Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 2264072

Acquisizione di privilegi più elevati eludendo l'isolamento del servizio Windows

Data di pubblicazione: martedì 10 agosto 2010

Versione: 1.0

Informazioni generali

Riepilogo

Microsoft è a conoscenza di attacchi potenziali che sfruttano la funzionalità di isolamento del servizio Windows per ottenere l'acquisizione di privilegi più elevati. In questo advisory vengono presi in esame scenari di attacco potenziali e vengono suggeriti interventi consigliati per la protezione contro questo problema. Questo advisory offre inoltre un aggiornamento non correlato alla protezione per uno dei potenziali scenari di attacco attraverso le interfacce TAPI (Windows Telephony Application Programming Interfaces).

Questo problema interessa gli scenari in cui il codice non attendibile viene eseguito all'interno di un processo di proprietà dall'account NetworkService. In questi scenari, un utente malintenzionato può ottenere privilegi più elevati passando dall'esecuzione di processi come account NetworkService all'esecuzione di processi come account LocalSystem su un server di destinazione. Un utente malintenzionato che ha ottenuto privilegi più elevati passando dall'esecuzione di processi come account LocalSystem potrebbe eseguire codice non autorizzato e acquisire il controllo completo del sistema interessato. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi.

Sebbene nella maggior parte delle situazioni il codice non attendibile non viene eseguito con l'identità NetworkService, sono stati identificati gli scenari seguenti come possibili eccezioni:

  • I sistemi che eseguono Internet Information Services (IIS) in una configurazione non predefinita sono maggiormente a rischio, in particolare se IIS viene eseguito in Windows Server 2003 e Windows Server 2008, perché l'identità del processo di lavoro predefinita su questi sistemi è NetworkService.
  • I sistemi che eseguono SQL Server e in cui agli utenti vengono concessi privilegi di amministratore per SQL Server sono maggiormente a rischio.
  • I sistemi che eseguono interfacce TAPI (Windows Telephony Application Programming Interfaces) sono maggiormente a rischio.

Per ulteriori informazioni sugli scenari sopra illustrati, vedere la sezione Domande frequenti. Per lo scenario TAPI, Microsoft fornisce un aggiornamento non correlato alla protezione. Per ulteriori informazioni sull'aggiornamento non correlato alla protezione, vedere la sezione Domande frequenti specifiche sulla vulnerabilità legata alle interfacce TAPI (Windows Telephony Application Programming Interfaces) - CVE-2010-1886.

Inoltre, tramite il programma Microsoft Active Protections Program (MAPP) stiamo collaborando attivamente con i nostri partner per fornire loro informazioni da utilizzare per offrire maggiore protezione ai clienti.

Dettagli sull'advisory

Documentazione di riferimento per il problema

Per ulteriori informazioni su questo problema, vedere la seguente documentazione di riferimento:

RiferimentiIdentificazione
Riferimento CVE CVE-2010-1886
Articolo della Microsoft Knowledge Base 2264072
Articolo della Microsoft Knowledge Base sull'aggiornamento non correlato alla protezione TAPI 982316

Software interessato e Software non interessato

In questo advisory vengono presi in esame i seguenti prodotti software.

Software interessato
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP2 per sistemi Itanium
Windows Vista Service Pack 1 e Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2
Windows Server 2008 per sistemi a 32 bit Service Pack 2
Windows Server 2008 per sistemi x64 Service Pack 2
Windows Server 2008 per sistemi Itanium Service Pack 2
Windows 7 per sistemi a 32 bit
Windows 7 per sistemi x64
Windows Server 2008 R2 per sistemi x64
Windows Server 2008 R2 per sistemi Itanium

Qual è lo scopo di questo advisory?  
Questo advisory risolve attacchi potenziali che sfruttano la funzionalità di isolamento del servizio Windows contribuendo a chiarire l'utilizzo corretto e i limiti della funzionalità di isolamento del servizio Windows e fornendo soluzioni alternative.

Questo advisory sulla sicurezza comunica anche la disponibilità di un aggiornamento non correlato alla protezione facoltativo, disponibile per il download dall'Area download Microsoft, per contrastare un vettore di attacco attraverso le interfacce TAPI (Windows Telephony Application Programming Interfaces).

