• Articolo

Avviso di sicurezza

Microsoft Security Advisory 2264072

Elevazione dei privilegi tramite il bypass dell'isolamento del servizio Windows

Pubblicato: 10 agosto 2010

Versione: 1.0

Informazioni generali

Schema riepilogativo

Microsoft è consapevole del potenziale di attacchi che sfruttano la funzionalità isolamento del servizio Windows per ottenere l'elevazione dei privilegi. Questo avviso illustra i potenziali scenari di attacco e fornisce azioni suggerite che consentono di proteggersi da questo problema. Questo avviso offre anche un aggiornamento non di sicurezza per uno dei potenziali scenari di attacco tramite Windows Telephony Application Programming Interfaces (TAPI).

Questo problema riguarda gli scenari in cui il codice non attendibile viene eseguito all'interno di un processo di proprietà dell'account NetworkService. In questi scenari, è possibile che un utente malintenzionato esegua l'elevazione dei processi in esecuzione come account NetworkService all'esecuzione dei processi come account LocalSystem in un server di destinazione. Un utente malintenzionato con privilegi elevati per l'esecuzione dei processi come account LocalSystem potrebbe eseguire codice arbitrario e assumere il controllo completo di un sistema interessato. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi.

Anche se, nella maggior parte dei casi, il codice non attendibile non è in esecuzione nell'identità NetworkService, gli scenari seguenti sono stati identificati come possibili eccezioni:

  • I sistemi che eseguono Internet Information Services (IIS) in una configurazione non predefinita rappresentano un rischio maggiore, in particolare se IIS è in esecuzione in Windows Server 2003 e Windows Server 2008, perché l'identità predefinita del processo di lavoro in questi sistemi è NetworkService.
  • I sistemi che eseguono SQL Server in cui agli utenti vengono concessi privilegi amministrativi di SQL Server sono a rischio maggiore.
  • I sistemi che eseguono Windows Telephony Application Programming Interfaces (TAPI) hanno un rischio maggiore.

Per informazioni più dettagliate sugli scenari precedenti, vedere la sezione Domande frequenti. Per lo scenario TAPI, Microsoft fornisce un aggiornamento non di sicurezza. Per altre informazioni sull'aggiornamento non della sicurezza, vedere la sezione Domande frequenti specifiche sulla vulnerabilità TAPI (Windows Telephony Application Programming Interfaces) - CVE-2010-1886.

Inoltre, microsoft collabora attivamente con i partner del Programma Microsoft Active Protections (MAPP) per fornire informazioni che possono usare per fornire protezioni più ampie ai clienti.

Dettagli avviso

Riferimenti ai problemi

Per altre informazioni su questo problema, vedere i riferimenti seguenti:

Riferimenti Identificazione
Riferimento CVE CVE-2010-1886
Articolo della Microsoft Knowledge Base 2264072
Articolo della Microsoft Knowledge Base per l'aggiornamento non della sicurezza TAPI 982316

Software interessato e non interessato

Questo avviso illustra il software seguente.
Software interessato
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP2 per sistemi basati su Itanium
Windows Vista Service Pack 1 e Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2
Windows Server 2008 per sistemi a 32 bit Service Pack 2
Windows Server 2008 per sistemi basati su x64 Service Pack 2
Windows Server 2008 per sistemi basati su Itanium Service Pack 2
Windows 7 per sistemi a 32 bit
Windows 7 per sistemi basati su x64
Windows Server 2008 R2 per sistemi basati su x64
Windows Server 2008 R2 per sistemi basati su Itanium

Domande frequenti

Qual è l'ambito dell'avviso?
L'avviso di sicurezza risolve il potenziale di attacchi che sfruttano la funzionalità di isolamento del servizio Windows, consentendo di chiarire l'uso e i limiti appropriati della funzionalità di isolamento del servizio Windows e fornendo soluzioni alternative.

Questo avviso di sicurezza fornisce inoltre una notifica di un aggiornamento facoltativo e non di sicurezza disponibile per il download dall'Area download Microsoft per risolvere un vettore di attacco tramite Windows Telephony Application Programming Interfaces (TAPI).

Si tratta di una vulnerabilità di sicurezza che richiede a Microsoft di eseguire un aggiornamento della sicurezza?
No. La funzionalità isolamento del servizio Windows è una configurazione facoltativa che alcuni clienti possono scegliere di distribuire. Questa funzionalità non è appropriata per tutti i clienti. L'isolamento del servizio Windows è una funzionalità di difesa avanzata e non un limite di sicurezza appropriato e non deve essere interpretato come tale.

Che cos'è la funzionalità isolamento del servizio Windows?
La funzionalità isolamento del servizio Windows non corregge una vulnerabilità di sicurezza, ma è invece una funzionalità di difesa avanzata che può essere utile per alcuni clienti. Ad esempio, l'isolamento del servizio consente l'accesso a oggetti specifici senza la necessità di eseguire un account con privilegi elevati o di indebolire la protezione della sicurezza dell'oggetto. Mediante una voce di controllo di accesso contenente un SID del servizio, un servizio SQL Server può limitare l'accesso alle proprie risorse. Per altre informazioni su questa funzionalità e su come configurarla in modo appropriato, vedere l'articolo della Microsoft Knowledge Base 2264072.

Qual è il privilegio "rappresenta un client dopo l'autenticazione"?
L'assegnazione di questo privilegio a un utente consente ai programmi in esecuzione per conto dell'utente di rappresentare un client. La richiesta di questo diritto utente per questo tipo di rappresentazione impedisce a un utente non autorizzato di convincere un client a connettersi (ad esempio, tramite una chiamata di procedura remota (RPC) o named pipe, a un servizio creato e quindi rappresentando tale client, che può elevare le autorizzazioni dell'utente non autorizzato a livelli amministrativi o di sistema.

Che cos'è l'account NetworkService?
L'account NetworkService è un account locale predefinito usato dal gestore di controllo del servizio. Dispone di privilegi speciali sul computer locale e funge da computer in rete. Un servizio eseguito nel contesto dell'account NetworkService presenta le credenziali del computer ai server remoti. Per altre informazioni, vedere l'articolo MSDN NetworkService Account.

In che modo IIS è interessato da questo problema?
I sistemi che eseguono codice fornito dall'utente in Internet Information Services (IIS) potrebbero essere interessati. Ad esempio, i filtri ISAPI, le estensioni ISAPI e ASP.NET codice in esecuzione con attendibilità completa possono essere interessati da questa vulnerabilità.

I server IIS hanno un rischio ridotto per gli attacchi descritti in questo avviso negli scenari seguenti:

  • Le installazioni predefinite di IIS 5.1, IIS 6.0 e IIS 7.0 bloccano il vettore di attacco da utenti anonimi perché, nella configurazione predefinita, i caricamenti anonimi non sono consentiti.
  • Tutti i vettori di attacco noti tramite IIS vengono bloccati in cui ASP.NET è configurato per l'esecuzione con un livello di attendibilità inferiore al livello di attendibilità totale.

Per avere esito positivo in un server Web, un utente malintenzionato dovrà innanzitutto aggiungere contenuto Web appositamente creato a un sito Web IIS. Un utente malintenzionato potrebbe quindi usare l'accesso a questo contenuto Web appositamente creato per elevare l'elevazione ai processi in esecuzione come LocalSystem.

In genere, gli utenti non attendibili non possono aggiungere contenuto Web a un sito Web IIS. Tuttavia, alcuni host Web sono più a rischio di attacchi perché offrono in modo esplicito l'hosting per contenuti Web di terze parti.

IIS in Windows Server 2003 e Windows Server 2008 potrebbero essere più a rischio per questo problema perché l'identità del processo di lavoro predefinita è NetworkService.

In che modo un utente malintenzionato potrebbe sfruttare il problema in un server IIS?
Un utente malintenzionato potrebbe caricare una pagina Web creata appositamente in un sito Web e usare l'accesso a questa pagina per elevare l'esecuzione dei processi come LocalSystem. Ciò può includere anche il caricamento di contenuti appositamente creati nei siti Web che accettano o ospitano contenuti o annunci forniti dall'utente. Potrebbe anche essere possibile visualizzare contenuti Web appositamente creati usando annunci banner o utilizzando altri metodi per distribuire contenuti Web ai sistemi interessati.

In che modo SQL Server è interessato da questo problema?
I sistemi che eseguono SQL Server possono essere interessati se a un utente vengono concessi privilegi amministrativi di SQL Server, che consentono all'utente di caricare ed eseguire il codice. Un utente con privilegi amministrativi di SQL Server può eseguire codice appositamente creato che viene usato per sfruttare l'attacco. Tuttavia, questo privilegio non viene concesso per impostazione predefinita.

In che modo un utente malintenzionato potrebbe sfruttare il problema in un server SQL?
Un utente con privilegi amministrativi di SQL Server può eseguire codice appositamente creato usato per sfruttare l'attacco sul server SQL interessato.

In che modo TAPI è interessato da questo problema?
Per informazioni sull'effetto di questo problema, vedere la sezione successiva domande frequenti sulla vulnerabilità TAPI (Windows Telephony Application Programming Interfaces) - CVE-2010-1886.For information on the Windows Telephony Application Programming Interfaces (TAPI) is affected by this issue, refer to the next section, Frequently Asked Questions specifically about the Windows Telephony Application Programming Interfaces (TAPI) Vulnerability - CVE-2010-1886.

Che cosa può essere usato da un utente malintenzionato per eseguire questo problema?
Un utente malintenzionato che ha sfruttato correttamente questo problema potrebbe eseguire codice appositamente creato nel contesto dell'account LocalSystem. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare i dati; oppure creare nuovi account con diritti LocalSystem completi.

Quali sistemi sono principalmente a rischio da questo problema?
Tutti i sistemi che eseguono software elencati nella sezione Panoramica sono a rischio, ma Windows XP Professional Service Pack 3 e tutte le edizioni supportate di Windows Server 2003 e Windows Server 2008 che eseguono IIS rappresentano un rischio maggiore.

Inoltre, i server Web IIS che consentono agli utenti di caricare il codice sono a rischio maggiore. Ciò può includere provider di hosting Web o ambienti simili.

I sistemi SQL Server sono a rischio se agli utenti non attendibili viene concesso l'accesso con account con privilegi.

Sto usando una versione precedente del software discussa in questo avviso di sicurezza. Cosa devo fare?
Il software interessato elencato in questo avviso è stato testato per determinare quali versioni sono interessate. Altre versioni hanno superato il ciclo di vita del supporto. Per altre informazioni sul ciclo di vita del prodotto, visitare il sito Web supporto tecnico Microsoft Lifecycle.

Deve essere una priorità per i clienti che dispongono di versioni precedenti del software per eseguire la migrazione alle versioni supportate per evitare potenziali esposizione alle vulnerabilità. Per determinare il ciclo di vita del supporto per la versione software, vedere Selezionare un prodotto per informazioni sul ciclo di vita. Per altre informazioni sui Service Pack per queste versioni software, vedere Lifecycle Supported Service Pack.

I clienti che richiedono supporto personalizzato per il software precedente devono contattare il rappresentante del team dell'account Microsoft, il responsabile dell'account tecnico o il rappresentante partner Microsoft appropriato per le opzioni di supporto personalizzate. I clienti senza contratto Alliance, Premier o Authorized possono contattare l'ufficio vendite Microsoft locale. Per informazioni di contatto, visitare il sito Web Microsoft Worldwide Information , selezionare il paese nell'elenco Informazioni contatto e quindi fare clic su Vai per visualizzare un elenco di numeri di telefono. Quando chiami, chiedi di parlare con il responsabile vendite premier support locale. Per altre informazioni, vedere domande frequenti sui criteri relativi al ciclo di vita di supporto tecnico Microsoft.

Domande frequenti specifiche sulla vulnerabilità TAPI (Windows Telephony Application Programming Interfaces) - CVE-2010-1886

Dove è possibile trovare l'aggiornamento non della sicurezza per questa vulnerabilità?
L'aggiornamento è disponibile solo per il download dall'Area download Microsoft. Per altre informazioni sull'aggiornamento, inclusi i collegamenti di download e le modifiche al comportamento, vedere l'articolo della Microsoft Knowledge Base 982316.

Che cos'è l'interfaccia TAPI (Windows Telephony Application Programming Interface)?
Il server TAPI (TAPISRV) è il repository centrale dei dati di telefonia in un computer utente. Questo processo di servizio tiene traccia delle risorse di telefonia locale e remota, delle applicazioni registrate per gestire le richieste di telefonia assistita e delle funzioni asincrone in sospeso e consente anche un'interfaccia coerente con i provider di servizi di telefonia . Per altre informazioni e un diagramma che illustra la relazione tra il server TAPI e altri componenti e una panoramica dei relativi ruoli, vedere Modello di programmazione di telefonia Microsoft.

Che cosa causa questa minaccia?
La vulnerabilità è dovuta alla funzionalità di transazione TAPI (Windows Telephony Application Programming Interfaces) che consente di ottenere e usare il token NetworkService durante l'esecuzione di una chiamata RPC.

Si tratta di una vulnerabilità di sicurezza che richiede a Microsoft di eseguire un aggiornamento della sicurezza?
No. Questo aggiornamento implementa una modifica approfondita della difesa che alcuni clienti possono scegliere di distribuire. I clienti che non eseguono IIS o SQL o quelli che hanno implementato le soluzioni alternative elencate di seguito, devono valutare questo aggiornamento approfondito della difesa prima di applicarlo.

Si tratta di un avviso di sicurezza relativo a un aggiornamento non della sicurezza. Non è una contraddizione?
Gli avvisi di sicurezza rispondono alle modifiche alla sicurezza che potrebbero non richiedere un bollettino sulla sicurezza, ma potrebbero comunque influire sulla sicurezza complessiva del cliente. Gli avvisi di sicurezza consentono a Microsoft di comunicare ai clienti informazioni relative alla sicurezza relative a problemi che potrebbero non essere classificati come vulnerabilità e potrebbero non richiedere un bollettino sulla sicurezza o problemi per i quali non è stato rilasciato alcun bollettino sulla sicurezza. In questo caso, stiamo comunicando la disponibilità di un aggiornamento che influisce sulla possibilità di eseguire gli aggiornamenti successivi, inclusi gli aggiornamenti della sicurezza. Pertanto, questo avviso non risolve una vulnerabilità di sicurezza specifica; piuttosto, risolve la sicurezza complessiva.

Perché Microsoft esegue un aggiornamento per questo componente?
Anche se non si tratta di una vulnerabilità che richiede l'emissione di un aggiornamento della sicurezza, un utente malintenzionato potrebbe elevare da NetworkService a LocalSystem usando il servizio TAPI, che viene eseguito come sistema. Per sfruttare questo problema, un utente malintenzionato deve già essere in esecuzione con privilegi elevati. Questo isolamento del servizio è stato implementato solo come misura di difesa avanzata e non costituisce un limite di sicurezza.

Quali sistemi sono principalmente a rischio da questa vulnerabilità?
I sistemi che eseguono Windows Telephony Application Programming Interface (TAPI) sono principalmente a rischio. Questo potrebbe includere tutti i sistemi che eseguono software elencati nella sezione Panoramica . Inoltre, Windows XP Professional Service Pack 3 e tutte le edizioni supportate di Windows Server 2003 e Windows Server 2008 che eseguono IIS, server Web IIS che consentono agli utenti di caricare codice e sistemi SQL Server in cui agli utenti non attendibili viene concesso l'accesso con account con privilegi è a un rischio maggiore. Ciò può includere provider di hosting Web o ambienti simili.

Cosa può fare un utente malintenzionato che usa questa vulnerabilità?
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe eseguire codice appositamente creato con privilegi a livello di sistema. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi. Per sfruttare correttamente questo problema, un utente malintenzionato deve disporre già delle autorizzazioni per eseguire il codice come NetworkService.

Mitigazione di fattori e azioni suggerite

Fattori di mitigazione

La mitigazione si riferisce a un'impostazione, a una configurazione comune o a una procedura consigliata generale, esistente in uno stato predefinito, che potrebbe ridurre la gravità dello sfruttamento di una vulnerabilità. I fattori di mitigazione seguenti possono essere utili nella situazione:

  • L'utente malintenzionato deve essere in grado di eseguire il codice come account NetworkService nel sistema di destinazione per sfruttare questa vulnerabilità.
  • I server IIS che usano le impostazioni predefinite non sono interessati da questo problema.

Soluzioni alternative

La soluzione alternativa si riferisce a un'impostazione o a una modifica della configurazione che non corregge il problema sottostante, ma consente di bloccare i vettori di attacco noti prima che sia disponibile un aggiornamento della sicurezza. Microsoft ha testato le soluzioni alternative e gli stati seguenti nella discussione se una soluzione alternativa riduce le funzionalità:

  • Configurare WPI per i pool di applicazioni in IIS

    Per IIS 6.0, seguire questa procedura:

    1. In Gestione IIS espandere il computer locale, espandere Pool di applicazioni, fare clic con il pulsante destro del mouse sul pool di applicazioni e selezionare Proprietà.
    2. Fare clic sulla scheda Identità e fare clic su Configurabile. Nelle caselle di testo Nome utente e Password digitare il nome utente e la password dell'account in cui si desidera che il processo di lavoro funzioni.
    3. Aggiungere l'account utente scelto al gruppo di IIS_WPG.

    Per IIS 7.0 e versioni successive, seguire questa procedura:

    1. Da un prompt dei comandi con privilegi elevati passare alla directory %systemroot%\system32\inetsrv.
    2. Eseguire il comando APPCMD.exe usando la sintassi seguente, dove stringa è il nome del pool di applicazioni; **userName:**string è il nome utente dell'account assegnato al pool di applicazioni; e **password:**string è la password per l'account.
      appcmd set config /section:applicationPools / [name='string'].processModel.identityType:SpecificUser / [name='string'].processModel.userName:string /
      [name='string'].processModel.password:string

  • Applicare l'aggiornamento non della sicurezza per CVE-2010-1886

    Applicare l'aggiornamento non della sicurezza per la vulnerabilità TAPI (Windows Telephony Application Programming Interfaces) (CVE-2010-1886) disponibile solo per il download dall'Area download Microsoft. Per altre informazioni sull'aggiornamento, inclusi i collegamenti di download e le modifiche al comportamento, vedere l'articolo della Microsoft Knowledge Base 982316.

Azioni aggiuntive suggerite

  • Proteggere il PC

    Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il computer per abilitare un firewall, ottenere gli aggiornamenti software e installare il software antivirus. Per altre informazioni su questi passaggi, vedere Proteggere il computer.

    Per altre informazioni su come rimanere al sicuro su Internet, visitare Microsoft Security Central.

  • Mantenere Aggiornato Windows

    Tutti gli utenti di Windows devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano protetti il più possibile. Se non si è certi che il software sia aggiornato, visitare Windows Update, analizzare il computer per individuare gli aggiornamenti disponibili e installare eventuali aggiornamenti ad alta priorità offerti all'utente. Se è abilitato il Aggiornamenti automatico, gli aggiornamenti vengono recapitati quando vengono rilasciati, ma è necessario assicurarsi di installarli.

Altre informazioni

Riconoscimenti

Microsoft ringrazia quanto segue per collaborare a proteggere i clienti:

  • Cerrudo di Argeniss per lavorare con Microsoft sulla vulnerabilità TAPI (Windows Telephony Application Programming Interfaces) (CVE-2010-1886)

Microsoft Active Protections Program (MAPP)

Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web delle protezioni attive forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).

Feedback

Supporto tecnico

  • I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
  • I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il supporto internazionale.
  • Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.

Dichiarazione di non responsabilità

Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.

Revisioni

  • V1.0 (10 agosto 2010): Avviso pubblicato.

Costruito al 2014-04-18T13:49:36Z-07:00