Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 2506014

Aggiornamento per il caricatore del sistema operativo Windows

Data di pubblicazione: martedì 12 aprile 2011

Versione: 1.0

Informazioni generali

Riepilogo

Microsoft comunica la disponibilità di un aggiornamento di winload.exe per risolvere un problema nell'imposizione della firma del driver. Sebbene non sia un problema che richiede un aggiornamento per la protezione, questo aggiornamento risolve un metodo in base al quale un driver senza firma poteva venire caricato da winload.exe. Questa tecnica è spesso utilizzata da malware per rimanere su un sistema dopo l'infezione iniziale.

Il problema interessa le edizioni x64 di Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2 e l'aggiornamento è disponibile per tali edizioni. Per ulteriori informazioni su questa versione, vedere l'articolo della Microsoft Knowledge Base 2506014.

Dettagli sull'advisory

Documentazione di riferimento per il problema

Per ulteriori informazioni su questo problema, vedere la seguente documentazione di riferimento:

RiferimentiIdentificazione
Articolo della Microsoft Knowledge Base 2506014

Software interessato e Software non interessato

In questo advisory vengono presi in esame i seguenti prodotti software.

Software interessato
Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2
Windows Server 2008 per sistemi x64 e Windows Server 2008 per sistemi x64 Service Pack 2
Windows 7 per sistemi x64 e Windows 7 per sistemi x64 Service Pack 1
Windows Server 2008 R2 per sistemi a x64 e Windows Server 2008 R2 per sistemi a x64 Service Pack 1
Software non interessato
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP2 per sistemi Itanium
Windows Vista Service Pack 1 e Windows Vista Service Pack 2
Windows Server 2008 per sistemi a 32 bit e Windows Server 2008 per sistemi a 32 bit Service Pack 2
Windows Server 2008 per sistemi Itanium e Windows Server 2008 per sistemi Itanium Service Pack 2
Windows 7 per sistemi a 32 bit e Windows 7 per sistemi a 32 bit Service Pack 1
Windows Server 2008 R2 per sistemi Itanium e Windows Server 2008 R2 per sistemi Itanium Service Pack 1

Qual è lo scopo di questo advisory?  
Il presente advisory fornisce chiarificazioni e notifiche sulla disponibilità di un aggiornamento non correlato alla protezione per risolvere un problema relativo all'imposizione della firma dei driver. L'aggiornamento risolve un metodo in base al quale un driver non firmato poteva venire caricato da winload.exe. Questa tecnica è spesso utilizzata da malware, come i rootkit, per rimanere su un sistema dopo l'infezione iniziale. Il problema riguarda il software elencato nella tabella Software interessato sopra riportata.

Da che cosa dipende questo problema?  
Durante il processo di avvio, winload.exe determina lo stato della firma dei file binari del sistema. Alcune inadeguatezze in questo processo consentono il caricamento di file binari non firmati. Quando questo accade, Windows non è in grado di garantire l'integrità di alcuni componenti principali del sistema operativo.

Che cos'è il caricatore del sistema operativo Windows (winload.exe)?  
Il caricatore di sistema operativo Windows (winload.exe) carica il kernel di Windows e le relative dipendenze, oltre ai driver di avvio. Questo componente contiene anche codice che richiede al BIOS di sistema di recuperare le informazioni di base sul dispositivo e sulla configurazione. Questa applicazione fa parte del sistema operativo e carica una versione specifica di Windows. Utilizza il firmware per caricare il kernel del sistema operativo e inizializzare i driver principali del dispositivo da un disco fisso locale.

Che cos'è la firma dei driver?  
La firma dei driver associa una firma digitale a un pacchetto di driver. L'installazione del dispositivo Windows utilizza firme digitali per verificare l'integrità dei pacchetti di driver e l'identità del fornitore (autore di software) che fornisce i pacchetti di driver. Inoltre, i criteri per la firma del codice in modalità kernel delle edizioni x64 di Windows Vista e delle versioni successive di Windows specificano che è necessaria la firma di un driver in modalità kernel per consentirne il caricamento. Per ulteriori informazioni sulla firma dei driver, vedere l'articolo MSDN Firma dei driver.

Che cos'è un rootkit?  
Un rootkit è un programma il cui scopo principale è eseguire determinate funzioni che non possono essere facilmente rilevate o annullate da un amministratore di sistema, come l'autonascondimento o altro malware.

Questo aggiornamento rimuove un rootkit da un sistema infetto?  
No. L'aggiornamento previene un metodo noto utilizzato dai rootkit per nascondersi da programmi anti-malware. Anche dopo che l'aggiornamento è stato installato, un sistema infetto da un rootkit deve essere tuttavia pulito tramite altri mezzi.

Come è possibile determinare se il sistema è infetto da un rootkit?
Una volta applicato l'aggiornamento, un programma anti-malware installato dovrebbe essere in grado di rilevare il rootkit e avvisare della sua presenza.

Come si disinstalla un rootkit?
La rimozione manuale non è consigliata per la maggior parte dei rootkit. Utilizzare lo strumento Malicious Software Removal Tool, Microsoft Security Essentials, Windows Live OneCare safety scanner o un altro strumento di scansione e rimozione aggiornato per rilevare e rimuovere questa minaccia e altro software indesiderato dal computer. Per ulteriori informazioni sui prodotti di protezione Microsoft, vedere http://www.microsoft.com/protect/products/computer/default.mspx.

Questo aggiornamento previene infezioni future?
No. Questo aggiornamento rende più difficile il nascondimento dei rootkit, tuttavia, poiché non risolve una vulnerabilità a livello di sicurezza, non previene il verificarsi di un'infezione causata da malware in futuro.

Perché l'aggiornamento è disponibile solo per i sistemi x64?
La firma dei driver non è un requisito delle edizioni a 32 bit delle versioni elencate dei sistemi operativi Windows. I sistemi Itanium non sono affetti da questo problema.

A uno sviluppatore che fornisce file binari con firma viene richiesto di firmare nuovamente tutti i file binari a causa di questo aggiornamento?
No. Questo aggiornamento non richiede di apportare modifiche ai file binari con firma esistenti.

Come verrà elencato questo aggiornamento nel sito Web Windows Update?
Questo aggiornamento per il kernel di Windows viene indicato come alta priorità nel sito Web Windows Update. Nel sito Windows Update viene elencato nella categoria "Priorità alta" per i clienti che non l'hanno già ricevuto ed eseguono il software sopra elencato.

L'aggiornamento viene distribuito con gli Aggiornamenti automatici?
Sì, questo aggiornamento è distribuito tramite Aggiornamenti automatici per i sistemi elencati nella tabella Software interessato sopra riportata.

Questo aggiornamento richiede un bollettino?
No, questo non è un problema che richiede un bollettino Microsoft sulla sicurezza e un aggiornamento per la protezione. Perché un programma possa eseguire codice come descritto sopra, il programma deve venire già eseguito a livello con privilegi. L'aggiornamento apporta modifiche per assicurare che solo i programmi desiderati che sono stati firmati da un'autorità di certificazione valida possano venire eseguiti in winload.exe durante la fase di avvio.

Questo è un advisory sulla sicurezza su un aggiornamento non correlato alla protezione. Non si tratta di una contraddizione?  
Gli advisory sulla sicurezza riguardano modifiche relative alla sicurezza che potrebbero non richiedere uno specifico bollettino, ma che potrebbero influire sulla sicurezza complessiva del cliente. Per Microsoft, gli advisory sulla sicurezza rappresentano un mezzo per comunicare informazioni sulla sicurezza ai clienti relative a problemi che potrebbero non essere classificati come vulnerabilità e richiedere un apposito bollettino oppure relative a problemi per i quali non è stato rilasciato alcun bollettino. In questo caso, Microsoft segnala la disponibilità di un aggiornamento che influisce sulla capacità di eseguire aggiornamenti successivi, compresi gli aggiornamenti per la protezione. Pertanto, questo advisory non riguarda una specifica vulnerabilità a livello di sicurezza, ma piuttosto la protezione complessiva del cliente.

Rileggere gli articoli della Microsoft Knowledge Base associati a questo advisory

Consigliamo ai clienti di installare questi aggiornamenti. I clienti che desiderano ulteriori informazioni su questi aggiornamenti devono consultare l'articolo della Microsoft Knowledge Base 2506014.

Per ulteriori informazioni sulla terminologia utilizzata nel presente advisory, ad esempio sul significato di aggiornamento, vedere l'articolo della Microsoft Knowledge Base 824684.

Proteggi il tuo computer

Microsoft consiglia di seguire le indicazioni disponibili in Proteggi il tuo Computer per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni su questi passaggi, visitare il sito Proteggi il tuo Computer.

Aggiornamento regolare di Windows

Si consiglia a tutti gli utenti di Windows di applicare gli ultimi aggiornamenti per la protezione Microsoft al fine di garantire la massima sicurezza del computer. Per verificare se il software è aggiornato, visitare il sito Windows Update per eseguire la scansione del computer e installare eventuali aggiornamenti ad alta priorità. Se la funzionalità Aggiornamenti automatici è attivata, gli aggiornamenti vengono inviati al computer al momento del rilascio, ma è comunque necessario assicurarsi di installarli.

Altre informazioni

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Commenti e suggerimenti

Supporto

  • Per usufruire dei servizi del supporto tecnico negli Stati Uniti e in Canada, visitare il sito del Security Support. Per ulteriori informazioni sulle opzioni di supporto disponibili, visitare il sito Microsoft Aiuto & Supporto.
  • I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto, visitare il sito per il supporto internazionale.
  • Microsoft TechNet Sicurezza fornisce ulteriori informazioni sulla protezione dei prodotti Microsoft.

Dichiarazione di non responsabilità

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (12 aprile 2011): Pubblicazione dell'advisory.

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft