Avviso di sicurezza

Microsoft Security Advisory 2506014

Aggiornamento per il caricatore del sistema operativo Windows

Pubblicato: 12 aprile 2011

Versione: 1.0

Informazioni generali

Schema riepilogativo

Microsoft annuncia la disponibilità di un aggiornamento a winload.exe per risolvere un problema relativo all'imposizione della firma del driver. Anche se non si tratta di un problema che richiede un aggiornamento della sicurezza, questo aggiornamento risolve un metodo con cui i driver non firmati possono essere caricati da winload.exe. Questa tecnica viene spesso utilizzata dal malware per rimanere residente su un sistema dopo l'infezione iniziale.

Il problema interessa e l'aggiornamento è disponibile per le edizioni basate su x64 di Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Per altre informazioni su questa versione, vedere l'articolo della Microsoft Knowledge Base 2506014.

Dettagli avviso

Riferimenti ai problemi

Per altre informazioni su questo problema, vedere i riferimenti seguenti:

Riferimenti Identificazione
Articolo della Microsoft Knowledge Base 2506014

Software interessato e non interessato

Questo avviso illustra il software seguente.

Software interessato
Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2
Windows Server 2008 per sistemi basati su x64 e Windows Server 2008 per sistemi basati su x64 Service Pack 2
Windows 7 per sistemi basati su x64 e Windows 7 per sistemi basati su x64 Service Pack 1
Windows Server 2008 R2 per sistemi basati su x64 e Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1
Software non interessato
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP2 per sistemi basati su Itanium
Windows Vista Service Pack 1 e Windows Vista Service Pack 2
Windows Server 2008 per sistemi a 32 bit e Windows Server 2008 per sistemi a 32 bit Service Pack 2
Windows Server 2008 per sistemi basati su Itanium e Windows Server 2008 per Sistemi basati su Itanium Service Pack 2
Windows 7 per sistemi a 32 bit e Windows 7 per sistemi a 32 bit Service Pack 1
Windows Server 2008 R2 per sistemi basati su Itanium e Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1

Domande frequenti

Qual è l'ambito dell'avviso?
Questo avviso fornisce chiarimenti e notifiche sulla disponibilità di un aggiornamento non della sicurezza per risolvere un problema nell'applicazione della firma del driver. L'aggiornamento punta a un metodo in base al quale i driver non firmati possono essere caricati da winload.exe. Questa tecnica viene spesso utilizzata da malware, ad esempio rootkit, per rimanere residente su un sistema dopo l'infezione iniziale. Il problema riguarda il software elencato nella tabella Software interessato precedente.

Che cosa fa sì che si verifichi questo problema?
Durante il processo di avvio, winload.exe determina lo stato con segno dei file binari di sistema. Alcune inadequacie in questo processo consentono il caricamento di file binari non firmati. In questo caso, Windows non è in grado di garantire l'integrità di determinati componenti del sistema operativo principale.

Che cos'è il caricatore del sistema operativo Windows (winload.exe)?
Il caricatore del sistema operativo Windows (winload.exe) carica il kernel Windows e le relative dipendenze, nonché i driver di avvio. Questo componente contiene anche il codice che esegue una query sul BIOS di un sistema per recuperare le informazioni di base sul dispositivo e sulla configurazione. Questa applicazione fa parte del sistema operativo e carica una versione specifica di Windows. Usa il firmware per caricare il kernel del sistema operativo e per avviare i driver di dispositivo critici da un disco rigido locale.

Che cos'è la firma del driver?
La firma del driver associa una firma digitale a un pacchetto driver. L'installazione del dispositivo Windows usa firme digitali per verificare l'integrità dei pacchetti driver e per verificare l'identità del fornitore (autore del software) che fornisce i pacchetti driver. Inoltre, i criteri di firma del codice in modalità kernel per le edizioni basate su x64 di Windows Vista e versioni successive di Windows specificano che un driver in modalità kernel deve essere firmato per il caricamento del driver. Per altre informazioni sulla firma dei driver, vedere l'articolo MSDN relativo alla firma del driver.

Che cos'è un rootkit?
Un rootkit è un programma il cui scopo principale è quello di eseguire determinate funzioni che non possono essere facilmente rilevate o annullate da un amministratore di sistema, ad esempio nascondersi o altro malware.

Questo aggiornamento rimuove un rootkit da un sistema infetto?
No. L'aggiornamento impedisce un metodo noto usato dai rootkit per nascondere i programmi antimalware. Anche dopo l'installazione dell'aggiornamento, un sistema infetto da un rootkit dovrà comunque essere pulito tramite altri mezzi.

Come è possibile determinare se il sistema è infetto da un rootkit?
Una volta applicato l'aggiornamento, un programma antimalware installato dovrebbe essere in grado di rilevare il rootkit e informarne la presenza.

Ricerca per categorie disinstallare un rootkit?
La rimozione manuale non è consigliata per la maggior parte dei rootkit. Utilizzare lo strumento di rimozione di software dannoso Microsoft, Microsoft Security Essentials, Windows Live OneCare safety scanner o un altro strumento aggiornato di analisi e rimozione per rilevare e rimuovere questa minaccia e altri software indesiderati dal computer. Per altre informazioni sui prodotti microsoft per la sicurezza, vedere https:.

Questo aggiornamento impedirà che si verifichino infezioni future?
No. Questo aggiornamento aumenta la difficoltà di nascondere i rootkit, ma poiché non risolve una vulnerabilità di sicurezza, non impedirebbe che si verifichi un'infezione malware futura.

Perché questo aggiornamento è disponibile solo per i sistemi basati su x64?
La firma del driver non è un requisito di edizioni a 32 bit delle versioni del sistema operativo Windows elencate. I sistemi basati su Itanium non sono interessati da questo problema.

Sono uno sviluppatore che spedisce file binari firmati. Questo aggiornamento richiederà di firmare nuovamente tutti i file binari?
No. Questo aggiornamento non richiede modifiche ai file binari firmati esistenti.

In che modo Microsoft elenca questo aggiornamento nel sito Web di Windows Update?
L'aggiornamento per il kernel di Windows è un aggiornamento ad alta priorità nel sito Web di Windows Update. Nel sito di Windows Update, verrà elencato nella categoria "Priorità alta" Aggiornamenti per i clienti che non hanno già ricevuto l'aggiornamento e che eseguono il software elencato sopra.

Questo aggiornamento verrà distribuito tramite il Aggiornamenti automatico?
Sì, questo aggiornamento viene distribuito su Aggiornamenti automatica ai sistemi elencati nella tabella Software interessato precedente.

Si tratta di un aggiornamento che richiede un bollettino?
No, questo non è un problema che richiede un bollettino sulla sicurezza Microsoft e un aggiornamento della sicurezza. Per consentire a un programma di eseguire codice come descritto in precedenza, il programma deve essere già in esecuzione a livello con privilegi. L'aggiornamento apporta modifiche per garantire che solo i programmi previsti firmati da un'autorità di certificazione valida possano essere eseguiti in winload.exe durante la fase di avvio.

Si tratta di un avviso di sicurezza relativo a un aggiornamento non della sicurezza. Non è una contraddizione?
Gli avvisi di sicurezza rispondono alle modifiche alla sicurezza che potrebbero non richiedere un bollettino sulla sicurezza, ma potrebbero comunque influire sulla sicurezza complessiva del cliente. Gli avvisi di sicurezza consentono a Microsoft di comunicare ai clienti informazioni relative alla sicurezza relative a problemi che potrebbero non essere classificati come vulnerabilità e potrebbero non richiedere un bollettino sulla sicurezza o problemi per i quali non è stato rilasciato alcun bollettino sulla sicurezza. In questo caso, stiamo comunicando la disponibilità di un aggiornamento che influisce sulla possibilità di eseguire gli aggiornamenti successivi, inclusi gli aggiornamenti della sicurezza. Pertanto, questo avviso non risolve una vulnerabilità di sicurezza specifica; piuttosto, risolve la sicurezza complessiva.

Azioni suggerite

Esaminare gli articoli della Microsoft Knowledge Base associati a questo avviso

È consigliabile che i clienti installino questi aggiornamenti. I clienti interessati a saperne di più su questi aggiornamenti devono consultare l'articolo della Microsoft Knowledge Base 2506014.

Per altre informazioni sulla terminologia visualizzata in questo avviso, ad esempio "aggiornamento", vedere l'articolo della Microsoft Knowledge Base 824684.

Proteggere il computer

Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il computer per abilitare un firewall, ottenere gli aggiornamenti software e installare il software antivirus. Per altre informazioni su questi passaggi, vedere Proteggere il computer.

Mantenere Windows aggiornato

Tutti gli utenti di Windows devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano protetti il più possibile. Se non si è certi che il software sia aggiornato, visitare Windows Update, analizzare il computer per individuare gli aggiornamenti disponibili e installare eventuali aggiornamenti ad alta priorità offerti all'utente. Se è abilitato il Aggiornamenti automatico, gli aggiornamenti vengono recapitati quando vengono rilasciati, ma è necessario assicurarsi di installarli.

Altre informazioni

Microsoft Active Protections Program (MAPP)

Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web delle protezioni attive forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).

Feedback

Supporto tecnico

  • I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
  • I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il supporto internazionale.
  • Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.

Dichiarazione di non responsabilità

Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.

Revisioni

  • V1.0 (12 aprile 2011): Avviso pubblicato.

Costruito al 2014-04-18T13:49:36Z-07:00</https:>