Bollettino Microsoft sulla sicurezza MS11-085 - Importante

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

• L'attacco è possibile solo se l'utente visita un file system remoto o una condivisione WebDAV di dubbia provenienza e apre un file legittimo (come un file .eml o .wcinv) da questa posizione che è poi caricato da un'applicazione vulnerabile.
• Il protocollo di condivisione dei file SMB (Server Message Block) è spesso disattivato a livello del firewall perimetrale. Ciò limita i potenziali vettori di attacco per questa vulnerabilità.
• Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.
• Su Windows Server 2008, Windows Mail e Windows Meeting Space non sono installati per impostazione predefinita. Windows Mail è installato solo quando anche Desktop Experience è installato.
• Il codice vulnerabile si trova in Windows 7 e Windows Server 2008 R2, ciononostante Microsoft non è a conoscenza di alcun attacco mediante vettore che possa consentire lo sfruttamento della vulnerabilità su questi sistemi operativi.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina la vulnerabilità sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

• Disattivare il caricamento di librerie da WebDAV e dalle condivisioni di rete remote

  Nota Vedere l'articolo della Microsoft Knowledge Base 2264107 per distribuire una soluzione alternativa che consenta ai clienti di disattivare il caricamento delle librerie da reti remote o da condivisioni WebDAV. Questo strumento può essere configurato per rifiutare il caricamento non sicuro su una base per-applicazione o di sistema globale.

  I clienti che vengono informati dal proprio fornitore che un'applicazione è vulnerabile possono utilizzare questo strumento per contribuire alla protezione contro i tentativi di sfruttamento del problema.

  Nota Vedere l'articolo della Microsoft Knowledge Base 2264107 per utilizzare la soluzione di fix automatico di Microsoft per implementare la chiave del Registro di sistema e bloccare il caricamento delle librerie per le condivisioni SMB e WebDAV. Tenere presente che questa soluzione di fix automatico richiede di installare innanzitutto la soluzione alternativa descritta anche nell'articolo della Microsoft Knowledge Base 2264107. Questa soluzione di fix implementa solo la chiave del Registro di sistema e richiede l'utilizzo della soluzione alternativa per essere efficace. Si consiglia agli amministratori di leggere attentamente l'articolo della KB prima di implementare questa soluzione di fix.

• Disattivare il servizio Web Client

  La disattivazione del servizio WebClient consente di proteggere i sistemi interessati dai tentativi di sfruttamento della vulnerabilità bloccando il vettore di attacco remoto più comune attraverso il servizio Client Web Distributed Authoring and Versioning (WebDAV). Dopo l'applicazione di questa soluzione alternativa, gli utenti malintenzionati remoti in grado di sfruttare la vulnerabilità possono comunque indurre il sistema ad eseguire programmi installati sul computer dell'utente o sull'area locale (LAN); tuttavia, agli utenti viene richiesta una conferma prima dell'apertura di programmi non autorizzati da Internet.

  Per disattivare il servizio Web Client, attenersi alla procedura seguente:

  1. Fare clic su Start, scegliere Esegui, digitare Services.msc e fare clic su Continua.
  2. Fare clic con il pulsante destro su Servizio WebClient, quindi selezionare Proprietà.
  3. Modificare il tipo di avvio su Disattivato. Se il servizio è in esecuzione, scegliere Stop.
  4. Fare clic su OK e uscire dall'applicazione di gestione.

  Impatto della soluzione alternativa. Se il servizio WebClient è disabilitato, le richieste di Web Distributed Authoring and Versioning (WebDAV) non vengono trasmesse. Inoltre, i servizi che dipendono esplicitamente dal servizio WebClient non vengono avviati e un messaggio di errore viene registrato nel registro di sistema. Ad esempio, non è possibile accedere alle condivisioni WebDAV dal computer client.

  Per annullare il risultato della soluzione alternativa.

  Per riattivare il servizio WebClient, attenersi alla procedura seguente:

  1. Fare clic su Start, scegliere Esegui, digitare Services.msc e fare clic su Continua.
  2. Fare clic con il pulsante destro su Servizio WebClient, quindi selezionare Proprietà.
  3. Modificare il tipo di avvio su Automatico. Se il servizio non viene eseguito, fare clic su Start.
  4. Fare clic su OK e uscire dall'applicazione di gestione.
• Bloccare le porte TCP 139 e 445 a livello del firewall

  Queste porte vengono utilizzate per avviare una connessione con il componente interessato. Bloccando le porte TCP 139 e 445 a livello del firewall è quindi possibile evitare che i sistemi protetti dal firewall subiscano attacchi che tentino di sfruttare la vulnerabilità. Microsoft consiglia di bloccare tutte le comunicazioni in ingresso non richieste provenienti da Internet, per impedire gli attacchi che potrebbero utilizzare altre porte. Per ulteriori informazioni sulle porte, vedere l'articolo di TechNet Assegnazione delle porte TCP e UDP.

  Impatto della soluzione alternativa. Numerosi servizi Windows utilizzano le porte interessate. Il blocco della connettività delle porte potrebbe impedire il funzionamento di diversi servizi o applicazioni. Di seguito vengono elencati alcuni servizi o applicazioni potenzialmente interessati dal problema:

  • Applicazioni che utilizzano SMB (CIFS)
  • Applicazioni che utilizzano Mailslot o named pipe (RPC su SMB)
  • Server (condivisione file e stampa)
  • Criteri di gruppo
  • Accesso rete
  • DFS (Distributed File System)
  • Licenze Terminal Server
  • Spooler di stampa
  • Browser di computer
  • RPC Locator
  • Servizio Fax
  • Servizio di indicizzazione
  • Avvisi e registri di prestazioni
  • Systems Management Server
  • Servizio registrazione licenze

  Per annullare il risultato della soluzione alternativa. Disabilitare il blocco delle porte TCP 139 e 445 a livello del firewall. Per ulteriori informazioni sulle porte, vedere Assegnazione delle porte TCP e UDP.

Qual è la portata o l'impatto di questa vulnerabilità? 
Si tratta di una vulnerabilità legata all'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, un utente malintenzionato può assumere il pieno controllo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

Quali sono le cause di questa vulnerabilità? 
La vulnerabilità è dovuta al fatto che Windows Mail e Windows Meeting Space limitano in maniera errata il percorso utilizzato per il caricamento delle librerie esterne.

Che cos'è Windows Mail? 
Windows Mail (in precedenza Outlook Express) è uno strumento di comunicazione online da utilizzare con Windows.

Che cos'è Windows Meeting Space? 
Windows Meeting Space consente di condividere documenti, programmi o il proprio desktop con altri utenti i cui computer eseguono Windows Vista. Windows Meeting Space utilizza la tecnologia peer-to-peer e configura automaticamente una rete apposita se non è in grado di individuare una rete esistente. Per ulteriori informazioni, vedere Domande frequenti su Windows Meeting Space.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità? 
Sfruttando questa vulnerabilità, un utente malintenzionato può eseguire codice non autorizzato nel contesto dell'utente collegato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato può assumere il controllo completo del sistema interessato. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.

In quale modo un utente malintenzionato può sfruttare questa vulnerabilità? 
Un utente malintenzionato può convincere un utente ad aprire un file legittimo (ad esempio un file .eml o .wcinv) situato nella stessa directory di rete di un file della libreria di collegamento dinamico (DLL) appositamente predisposto. Poi, durante l'apertura del file legittimo, Windows Mail o Windows Meeting Space può tentare di caricare il file DLL ed eseguire qualsiasi codice esso contenga.

In uno scenario di attacco tramite posta elettronica, un utente malintenzionato può sfruttare la vulnerabilità inviando ad un utente un file legittimo (ad esempio un file .eml o .wcinv), convincendolo a salvare l'allegato in una directory che contiene un file DLL appositamente predisposto e ad aprire il file legittimo. Poi, durante l'apertura del file legittimo, Windows Mail o Windows Meeting Space può tentare di caricare il file DLL ed eseguire qualsiasi codice esso contenga.

In uno scenario di attacco di rete, un utente malintenzionato può collocare un file legittimo (ad esempio un file .eml o .wcinv) e un file DLL appositamente predisposto in una condivisione di rete, un percorso UNC o WebDAV e convincere poi l'utente ad aprire il file.

Quali sono i sistemi principalmente interessati da questa vulnerabilità? 
I sistemi dove Windows Mail o Windows Meeting Space sono utilizzati, compresi i server terminal e le workstation, sono maggiormente a rischio. I server possono essere maggiormente a rischio se gli amministratori consentono agli utenti di accedere ai server ed eseguire programmi. Tuttavia, le procedure consigliate scoraggiano fortemente questa attribuzione di privilegi.

Quali sono gli scopi dell'aggiornamento? 
L'aggiornamento risolve la vulnerabilità correggendo il modo in cui Windows Mail e Windows Meeting Space caricano le librerie esterne.

Questa vulnerabilità è correlata all'Advisory Microsoft sulla sicurezza 2269637? 
Sì, questa vulnerabilità è correlata alla classe vulnerabilità descritte nell'Advisory Microsoft sulla sicurezza 2269637 che interessano le modalità con cui le applicazioni caricano le librerie esterne. Questo aggiornamento per la protezione risolve un'istanza particolare di questo tipo di vulnerabilità.

Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente? 
No. Microsoft ha ricevuto informazioni sulla vulnerabilità grazie a un'indagine coordinata.

Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità? 
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.

Tabella di riferimento

La seguente tabella contiene le informazioni relative all'aggiornamento per la protezione per questo software. Per ulteriori informazioni, consultare la sottosezione Informazioni per la distribuzione di questa sezione.