è più probabile che si verifichi un problema di negazione del servizio. Tuttavia, un hacker che riesca a sfruttare questa vulnerabilità, al fine di consentire l'esecuzione di codice, può ottenere il controllo completo del sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.

Quali sono le cause di questa vulnerabilità?

Esiste una potenziale condizione "double free" che può portare al danneggiamento della memoria nella libreria Microsoft ASN.1.

Che cos'è una condizione "double free"?

Un hacker può fare in modo che un sistema interessato, durante l'elaborazione di un messaggio opportunamente predisposto, tenti di rilasciare, o "liberare", memoria riservata a più utilizzi. Il rilascio di memoria già liberata può provocare danni alla memoria. Un hacker può aggiungere codice arbitrario alla memoria, che verrà eseguito quando si verifica il danneggiamento. Il codice potrà essere quindi eseguito con privilegi di sistema.

In genere, la vulnerabilità provoca la negazione del servizio. Tuttavia, in alcuni casi, può verificarsi l'esecuzione di codice non autorizzato. Grazie al layout esclusivo della memoria nei sistemi interessati, sfruttare questa vulnerabilità su larga scala può essere piuttosto complesso.

Che cos'è ASN.1?

Abstract Syntax Notation 1 (ASN.1) è un linguaggio utilizzato per definire standard. Viene utilizzato da numerosi dispositivi e applicazioni del settore tecnologico per consentire lo scambio di dati tra le diverse piattaforme. ASN.1 non ha alcuna relazione diretta con specifici standard, metodi di codifica, linguaggi di programmazione o piattaforme hardware. Per ulteriori informazioni su ASN.1, vedere l'articolo della Microsoft Knowledge Base 252648.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?

Un hacker che riesca a sfruttare la vulnerabilità per consentire l'esecuzione di codice, può assumere il controllo completo del sistema interessato, riuscendo a installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con privilegi completi.

Nello scenario più probabile, è possibile provocare una condizione di negazione del servizio. Per ripristinare il normale funzionamento, un amministratore può riavviare il sistema interessato.

In quale modo un hacker può sfruttare questa vulnerabilità?

Poiché ASN.1 è uno standard valido per molte applicazioni e dispositivi, esistono numerose modalità di attacco. Per riuscire a sfruttare la vulnerabilità, un hacker deve forzare un sistema a decodificare dati ASN.1 opportunamente predisposti. Ad esempio, utilizzando protocolli di autenticazione basati su ASN.1, può creare una richiesta di autenticazione opportunamente predisposta in grado di esporre la vulnerabilità.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?

I sistemi server sono più a rischio di quelli client, poiché è più probabile che in essi venga eseguito un processo server di decodifica di dati ASN.1.

Windows 98, Windows 98 Second Edition e Windows Millennium Edition sono interessati dalla vulnerabilità in modo critico?

No. Sebbene Windows Millennium Edition contenga il componente interessato, non è esposto al problema in modo critico. Per ulteriori informazioni sui livelli di gravità, visitare il seguente sito Web.

Quali sono gli scopi dell'aggiornamento?

L'aggiornamento elimina la vulnerabilità modificando la gestione dei dati opportunamente predisposti da parte della libreria ASN.1.

Qual è la relazione tra questa vulnerabilità e quella corretta dal bollettino MS04-007?

Entrambe le vulnerabilità riguardano il componente ASN.1. Tuttavia, il presente aggiornamento corregge una vulnerabilità segnalata di recente non affrontata in MS04-007. MS04-007 consente di proteggere completamente il sistema dalle vulnerabilità in esso illustrate. Il presente aggiornamento include, invece, tutti gli aggiornamenti forniti in MS04-007 e sostituisce quest'ultimo. Se si installa l'aggiornamento, non è necessario installare MS04-007.