Bollettino Microsoft sulla sicurezza MS09-008 - Importante

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• I siti che utilizzano SSL/TLS non sono interessati da questa vulnerabilità.

Microsoft non ha individuato alcuna soluzione alternativa per questa vulnerabilità.

Qual è la portata o l'impatto di questa vulnerabilità?  
Nei server DNS di Windows esiste una vulnerabilità legata allo spoofing. Sfruttando questa vulnerabilità, un utente malintenzionato può inserire degli indirizzi arbitrari nella cache DNS.

Quali sono le cause di questa vulnerabilità?  
Il server DNS Windows non memorizza nella cache risposte specifiche quando riceve query appositamente predisposte, rendendo in questo modo gli ID transazione successivi, utilizzati dal server DNS, maggiormente prevedibili.

Che cosa significa Domain Name System (DNS)?  
Domain Name System (DNS) è una delle suite standard di protocolli che comprende TCP/IP. DNS viene implementato utilizzando due componenti software: il server DNS e il client DNS (o resolver). Entrambi i componenti vengono eseguiti come applicazioni di servizi in background. Le risorse di rete vengono identificate in base agli indirizzi IP numerici, ma questi indirizzi IP sono difficili da ricordare per gli utenti della rete. Il database DNS contiene dei record che associano semplici nomi alfanumerici (che identificano risorse di rete, come www.microsoft.com) agli indirizzi IP utilizzati da tali risorse per la comunicazione. In questo modo, DNS agisce come un dispositivo mnemonico che consente agli utenti di rete di ricordare più facilmente le risorse di rete disponibili. Per ulteriori informazioni e per visualizzare i diagrammi logici che illustrano il funzionamento di DNS con altre tecnologie di Windows, consultare l'articolo relativo al funzionamento di DNS.

Che cos'è una cache DNS?  
Il servizio cache del resolver DNS (Domain Name System) memorizza le risposte alle query DNS per evitare che il server DNS riceva più richieste per una stessa informazione. Per ulteriori informazioni, vedere l'articolo di TechNet relativo alla cache DNS o l'articolo di TechNet che illustra il servizio cache del resolver DNS. Per ulteriori informazioni sul danneggiamento della cache DNS, vedere l'articolo di TechNet relativo al rivelamento degli attacchi.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato può inserire degli indirizzi arbitrari nella cache DNS. Questo attacco viene definito danneggiamento della cache.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Un utente malintenzionato può inviare delle query specifiche a un server DNS vulnerabile e rispondere contemporaneamente a queste in modo da inserire dei dati DNS falsi o fuorvianti. L'utente malintenzionato è quindi in grado di reindirizzare il traffico su Internet da un percorso legittimo a un indirizzo di sua scelta.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Sono a rischio i server DNS Windows.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità correggendo il modo in cui i server DNS Windows convalidano query appositamente predisposte.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• I siti che utilizzano SSL/TLS non sono interessati da questa vulnerabilità.

Microsoft non ha individuato alcuna soluzione alternativa per questa vulnerabilità.

Qual è la portata o l'impatto di questa vulnerabilità?  
Nei server DNS di Windows esiste una vulnerabilità legata allo spoofing. Tale vulnerabilità può consentire a un utente malintenzionato remoto e non autenticato di prevedere con una certa attendibilità il comportamento degli ID transazione utilizzati dal server DNS, facilitando in tal modo il danneggiamento della cache DNS e il reindirizzamento del traffico su Internet.

Quali sono le cause di questa vulnerabilità?  
Il server DNS Windows non memorizza correttamente nella cache una serie di risposte DNS appositamente predisposte. In tal modo il server DNS svolge delle ricerche inutili e gli ID transazione successivi utilizzati dal server DNS risultano maggiormente prevedibili.

Che cosa significa Domain Name System (DNS)?  
Domain Name System (DNS) è una delle suite standard di protocolli che comprende TCP/IP. DNS viene implementato utilizzando due componenti software: il server DNS e il client DNS (o resolver). Entrambi i componenti vengono eseguiti come applicazioni di servizi in background. Le risorse di rete vengono identificate in base agli indirizzi IP numerici, ma questi indirizzi IP sono difficili da ricordare per gli utenti della rete. Il database DNS contiene dei record che associano semplici nomi alfanumerici (che identificano risorse di rete, come www.microsoft.com) agli indirizzi IP utilizzati da tali risorse per la comunicazione. In questo modo, DNS agisce come un dispositivo mnemonico che consente agli utenti di rete di ricordare più facilmente le risorse di rete disponibili. Per ulteriori informazioni e per visualizzare i diagrammi logici che illustrano il funzionamento di DNS con altre tecnologie di Windows, consultare l'articolo relativo al funzionamento di DNS.

Che cos'è una cache DNS?  
Il servizio cache del resolver DNS (Domain Name System) memorizza le risposte alle query DNS per evitare che il server DNS riceva più richieste per una stessa informazione. Per ulteriori informazioni, vedere l'articolo di TechNet relativo alla cache DNS o l'articolo di TechNet che illustra il servizio cache del resolver DNS. Per ulteriori informazioni sul danneggiamento della cache DNS, vedere l'articolo di TechNet relativo al rivelamento degli attacchi.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità assieme ad altre vulnerabilità della cache DNS, un utente malintenzionato può danneggiare la cache DNS e reindirizzare il traffico su Internet.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Sfruttando questa vulnerabilità un utente malintenzionato può inviare una serie di query appositamente predisposte al server DNS. In tal modo il server DNS svolge delle ricerche inutili e gli ID transazione successivi utilizzati dal server DNS risultano maggiormente prevedibili.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Sono a rischio i server DNS Windows.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità correggendo il modo in cui i server DNS Windows memorizzano nella cache e convalidano le risposte.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente.

• Se DNS presenta delle registrazioni WPAD o ISATAP preesistenti, non sarà possibile per un utente malintenzionato registrare la stessa voce WPAD.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Creazione di un file di configurazione automatica del proxy (PAC, Proxy Auto Configuration) WPAD.DAT in un WPAD con nome host dell'organizzazione per indirizzare i browser Web al proxy aziendale

  Per creare un file PAC WPAD.DAT, attenersi alla seguente procedura:

  1. Creare un file WPAD.DAT che rispetti le specifiche di configurazione automatica del proxy. Per ulteriori informazioni sui file PAC, incluso un file di esempio, vedere il seguente articolo di MSDN.
  2. Posizionare il file WPAD.DAT nella directory principale di un server Web dell'organizzazione e assicurarsi che il file possa essere richiesto in modo anonimo.
  3. Creare un tipo MIME per il file WPAD.DAT nel server Web di "application/x-ns-proxy-autoconfig".
  4. Creare le voci appropriate nel server DHCP o DNS dell'organizzazione per consentire l'individuazione del server WPAD.

  Per informazioni sulla registrazione WPAD, vedere l'articolo della Microsoft Knowledge Base 934864.

  Effetto della soluzione alternativa. Nessuno

Qual è la portata o l'impatto di questa vulnerabilità?  
Nei server DNS di Windows esiste una vulnerabilità legata allo spoofing. Sfruttando questa vulnerabilità un utente malintenzionato potrebbe reindirizzare il traffico su Internet.

Quali sono le cause di questa vulnerabilità?  
Il server DNS Windows non convalida correttamente gli utenti in grado di registrare voci WPAD sul server DNS. Per impostazione predefinita, un server DNS consente a qualunque utente di creare una registrazione WPAD nel database DNS, se la registrazione di tale nome non risulta già esistente.

Che cosa significa WPAD (Web Proxy Auto-Discovery)?  
La funzionalità Web Proxy Auto-Discovery (WPAD) consente ai client Web di rilevare automaticamente le impostazioni proxy senza l'intervento dell'utente. La funzionalità WPAD antepone un nome host "wpad" al nome di dominio completo e rimuove progressivamente i sottodomini finché non individua un server WPAD che risponde al nome di dominio. Per ulteriori informazioni, vedere WinHTTP AutoProxy Support.

Che cosa significa Domain Name System (DNS)?  
Domain Name System (DNS) è una delle suite standard di protocolli che comprende TCP/IP. DNS viene implementato utilizzando due componenti software: il server DNS e il client DNS (o resolver). Entrambi i componenti vengono eseguiti come applicazioni di servizi in background. Le risorse di rete vengono identificate in base agli indirizzi IP numerici, ma questi indirizzi IP sono difficili da ricordare per gli utenti della rete. Il database DNS contiene dei record che associano semplici nomi alfanumerici (che identificano risorse di rete, come www.microsoft.com) agli indirizzi IP utilizzati da tali risorse per la comunicazione. In questo modo, DNS agisce come un dispositivo mnemonico che consente agli utenti di rete di ricordare più facilmente le risorse di rete disponibili. Per ulteriori informazioni e per visualizzare i diagrammi logici che illustrano il funzionamento di DNS con altre tecnologie di Windows, consultare l'articolo relativo al funzionamento di DNS.

Che cos'è un aggiornamento dinamico?  
Un aggiornamento dinamico consente ai computer client DNS di registrare e aggiornare dinamicamente i propri record di risorsa in un server DNS, ogni volta che vengono operate delle modifiche. In tal modo si riduce la necessità di amministrare manualmente i record di zona, soprattutto per i client che modificano spesso i loro percorsi e utilizzano DHCP per ottenere un indirizzo IP. Per ulteriori informazioni, vedere l'articolo di TechNet relativo agli aggiornamenti dinamici.

Che cosa significa ISATAP?
ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) fornisce connettività IPv6 all'interno di una Intranet IPv4. Per informazioni su ISATAP, vedere RFC4214: Intra-Site Automatic Tunnel Addressing Protocol (ISATAP).

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato può simulare il proxy Web autentico e intercettare o reindirizzare il traffico su Internet.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Se un utente malintenzionato effettua una registrazione WPAD nel database DNS facendo in modo che essa punti a un indirizzo IP da lui controllato, potrà condurre degli attacchi di tipo "man-in-the-middle" (MITM) contro qualunque browser configurato per utilizzare WPAD al fine di scoprire le impostazioni di server proxy.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Sono a rischio i server DNS Windows.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità modificando il modo in cui i server DNS Windows rispondono alle richieste di risoluzione dei nomi WPAD.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
Sì. Le informazioni sulla vulnerabilità sono state divulgate pubblicamente. Questa vulnerabilità è stata identificata con il codice CVE-2008-0093.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente.

• Se un server WINS presenta già delle registrazioni WPAD e ISATAP, un utente malintenzionato non potrà effettuarle di nuovo.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Creazione di un file di configurazione automatica del proxy (PAC, Proxy Auto Configuration) WPAD.DAT in un WPAD con nome host dell'organizzazione per indirizzare i browser Web al proxy aziendale

  Per creare un file PAC WPAD.DAT, attenersi alla seguente procedura:

  1. Creare un file WPAD.DAT che rispetti le specifiche di configurazione automatica del proxy. Per ulteriori informazioni sui file PAC, incluso un file di esempio, vedere il seguente articolo di MSDN.
  2. Posizionare il file WPAD.DAT nella directory principale di un server Web dell'organizzazione e assicurarsi che il file possa essere richiesto in modo anonimo.
  3. Creare un tipo MIME per il file WPAD.DAT nel server Web di "application/x-ns-proxy-autoconfig".
  4. Creare le voci appropriate nel server DHCP o DNS dell'organizzazione per consentire l'individuazione del server WPAD.

  Per informazioni sulla registrazione WPAD, vedere l'articolo della Microsoft Knowledge Base 934864.

  Effetto della soluzione alternativa. Nessuno

Qual è la portata o l'impatto di questa vulnerabilità?  
Nei server WINS Windows esiste una vulnerabilità legata allo spoofing. Sfruttando questa vulnerabilità un utente malintenzionato potrebbe reindirizzare il traffico su Internet.

Quali sono le cause di questa vulnerabilità?  
Il server WINS Windows non convalida correttamente gli utenti in grado di registrare voci WPAD o ISATAP sul server WINS. Per impostazione predefinita, un server WINS consente a qualunque utente di creare una registrazione WPAD o ISATAP nel database WINS, se la registrazione di tale nome non risulta già esistente.

Che cosa significa WPAD (Web Proxy Auto-Discovery)?  
La funzionalità Web Proxy Auto-Discovery (WPAD) consente ai client Web di rilevare automaticamente le impostazioni proxy senza l'intervento dell'utente. La funzionalità WPAD antepone un nome host "wpad" al nome di dominio completo e rimuove progressivamente i sottodomini finché non individua un server WPAD che risponde al nome di dominio. Per ulteriori informazioni, vedere WinHTTP AutoProxy Support.

Che cosa significa WINS?
WINS è stato appositamente progettato per supportare NetBIOS su TCP/IP (NetBT). È necessario disporre di WINS quando si lavora in ambienti nei quali gli utenti accedono a risorse che utilizzano nomi NetBIOS. Se non si utilizza WINS in reti di questo tipo, risulta impossibile connettersi a una risorsa di rete remota utilizzando il suo nome NetBIOS, a meno che non vengano utilizzati dei file LMHosts, come pure può risultare impossibile stabilire delle connessioni per la condivisione di file e stampanti. Per ulteriori informazioni, vedere l'articolo WINS di TechNet.

Che cosa significa ISATAP?
ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) fornisce connettività IPv6 all'interno di una Intranet IPv4. Per informazioni su ISATAP, vedere RFC4214: Intra-Site Automatic Tunnel Addressing Protocol (ISATAP).

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato può simulare il proxy Web autentico o il percorso ISATAP e intercettare o reindirizzare il traffico su Internet.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?  
Se un utente malintenzionato effettua una registrazione WPAD o ISATAP nel database WINS facendo in modo che questa punti a un indirizzo IP da lui controllato, potrà condurre degli attacchi di tipo "man-in-the-middle" (MITM) contro qualunque browser configurato per utilizzare WPAD al fine di scoprire le impostazioni di server proxy.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
Sono a rischio i server WINS Windows.

Quali sono gli scopi dell'aggiornamento?  
L'aggiornamento risolve la vulnerabilità modificando il modo in cui i server WINS Windows rispondono alle richieste di risoluzione dei nomi WPAD e ISATAP.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?  
Sì. Le informazioni sulla vulnerabilità sono state divulgate pubblicamente. Questa vulnerabilità è stata identificata con il codice CVE-2008-0094.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?  
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.