Il problema descritto è una vulnerabilità a livello di sicurezza che richiede la pubblicazione di un aggiornamento Microsoft?  
No. La funzionalità di isolamento del servizio Windows rappresenta una configurazione facoltativa che alcuni utenti possono decidere di distribuire. ma che potrebbe non essere appropriata per tutti i clienti. La funzionalità di isolamento del servizio Windows è una funzionalità di difesa preventiva e non costituisce un vero e proprio confine di protezione, pertanto non dovrebbe essere considerata come tale.

Che cos'è la funzionalità di isolamento del servizio Windows?  
La funzionalità di isolamento del servizio Windows non corregge un vulnerabilità a livello di sicurezza, ma rappresenta una funzionalità di difesa preventiva che potrebbe rivelarsi utile per alcuni clienti. Ad esempio, l'isolamento del servizio consente di accedere ad oggetti specifici senza dover eseguire un account con privilegi elevati o mettendo a rischio la protezione dell'oggetto. Utilizzando una voce di controllo di accesso che contiene un SID di servizio, un servizio SQL Server può limitare l'accesso alle proprie risorse. Per ulteriori informazioni su questa funzione e sulle modalità di configurazione corrette, vedere l'articolo della Microsoft Knowledge Base 2264072.

Che cos'è il privilegio "Impersonare un client dopo l'autenticazione"?  
L'assegnazione di questo privilegio ad un utente consente l'esecuzione di programmi per conto di tale utente al fine di impersonare un client. Richiedere questo diritto utente per questo tipo di impersonificazione impedisce ad un utente non autorizzato di convincere un client a collegarsi (ad esempio, mediante RPC (remote procedure call) o named pipe) ad un servizio appositamente creato per poi impersonare tale client, con la conseguente elevazione delle autorizzazioni dell'utente non autorizzato a livelli amministrativi o di sistema.

Che cos'è un account NetworkService?  
Un account NetworkService è un account locale predefinito utilizzato da Gestione controllo servizi. Dispone di privilegi speciali sul computer locale e funge da account del computer all'interno della rete. Un servizio in esecuzione nel contesto di un account NetworkService presenta le credenziali del computer ai server remoti. Per ulteriori informazioni, vedere l'articolo di MSDN NetworkService Account.

In che misura IIS è interessato da questo problema?  
I sistemi che eseguono codice fornito dagli utenti in Internet Information Services (IIS) possono essere interessati da questo problema, Ad esempio, le estensioni e i filtri ISAPI, nonché il codice ASP.NET eseguito in attendibilità totale.

Negli scenari seguenti il rischio che i server IIS subiscano gli attacchi descritti in questo advisory è ridotto:

  • Le installazioni predefinite di IIS 5.1, IIS 6.0 e IIS 7.0 bloccano il vettore di attacco provenienti da utenti anonimi poiché, nella configurazione predefinita, il caricamento anonimo non è ammesso.
  • Tutti i vettori di attacco noti attraverso IIS sono bloccati quando ASP.NET è configurato per l'esecuzione con un livello di attendibilità inferiore all'attendibilità totale.

Per attaccare con successo un server Web, un utente malintenzionato deve innanzitutto aggiungere contenuto Web appositamente predisposto a un sito IIS. Un utente malintenzionato potrebbe quindi utilizzare tale contenuto Web appositamente predisposto per acquisire privilegi più elevati per l'esecuzione di processi come LocalSystem.

Solitamente, gli utenti non attendibili non possono aggiungere contenuti Web a un sito Web IIS. Tuttavia, alcuni host Web sono più a rischio poiché offrono esplicitamente servizi di hosting per il contenuto Web di terze parti.

IIS in Windows Server 2003 e Windows Server 2008 potrebbe essere maggiormente esposto a questo problema, in quanto l'identità del processo di lavoro predefinita è NetworkService.

Come può un utente malintenzionato sfruttare la vulnerabilità su un server IIS?  
Un utente malintenzionato può caricare una pagina Web appositamente predisposta in un sito Web e utilizzare l'accesso a tale pagina per acquisire privilegi più elevati per l'esecuzione di processi come LocalSystem. Ciò può anche comportare il caricamento di contenuto appositamente predisposto nei siti Web che accettano o ospitano contenuto fornito dagli utenti o annunci pubblicitari. Potrebbe inoltre far visualizzare contenuti Web appositamente predisposti utilizzando banner pubblicitari o altre modalità di invio di contenuti Web ai sistemi interessati.

In che misura SQL Server è interessato da questo problema?  
I sistemi che eseguono SQL Server potrebbero essere interessati se a un utente vengono concessi privilegi di amministratore per SQL Server (che consentono all'utente di caricare ed eseguire codice). Un utente dotato di privilegi di amministratore per SQL Server può eseguire codice appositamente predisposto per sfruttare la vulnerabilità. Tuttavia, questo privilegio non è concesso per impostazione predefinita.

Come può un utente malintenzionato sfruttare la vulnerabilità su un server SQL?  
Un utente con privilegi di amministratore per SQL Server può eseguire codice appositamente predisposto per sfruttare la vulnerabilità sul server SQL interessato.

In che misura TAPI è interessato da questo problema?  
Per informazioni su come le interfacce TAPI (Windows Telephony Application Programming Interfaces) sono interessate da questo problema, fare riferimento alla sezione successiva Domande frequenti specifiche sulla vulnerabilità legata alle interfacce TAPI (Windows Telephony Application Programming Interfaces) - CVE-2010-1886.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato può eseguire codice appositamente predisposto nel contesto di un account LocalSystem. Potrebbe quindi installare programmi, visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti LocalSystem completi.

Quali sono i sistemi principalmente interessati da questo problema?  
Tutti i sistemi che eseguono il software elencato nella sezione Cenni preliminari sono a rischio, ma Windows XP Professional Service Pack 3 e tutte le edizioni supportate di Windows Server 2003 e Windows Server 2008 sono maggiormente interessati da questo problema.

Inoltre, sono maggiormente esposti alla vulnerabilità i server Web IIS che consentono agli utenti di caricare del codice. Ciò potrebbe includere i provider di hosting Web o ambienti simili.

I sistemi SQL Server sono a rischio se agli utenti non attendibili viene concesso l'accesso ad account privilegiati.

Se si utilizza una versione precedente del software discusso nel presente bollettino, che cosa è necessario fare?  
I prodotti software elencati nel presente advisory sono stati sottoposti a test per determinare quali versioni sono interessate dalla vulnerabilità. Le altre versioni sono al termine del ciclo di vita del supporto. Per ulteriori informazioni sul ciclo di vita dei prodotti, visitare il sito Web Ciclo di vita del supporto Microsoft.

Per evitare di esporre i propri sistemi a potenziali vulnerabilità, si raccomanda ai clienti che utilizzano versioni precedenti del software di eseguire quanto prima la migrazione a versioni supportate. Per informazioni sulla disponibilità del supporto per la versione del software in uso, vedere Selezionare un prodotto per informazioni sul ciclo di vita. Per ulteriori informazioni sui service pack relativi a queste versioni del software, vedere il ciclo di vita del supporto per i service pack.

I clienti che hanno ancora la necessità di servizi di supporto per versioni precedenti del software sono invitati a contattare il loro rappresentante del team Microsoft, il responsabile tecnico dei rapporti con i clienti oppure il rappresentante del partner Microsoft appropriato per informazioni sui servizi di supporto personalizzati. I clienti che non dispongono di un contratto Alliance, Premier o Authorized possono contattare le filiali Microsoft locali. Per informazioni sui contatti, visitare il sito Web Microsoft Worldwide, selezionare il Paese desiderato dall'elenco Informazioni sui contatti e fare clic su Go per visualizzare un elenco di numeri telefonici. Quando si effettua la chiamata, richiedere di parlare con il responsabile locale delle vendite per i servizi di supporto Premier. Per ulteriori informazioni, vedere le Domande frequenti sui criteri di ciclo di vita del supporto Microsoft.

Dove è possibile trovare l'aggiornamento non correlato alla protezione per questa vulnerabilità?  
L'aggiornamento è disponibile solo dall'Area download Microsoft. Per ulteriori informazioni sull'aggiornamento cumulativo e sulle modifiche al funzionamento, vedere l'articolo della Microsoft Knowledge Base 982316.

Che cos'è l'interfaccia TAPI (Windows Telephony Application Programming Interface)?  
Il server TAPI (TAPISRV) è l'archivio centrale dei dati della telefonia su un computer utente. Questo servizio traccia le risorse di telefonia locali e remote, le applicazioni registrate per la gestione delle richieste con telefonia e le funzioni asincrone in sospeso; inoltre, esso attiva un'interfaccia conforme ai provider di servizi di telefonia (TSP). Per ottenere ulteriori informazioni e consultare un diagramma che illustra la relazione del server TAPI con gli altri componenti ed una panoramica sui relativi ruoli, vedere Microsoft Telephony Programming Model.

A cosa è dovuto questo rischio?  
La vulnerabilità è dovuta alla soluzione per transazioni delle interfacce TAPI (Windows Telephony Application Programming Interfaces) che consente di ottenere ed utilizzare il token NetworkService quando si invia una richiesta RPC.

Il problema descritto è una vulnerabilità a livello di sicurezza che richiede la pubblicazione di un aggiornamento Microsoft?  
No. Questo aggiornamento implementa una modifica al sistema di difesa che alcuni clienti potrebbero decidere di distribuire. I clienti che non eseguono IIS o SQL o coloro che hanno implementato le soluzioni alternative elencate di seguito, dovrebbe valutare questo aggiornamento di difesa in profondità prima di applicarlo.

Questo è un advisory sulla sicurezza su un aggiornamento non correlato alla protezione. Non è una contraddizione?  
Gli advisory sulla sicurezza riguardano modifiche relative alla sicurezza che potrebbero non richiedere uno specifico bollettino, ma che potrebbero influire sulla sicurezza complessiva del cliente. Per Microsoft, gli advisory sulla sicurezza rappresentano un mezzo per comunicare informazioni sulla sicurezza ai clienti relative a problemi che potrebbero non essere classificati come vulnerabilità e richiedere un apposito bollettino oppure relative a problemi per i quali non è stato rilasciato alcun bollettino. In questo caso, Microsoft segnala la disponibilità di un aggiornamento che influisce sulla capacità di eseguire aggiornamenti successivi, compresi gli aggiornamenti per la protezione. Pertanto, questo advisory non riguarda una specifica vulnerabilità a livello di sicurezza, ma piuttosto la protezione complessiva del cliente.

Perché Microsoft rilascia un aggiornamento per questo componente?  
Sebbene si tratti di una vulnerabilità che richiede il rilascio di un aggiornamento per la protezione, un utente malintenzionato può acquisire privilegi più elevati passando da NetworkService a LocalSystem utilizzando il servizio TAPI, eseguito come sistema. Per poter sfruttare questo problema, un utente malintenzionato deve già effettuare l'esecuzione con i privilegi elevati. Questo isolamento del servizio è stato implementato esclusivamente come misura di difesa in profondità e non costituisce un confine di protezione.

Quali sono i sistemi principalmente interessati da questa vulnerabilità?  
I sistemi che eseguono interfacce TAPI (Windows Telephony Application Programming Interfaces) sono maggiormente a rischio. Questi potrebbero comprendere tutti i sistemi che eseguono il software elencato nella sezione Cenni preliminari. Inoltre, Windows XP Professional Service Pack 3 e tutte le edizioni supportate di Windows Server 2003 e Windows Server 2008 che eseguono IIS, i server Web IIS che consentono agli utenti di caricare codice e i sistemi SQL Server in cui ad utenti non attendibili viene concesso l'accesso ad account privilegiati sono maggiormente a rischio. Ciò potrebbe includere i provider di hosting Web o ambienti simili.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?  
Sfruttando questa vulnerabilità, un utente malintenzionato può eseguire codice appositamente predisposto con privilegi di sistema. Potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Un utente malintenzionato deve già possedere delle autorizzazioni per eseguire il codice come NetworkService per sfruttare questo problema.

Fattori attenuanti

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura consigliata generica esistente in uno stato predefinito in grado di ridurre la gravità nello sfruttamento di una vulnerabilità. I seguenti fattori attenuanti possono essere utili per l'utente:

  • Per sfruttare questa vulnerabilità l'utente malintenzionato deve essere in grado di eseguire del codice come account NetworkService sul sistema di destinazione.
  • I server IIS che utilizzano le impostazioni predefinite non sono interessati da questo problema.

Soluzioni alternative

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina il problema sottostante, ma consente di bloccare gli attacchi noti prima che venga messo a disposizione l'aggiornamento per la protezione. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

  • Configurare WPI per i pool di applicazioni in IIS

    Per IIS 6.0 eseguire la procedura seguente.

    1. In IIS Manager, espandere il computer locale, espandere Pool di applicazioni, fare clic con il pulsante destro del mouse sul pool di applicazioni e scegliere Proprietà.
    2. Fare clic sulla scheda Identità, quindi fare clic su Configurabile. Nelle caselle di testo Nome utente e Password, digitare il nome utente e la password dell'account all'interno del quale si desidera che operi il processo di lavoro.
    3. Aggiungere l'account utente scelto al gruppo IIS_WPG.

    Per IIS 7.0 e versioni successive, eseguire la procedura seguente.

    1. Da un prompt dei comandi di livello elevato, passare alla directory %systemroot%\system32\inetsrv.
    2. Eseguire il comando APPCMD.exe utilizzando la sintassi seguente, in cui string è il nome del pool di applicazioni, userName:string è il nome utente dell'account assegnato al pool di applicazioni e password:string è la password dell'account.

      appcmd set config /section:applicationPools /

      [name='string'].processModel.identityType:SpecificUser /

      [name='string'].processModel.userName:string /

      [name='string'].processModel.password:string
  • Applicare l'aggiornamento non correlato alla protezione per CVE-2010-1886

    Applicare l'aggiornamento non correlato alla protezione per la vulnerabilità legata alle interfacce TAPI (Windows Telephony Application Programming Interfaces) (CVE-2010-1886) disponibile per il download solo dall'Area download Microsoft. Per ulteriori informazioni sull'aggiornamento cumulativo e sulle modifiche al funzionamento, vedere l'articolo della Microsoft Knowledge Base 982316.

Ulteriori interventi consigliati

  • Proteggere il proprio PC

    Microsoft consiglia di seguire le indicazioni disponibili in Proteggi il tuo Computer per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni su questi passaggi, visitare il sito Proteggi il tuo Computer.

    Per ulteriori informazioni sulla protezione in Internet, visitare il sito Web Microsoft Security Central.

  • Aggiornamento regolare di Windows

    Si consiglia a tutti gli utenti di Windows di applicare gli ultimi aggiornamenti per la protezione Microsoft al fine di garantire la massima sicurezza del computer. Per verificare se il software è aggiornato, visitare il sito Windows Update per eseguire la scansione del computer e installare eventuali aggiornamenti ad alta priorità. Se la funzionalità Aggiornamenti automatici è attivata, gli aggiornamenti vengono inviati al computer al momento del rilascio, ma è comunque necessario assicurarsi di installarli.

Altre informazioni

Ringraziamenti

Microsoft ringrazia i seguenti utenti per aver collaborato alla protezione dei sistemi dei clienti:

  • Cesar Cerrudo di Argeniss per aver collaborato con noi allo studio della vulnerabilità legata alle interfacce TAPI (Windows Telephony Application Programming Interfaces) (CVE-2010-1886)

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Commenti e suggerimenti

Supporto

  • Per usufruire dei servizi del supporto tecnico negli Stati Uniti e in Canada, visitare il sito del Security Support. Per ulteriori informazioni sulle opzioni di supporto disponibili, visitare il sito Microsoft Aiuto & Supporto.
  • I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto, visitare il sito per il supporto internazionale.
  • Microsoft TechNet Sicurezza fornisce ulteriori informazioni sulla protezione dei prodotti Microsoft.

Dichiarazione di non responsabilità

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (10 agosto 2010): Pubblicazione dell'advisory.

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft