Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 2269637

Il caricamento della libreria non sicuro può consentire l'esecuzione di codice in modalità remota

Data di pubblicazione: 23 agosto 2010 | Data di aggiornamento: 13 maggio 2014

Versione: 19.0

Informazioni generali

Riepilogo

Microsoft è a conoscenza della pubblicazione di una ricerca che contiene i dettagli di un vettore di attacco remoto per una categoria di vulnerabilità che interessa il modo in cui le applicazioni caricano le librerie esterne.

Questo problema è causato da specifiche procedure di programmazione non sicure che consentono il cosiddetto "inserimento binario" o "attacchi del precaricamento della DLL". Queste pratiche possono consentire a un utente malintenzionato di eseguire in modalità remota il codice arbitrario nel contesto dell'utente che esegue l'applicazione vulnerabile quando questi apre un file di dubbia provenienza.

Il problema è causato dalle applicazioni che passano un percorso insufficientemente qualificato quando viene caricata una libreria esterna. Microsoft ha pubblicato una guida per gli sviluppatori nell'articolo MSDN, Protezione della libreria di collegamento dinamico, su come utilizzare correttamente le API (Application Programming Interfaces) disponibili per evitare questo tipo di vulnerabilità. Microsoft sta anche cercando di aiutare attivamente i fornitori di terze parti attraverso il programma di ricerca delle vulnerabilità di Microsoft per informarli sui fattori attenuanti disponibili nel sistema operativo. Microsoft sta inoltre analizzando quali delle proprie applicazioni possono essere interessate.

Oltre a questa guida, Microsoft sta pubblicando uno strumento che consente agli amministratori di sistema di contrastare il rischio di questo nuovo vettore di attacco alterando il funzionamento del caricamento della libreria in tutto il sistema o per applicazioni specifiche. Questo advisory descrive la funzionalità di questo strumento e altre azioni che possono essere intraprese dai clienti per proteggere i propri sistemi.

Fattori attenuanti:

  • Questo problema interessa solo le applicazioni che non caricano le librerie esterne in modo sicuro. Microsoft ha precedentemente pubblicato delle linee guida per gli sviluppatori nell'articolo MSDN, Protezione della libreria di collegamento dinamico, che consiglia dei metodi alternativi sicuri contro questi attacchi per caricare le librerie.
  • L'attacco è possibile solo se l'utente visita un file system remoto o una condivisione WebDAV di dubbia provenienza e apre un documento da questa posizione che è poi caricato da un'applicazione vulnerabile.
  • Il protocollo di condivisione dei file SMB è spesso disattivato a livello di firewall perimetrale. Ciò limita i possibili vettori di attacco per questa vulnerabilità.

Aggiornamenti relativi alla sezione Caricamento della libreria non sicuro:

Aggiornamento rilasciato il 9 novembre 2010

  • Il Bollettino Microsoft sulla sicurezza MS10-087 "Alcune vulnerabilità di Microsoft Office possono consentire l'esecuzione di codice in modalità remota" fornisce il supporto per un componente vulnerabile di Microsoft Office che è interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.

Aggiornamenti rilasciati il 14 dicembre 2010

  • Il Bollettino Microsoft sulla sicurezza MS10-093, "Una vulnerabilità in Windows Movie Maker può consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Windows che è interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.
  • Il Bollettino Microsoft sulla sicurezza MS10-094, "Una vulnerabilità di Windows Media Encoder può consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Windows che è interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.
  • Il Bollettino Microsoft sulla sicurezza MS10-095, "Una vulnerabilità in Microsoft Windows può consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Windows che è interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.
  • Il Bollettino Microsoft sulla sicurezza MS10-096, "Una vulnerabilità nella Rubrica di Windows può consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Windows che è interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.
  • Il Bollettino Microsoft sulla sicurezza MS10-097, "Il caricamento di librerie non sicure durante la procedura guidata di registrazione della connessione Internet può consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Windows che è interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.

Aggiornamento rilasciato l'11 gennaio 2011

  • Il Bollettino Microsoft sulla sicurezza MS11-001, "Una vulnerabilità nel Manager di backup di Windows può consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Windows che è interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.

Aggiornamento rilasciato l'8 febbraio 2011

  • Il bollettino Microsoft sulla sicurezza MS11-003, "Aggiornamento cumulativo per la protezione di Internet Explorer", fornisce il supporto per un componente vulnerabile di Internet Explorer interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.

Aggiornamenti rilasciati l'8 marzo 2011

  • Il Bollettino Microsoft sulla sicurezza MS11-015, "Alcune vulnerabilità di Windows Media possono consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Windows che è interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.
  • Il Bollettino Microsoft sulla sicurezza MS11-016, "Una vulnerabilità in Microsoft Groove può consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Office che è interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.
  • Il Bollettino Microsoft sulla sicurezza MS11-017, "Una vulnerabilità del client desktop remoto può consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Windows che è interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.

Aggiornamenti rilasciati il 12 aprile 2011

  • Il Bollettino Microsoft sulla sicurezza MS11-023, "Alcune vulnerabilità in Microsoft Office possono consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Office interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritta in questo advisory.
  • Il Bollettino Microsoft sulla sicurezza MS11-025, "Una vulnerabilità nella libreria di Microsoft Foundation Class (MFC) può consentire l'esecuzione di codice in modalità remota", fornisce supporto per un componente vulnerabile in alcune applicazioni create utilizzando la libreria Microsoft Foundation Class (MFC) interessata dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritta in questo advisory.

Aggiornamenti rilasciati il 12 luglio 2011

  • L'aggiornamento nell'articolo della Microsoft Knowledge Base 2533623 implementa miglioramenti dell'API (Application Programming Interface) in Windows per aiutare gli sviluppatori a caricare le librerie esterne in modo corretto e sicuro. Questo aggiornamento per Windows è disponibile nella categoria degli aggiornamenti ad alta priorità per i clienti che non hanno già ricevuto l'aggiornamento tramite aggiornamento automatico.

    Gli sviluppatori possono assicurare che i loro programmi carichino le DLL correttamente per evitare attacchi di tipo "precaricamento di DLL" o "con caricamento di file binari" seguendo le linee guida fornite nell'articolo della Microsoft Knowledge Base 2533623 per sfruttare i miglioramenti dell'API forniti da questo aggiornamento.

  • Il Bollettino Microsoft sulla sicurezza MS11-055, "Una vulnerabilità in Microsoft Visio può consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Office che è interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.

Aggiornamento rilasciato il 9 agosto, 2011

  • Il Bollettino Microsoft sulla sicurezza MS11-059, "Una vulnerabilità in Data Access Components può consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Windows interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.

Aggiornamenti rilasciati il 13 settembre 2011

  • Il Bollettino Microsoft sulla sicurezza MS11-071, "Alcune vulnerabilità nei componenti di Windows possono consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Windows che è interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.
  • Il Bollettino Microsoft sulla sicurezza MS11-073, "Alcune vulnerabilità in Microsoft Office possono consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Office interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritta in questo advisory.

Aggiornamenti rilasciati in data 11 ottobre 2011

  • Il Bollettino Microsoft sulla sicurezza MS11-075, "Una vulnerabilità in Microsoft Active Accessibility può consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Windows interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.
  • Il Bollettino Microsoft sulla sicurezza MS11-076, "Una vulnerabilità in Windows Media Center può consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Windows interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.

Aggiornamento rilasciato l'8 novembre 2011

  • Il Bollettino Microsoft sulla sicurezza MS11-085, "Una vulnerabilità in Windows Mail e Windows Meeting Space può consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Windows che è interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.

Aggiornamenti rilasciati il 13 dicembre 2011

  • Il bollettino Microsoft sulla sicurezza MS11-099, "Aggiornamento cumulativo per la protezione di Internet Explorer", fornisce il supporto per un componente vulnerabile di Microsoft Windows interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.
  • Il bollettino Microsoft sulla sicurezza MS11-094, "Alcune vulnerabilità in Microsoft PowerPoint possono consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Office interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritta in questo advisory.

Aggiornamenti rilasciati il 14 febbraio 2012

  • Il Bollettino Microsoft sulla sicurezza MS12-012, "La vulnerabilità del Pannello di controllo Sistema di gestione colori può consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Windows interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.
  • Il Bollettino Microsoft sulla sicurezza MS12-014, "La vulnerabilità nel codec Indeo può consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Windows che è interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.

Aggiornamento rilasciato il 13 marzo 2012

  • Il Bollettino Microsoft sulla sicurezza MS12-022, "Una vulnerabilità in Expression Design può consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Expression Design che è interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.

Aggiornamenti rilasciati il 12 giugno 2012

  • Il bollettino Microsoft sulla sicurezza MS12-039, "Alcune vulnerabilità in Lync possono consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Lync interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.

Aggiornamento rilasciato il 10 luglio 2012

  • Il bollettino Microsoft sulla sicurezza MS12-046, "Una vulnerabilità in Visual Basic, Applications Edition può consentire l'esecuzione di codice in modalità remota", fornisce supporto per un componente vulnerabile di Microsoft Visual Basic Visual Basic, Applications Edition interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.

Aggiornamento rilasciato il 13 novembre 2012

  • Il Bollettino Microsoft sulla sicurezza MS12-074, "Alcune vulnerabilità in .NET Framework possono consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft .NET Framework che è interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritto in questo advisory.

Aggiornamento rilasciato il 13 maggio 2014

  • Il bollettino Microsoft sulla sicurezza MS14-023, "Alcune vulnerabilità in Microsoft Office possono consentire l'esecuzione di codice in modalità remota", fornisce il supporto per un componente vulnerabile di Microsoft Office interessato dalla categoria di vulnerabilità di caricamento della libreria non sicuro descritta in questo advisory.

Microsoft sta esaminando le proprie applicazioni per scoprire se sono interessate dalle vulnerabilità del caricamento non sicuro delle librerie e adotterà misure appropriate per proteggere i clienti.

Dove si possono trovare indicazioni per gli sviluppatori su come evitare questo problema? 
Il 14 giugno 2011, l'aggiornamento nell'articolo della Microsoft Knowledge Base 2533623 ha implementato miglioramenti dell'API (Application Programming Interface) in Windows per aiutare gli sviluppatori a caricare le librerie esterne in modo corretto e sicuro. Gli sviluppatori devono seguire le linee guida fornite nell'articolo della Microsoft Knowledge Base 2533623 per sfruttare i miglioramenti dell'API forniti dall'aggiornamento.

Microsoft ha pubblicato anche l'articolo MSDN, Protezione della libreria di collegamento dinamico, che descrive le varie API (Application Programming Interfaces) disponibili in Windows che consentono agli sviluppatori di caricare le librerie esterne in modo corretto e sicuro.

Microsoft sta collaborando con gli sviluppatori attraverso il programma di ricerca delle vulnerabilità di Microsoft per condividere informazioni su come evitare questa vulnerabilità nei loro prodotti. I fornitori del software e gli ISV che hanno domande sui fattori attenuanti disponibili in Windows per questo problema sono invitati a contattare msvr@microsoft.com per ulteriori informazioni.

Quanto è esteso il problema?
Microsoft è a conoscenza della pubblicazione di una ricerca da parte di un gruppo di ricercatori di sicurezza, che descrive un nuovo vettore di attacco remoto per queste vulnerabilità note. Le applicazioni sono interessate quando qualificano in modo insufficiente il percorso di una libreria esterna.

A cosa è dovuta questa minaccia? 
Questo sfruttamento della vulnerabilità può verificarsi quando le applicazioni non specificano direttamente il percorso completo alla libreria che intendono caricare. A seconda di come viene sviluppata l'applicazione, Windows, istruito dall'applicazione, ricerca delle posizioni specifiche nel file system per la libreria necessaria e, se lo trova, carica il file.

Alcune API (Application Programming Interfaces), come SearchPath, utilizzano un ordine di ricerca inteso per i documenti e non per le librerie di applicazioni. Le applicazioni che utilizzano questa API possono tentare di caricare la libreria dalla directory di lavoro corrente (CWD), che potrebbe essere controllata da un utente malintenzionato. Anche altre API possono comportarsi in modo simile, quando vengono utilizzate nei modi specifici descritti nell'articolo MSDN, Protezione della libreria di collegamento dinamico.

In caso di condivisioni di rete, come WebDAV o SMB, un utente malintenzionato che può scrivere in questa posizione potrebbe caricare una libreria appositamente predisposta. In questo scenario, l'applicazione tenta di caricare la libreria appositamente predisposta, che può eseguire poi il codice arbitrario sul sistema client nel contesto di protezione dell'utente connesso.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente connesso. Se l'utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

In alcuni casi, un utente malintenzionato che ha già accesso a una cartella locale sul sistema potrebbe utilizzare una vulnerabilità di precaricamento della DLL in un'applicazione locale che viene eseguita con privilegi elevati, per elevare il proprio accesso al sistema.

In che modo un utente malintenzionato può sfruttare questa vulnerabilità? 
Questa vulnerabilità richiede che l'utente malintenzionato convinca l'utente ad aprire un file utilizzando un programma vulnerabile, da una posizione di rete remota. Quando l'applicazione carica una delle sue librerie richieste o facoltative, l'applicazione vulnerabile potrebbe tentare di caricare la libreria dalla posizione di rete remota. Se l'utente malintenzionato fornisce una libreria appositamente predisposta in questa posizione, egli potrebbe riuscire ad eseguire il codice arbitrario sul computer dell'utente.

Quali sono i vettori di attacco remoti per questa vulnerabilità?
Questa vulnerabilità può essere sfruttata nei file system di rete come (ma non solo) WebDAV e SMB. Un utente malintenzionato può offrire il download di un file in qualsiasi protocollo del genere. Se l'applicazione utilizzata per aprire questo file non carica le librerie esterne in modo sicuro, l'utente che apre il file può essere esposto a questa vulnerabilità.

Il problema descritto è una vulnerabilità a livello di sicurezza che richiede la pubblicazione di un aggiornamento Microsoft? 
Questa vulnerabilità potrebbe richiedere la pubblicazione da parte dei fornitori di terze parti di un aggiornamento per la protezione per le rispettive applicazioni interessate. Come parte di questo advisory sulla sicurezza, Microsoft sta rilasciando uno strumento attenuante facoltativo che aiuta i clienti a risolvere il problema del rischio del vettore di attacco remoto attraverso una impostazione di configurazione per applicazione e globale.

Microsoft sta anche esaminando le proprie applicazioni per scoprire se sono interessate dalle vulnerabilità del precaricamento della DLL e adotterà misure appropriate per proteggere i clienti.

Che cos'è una libreria di collegamento dinamico (DLL)?
Una DLL è una libreria che contiene codici e dati che possono essere utilizzati da più di un programma allo stesso tempo. Ad esempio, nei sistemi operativi Windows, la DLL Comdlg32 esegue delle funzioni comuni relative alle finestre di dialogo. Quindi, ogni programma può utilizzare la funzionalità contenuta in questa DLL per implementare una finestra di dialogo Apri. Ciò promuove il riutilizzo di un codice e un utilizzo efficiente della memoria.

Utilizzando una DLL, un programma può essere modularizzato in componenti separati. Ad esempio, un programma di contabilità può essere venduto in moduli. Ogni modulo può essere caricato nel programma principale in fase di esecuzione, se è installato quel modulo. Poiché i moduli sono separati, i tempi di caricamento del programma sono più rapidi e un modulo viene caricato solo quando è richiesta quella funzionalità.

Che cos'è la Web-based Distributed Authoring and Versioning (WebDAV)?
Web-based Distribuited Authoring and Versioning (WebDAV) estende il protocollo HTTP/1.1 per consentire ai client di pubblicare, bloccare e gestire risorse sul Web. Integrato in IIS, WebDAV consente ai client di eseguire quanto segue:

  • Manipolare risorse in una directory di pubblicazione WebDAV sul proprio server. Ad esempio, gli utenti che sono stati assegnati ai diritti corretti possono copiare e spostare i file in una directory WebDAV.
  • Modificare le proprietà associate a certe risorse. Ad esempio, un utente può sovrascrivere e recuperare le informazioni di proprietà di un file.
  • Bloccare e sbloccare risorse in modo che più utenti possano leggere un file simultaneamente.
  • Ricercare il contenuto e le proprietà di file in una directory WebDAV.

Che cos'è il protocollo SMB (Server Message Block) di Microsoft?
Il protocollo SMB (Server Message Block) di Microsoft è un protocollo di condivisione file di rete Microsoft utilizzato in Microsoft Windows. Per ulteriori informazioni su SMB, vedere l'articolo MSDN Protocollo SMB di Microsoft e panoramica sul protocollo CIFS.

  • Applicare l'aggiornamento per il software interessato

    Fare riferimento alla sezione Aggiornamenti relativi al caricamento non sicuro delle librerie per gli aggiornamenti disponibili.

  • Applicazione di soluzioni alternative

    Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina il problema indicato, ma consente di bloccare i vettori di attacco noti prima che venga messo a disposizione un aggiornamento per la protezione. Consultare la prossima sezione, Soluzioni Alternative, per ulteriori informazioni.

Soluzioni alternative

  • Disattivare il caricamento di librerie da WebDAV e dalle condivisioni di rete remote

    Nota Vedere l'articolo della Microsoft Knowledge Base 2264107 per distribuire una soluzione alternativa che consenta ai clienti di disattivare il caricamento delle librerie da reti remote o da condivisioni WebDAV. Questo strumento può essere configurato per rifiutare il caricamento non sicuro su una base per-applicazione o di sistema globale.

    I clienti che vengono informati dal proprio fornitore che un'applicazione è vulnerabile possono utilizzare questo strumento per contribuire alla protezione contro i tentativi di sfruttamento del problema.

    Nota Consultare l'articolo della Microsoft Knowledge Base 2264107 al fine di utilizzare la soluzione di fix automatico di Microsoft per implementare la chiave del Registro di sistema e bloccare il caricamento di librerie per le condivisioni SMB e WebDAV. Tenere presente che questa soluzione di fix automatico richiede di installare innanzitutto la soluzione alternativa descritta anche nell'articolo della Microsoft Knowledge Base 2264107. Questa soluzione di fix implementa solo la chiave del Registro di sistema e richiede l'utilizzo della soluzione alternativa per essere efficace. Si consiglia agli amministratori di leggere attentamente l'articolo della KB prima di implementare questa soluzione di fix.

     

  • Disattivare il servizio Web Client

    La disattivazione del servizio WebClient consente di proteggere i sistemi interessati dai tentativi di sfruttamento della vulnerabilità bloccando il vettore di attacco remoto più comune attraverso il servizio Client Web Distributed Authoring and Versioning (WebDAV). Dopo l'applicazione di questa soluzione alternativa, gli utenti malintenzionati remoti in grado di sfruttare la vulnerabilità possono comunque indurre il sistema ad eseguire programmi installati sul computer dell'utente o sull'area locale (LAN); tuttavia, agli utenti viene richiesta una conferma prima dell'apertura di programmi non autorizzati da Internet.

    Per disattivare il servizio Web Client, attenersi alla procedura seguente:

    1. Fare clic su Start, scegliere Esegui, digitare Services.msc e fare clic su Continua.
    2. Fare clic con il pulsante destro su Servizio WebClient, quindi selezionare Proprietà.
    3. Modificare il tipo di avvio su Disattivato. Se il servizio è in esecuzione, scegliere Stop.
    4. Fare clic su OK e uscire dall'applicazione di gestione.

    Impatto della soluzione alternativa. Se il servizio WebClient è disabilitato, le richieste di Web Distributed Authoring and Versioning (WebDAV) non vengono trasmesse. Inoltre, i servizi che dipendono esplicitamente dal servizio WebClient non vengono avviati e un messaggio di errore viene registrato nel registro di sistema. Ad esempio, non è possibile accedere alle condivisioni WebDAV dal computer client.

    Come annullare il risultato della soluzione alternativa.

    Per riattivare il servizio WebClient, attenersi alla procedura seguente:

    1. Fare clic su Start, scegliere Esegui, digitare Services.msc e fare clic su Continua.
    2. Fare clic con il pulsante destro su Servizio WebClient, quindi selezionare Proprietà.
    3. Modificare il tipo di avvio su Automatico. Se il servizio non viene eseguito, fare clic su Start.
    4. Fare clic su OK e uscire dall'applicazione di gestione.

     

  • Bloccare le porte TCP 139 e 445 a livello del firewall

    Queste porte vengono utilizzate per avviare una connessione con il componente interessato. Bloccando le porte TCP 139 e 445 a livello del firewall è quindi possibile evitare che i sistemi protetti dal firewall subiscano attacchi che tentino di sfruttare la vulnerabilità. Microsoft consiglia di bloccare tutte le comunicazioni in ingresso non richieste provenienti da Internet, per impedire gli attacchi che potrebbero utilizzare altre porte. Per ulteriori informazioni sulle porte, vedere l'articolo di TechNet Assegnazione delle porte TCP e UDP.

    Impatto della soluzione alternativa. Numerosi servizi Windows utilizzano le porte interessate. Il blocco della connettività delle porte potrebbe impedire il funzionamento di diversi servizi o applicazioni. Di seguito vengono elencati alcuni servizi o applicazioni potenzialmente interessati dal problema:

    • Applicazioni che utilizzano SMB (CIFS)
    • Applicazioni che utilizzano Mailslot o named pipe (RPC su SMB)
    • Server (condivisione file e stampa)
    • Criteri di gruppo
    • Accesso rete
    • DFS (Distributed File System)
    • Licenze Terminal Server
    • Spooler di stampa
    • Browser di computer
    • RPC Locator
    • Servizio Fax
    • Servizio di indicizzazione
    • Avvisi e registri di prestazioni
    • Systems Management Server
    • Servizio registrazione licenze

    Come annullare il risultato della soluzione alternativa. Disabilitare il blocco delle porte TCP 139 e 445 a livello del firewall. Per ulteriori informazioni sulle porte, vedere Assegnazione delle porte TCP e UDP.

 

Ulteriori interventi consigliati

  • Installare degli aggiornamenti dai fornitori di terze parti che risolvono il problema del caricamento non sicuro delle librerie

    I fornitori di terze parti potrebbero rilasciare degli aggiornamenti che risolvono il caricamento non sicuro delle librerie nei loro prodotti. Microsoft consiglia ai clienti di contattare il proprio fornitore se si desidera sapere se un'applicazione specifica è interessata o meno da questo problema e di controllare se ci sono aggiornamenti per la protezione pubblicati da questi fornitori.

  • Proteggere il proprio PC

    Microsoft consiglia di seguire le indicazioni disponibili in Proteggi il tuo Computer per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni, vedere Microsoft Safety & Security Center.

  • Tenere il software Microsoft aggiornato

    Si consiglia a tutti gli utenti dei software Microsoft di applicare gli ultimi aggiornamenti per la protezione Microsoft al fine di garantire la massima sicurezza del computer. Per verificare se il software è aggiornato, visitare il sito Microsoft Update, per eseguire la scansione del computer e installare eventuali aggiornamenti ad alta priorità. Se l'aggiornamento automatico è attivato e configurato per fornire aggiornamenti dei prodotti Microsoft, gli aggiornamenti vengono forniti quando sono rilasciati, ma è necessario verificare che sono installati.

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Commenti e suggerimenti

Supporto

Dichiarazione di non responsabilità

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (23 agosto 2010): Pubblicazione dell'advisory.
  • V1.1 (31 agosto 2010): È stato aggiunto un collegamento all'articolo della Microsoft Knowledge Base 2264107 con lo scopo di fornire una soluzione di fix automatico di Microsoft per la soluzione alternativa, Disattivare il caricamento di librerie da WebDAV e dalle condivisioni di rete remote.
  • V2.0 (9 novembre 2010): È stato aggiunto il Bollettino Microsoft sulla sicurezza MS10-087, "Alcune vulnerabilità di Microsoft Office possono consentire l'esecuzione di codice in modalità remota" agli Aggiornamenti relativi alla sezione Caricamento della libreria non sicuro.
  • V3.0 (14 dicembre 2010): Sono stati aggiunti i seguenti Bollettini Microsoft sulla sicurezza agli Aggiornamenti relativi alla sezione Caricamento della libreria non sicuro: MS10-093, "Una vulnerabilità in Windows Movie Maker può consentire l'esecuzione di codice in modalità remota"; MS10-094, "Una vulnerabilità di Windows Media Encoder può consentire l'esecuzione di codice in modalità remota"; MS10-095, "Una vulnerabilità in Microsoft Windows può consentire l'esecuzione di codice in modalità remota"; MS10-096, "Una vulnerabilità nella Rubrica di Windows può consentire l'esecuzione di codice in modalità remota" e MS10-097, "Il caricamento di librerie non sicure durante la procedura guidata di registrazione della connessione Internet può consentire l'esecuzione di codice in modalità remota".
  • V4.0 (11 gennaio 2011): È stato aggiunto il bollettino Microsoft sulla sicurezza MS11-001, "Una vulnerabilità in Windows Backup Manager potrebbe consentire l'esecuzione di codice in modalità remota", agli Aggiornamenti relativi alla sezione Caricamento della libreria non sicuro.
  • V5.0 (8 febbraio 2011): È stato aggiunto il Bollettino Microsoft sulla sicurezza MS11-003, "Aggiornamento cumulativo per la protezione di Internet Explorer", agli Aggiornamenti relativi alla sezione Caricamento della libreria non sicuro.
  • V6.0 (8 marzo 2011): Sono stati aggiunti i seguenti Bollettini Microsoft sulla sicurezza agli Aggiornamenti relativi alla sezione Caricamento della libreria non sicuro: MS11-015, "Alcune vulnerabilità di Windows Media possono consentire l'esecuzione di codice in modalità remota"; MS11-016, "Una vulnerabilità in Microsoft Groove può consentire l'esecuzione di codice in modalità remota" e MS11-017, "Una vulnerabilità del client desktop remoto può consentire l'esecuzione di codice in modalità remota".
  • V7.0 (12 aprile 2011): Sono stati aggiunti i seguenti Bollettini Microsoft sulla sicurezza agli Aggiornamenti relativi alla sezione Caricamento della libreria non sicuro: MS11-023, "Alcune vulnerabilità in Microsoft Office possono consentire l'esecuzione di codice in modalità remota" e MS11-025, "Una vulnerabilità nella libreria di Microsoft Foundation Class (MFC) può consentire l'esecuzione di codice in modalità remota".
  • V8.0 (12 luglio 2011): È stato aggiunto l'aggiornamento nell'articolo della Microsoft Knowledge Base 2533623 e l'aggiornamento "Una vulnerabilità in Microsoft Visio può consentire l'esecuzione di codice in modalità remota" nel Bollettino Microsoft sulla sicurezza MS11-055 agli aggiornamenti relativi alla sezione Caricamento di librerie non sicure. L'aggiornamento nell'articolo della Microsoft Knowledge Base 2533623 implementa miglioramenti dell'API (Application Programming Interface) in Windows per aiutare gli sviluppatori a caricare le librerie esterne in modo corretto e sicuro.
  • V9.0 (9 agosto 2011): È stato aggiunto il Bollettino Microsoft sulla sicurezza MS11-059, "Una vulnerabilità in Data Access Components può consentire l'esecuzione di codice in modalità remota", agli Aggiornamenti relativi alla sezione Caricamento della libreria non sicuro.
  • V10.0 (13 settembre 2011): Sono stati aggiunti i seguenti Bollettini Microsoft sulla sicurezza agli Aggiornamenti relativi alla sezione Caricamento della libreria non sicuro: MS11-071, "Una vulnerabilità nei componenti di Windows può consentire l'esecuzione di codice in modalità remota" e MS11-073, "Alcune vulnerabilità di Microsoft Office possono consentire l'esecuzione di codice in modalità remota".
  • V11.0 (11 ottobre 2011): Sono stati aggiunti i seguenti Bollettini Microsoft sulla sicurezza agli Aggiornamenti relativi alla sezione Caricamento della libreria non sicuro: MS11-075, "Una vulnerabilità in Microsoft Active Accessibility può consentire l'esecuzione di codice in modalità remota" e MS11-076, "Una vulnerabilità di Windows Media Center può consentire l'esecuzione di codice in modalità remota".
  • V12.0 (8 novembre 2011): È stato aggiunto il seguente Bollettino Microsoft sulla sicurezza agli Aggiornamenti relativi alla sezione Caricamento della libreria non sicuro: MS11-085, "Una vulnerabilità in Windows Mail e Windows Meeting Space può consentire l'esecuzione di codice in modalità remota".
  • V13.0 (13 dicembre 2011): Sono stati aggiunti i seguenti Bollettini Microsoft sulla sicurezza agli Aggiornamenti relativi alla sezione Caricamento della libreria non sicuro: MS11-099, "Aggiornamento cumulativo per la protezione per Internet Explorer" e MS11-094, "Alcune vulnerabilità in Microsoft PowerPoint possono consentire l'esecuzione di codice in modalità remota".
  • V14.0 (14 febbraio 2012): Sono stati aggiunti i seguenti Bollettini Microsoft sulla sicurezza agli Aggiornamenti relativi alla sezione Caricamento della libreria non sicuro: MS12-012, "La vulnerabilità del Pannello di controllo Sistema di gestione colori può consentire l'esecuzione di codice in modalità remota" e MS12-014, "La vulnerabilità nel codec Indeo può consentire l'esecuzione di codice in modalità remota".
  • V15.0 (13 marzo 2012): È stato aggiunto il seguente Bollettino Microsoft sulla sicurezza agli Aggiornamenti relativi alla sezione Caricamento della libreria non sicuro: MS12-022, "Una vulnerabilità in Expression Design può consentire l'esecuzione di codice in modalità remota".
  • V16.0 (12 giugno 2012): È stato aggiunto il seguente Bollettino Microsoft sulla sicurezza agli Aggiornamenti relativi alla sezione Caricamento della libreria non sicuro: MS12-039, "Alcune vulnerabilità in Lync possono consentire l'esecuzione di codice in modalità remota".
  • V17.0 (10 luglio 2012): È stato aggiunto il seguente Bollettino Microsoft sulla sicurezza agli Aggiornamenti relativi alla sezione Caricamento della libreria non sicuro: MS12-046 "Una vulnerabilità in Visual Basic, Applications Edition può consentire l'esecuzione di codice in modalità remota."
  • V 18.0 (13 novembre 2012): È stato aggiunto il seguente Bollettino Microsoft sulla sicurezza alla sezione Aggiornamenti relativi alla sezione Caricamento della libreria non sicuro : MS12-074, "Alcune vulnerabilità in .NET Framework possono consentire l'esecuzione di codice in modalità remota".
  • V19.0 (13 maggio 2014): È stato aggiunto il seguente Bollettino Microsoft sulla sicurezza alla sezione Aggiornamenti relativi alla sezione Caricamento della libreria non sicuro : MS14-TBD, "Una vulnerabilità di Microsoft Office può consentire l'esecuzione di codice in modalità remota".

Pagina generata 07-5-2014 16:30Z-07:00.
Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft