• Articolo

Avviso di sicurezza

Microsoft Security Advisory 911052

Denial of Service di allocazione di memoria tramite RPC

Pubblicato: 16 novembre 2005 | Aggiornamento: 18 novembre 2005

Microsoft è a conoscenza dei report pubblici del codice proof-of-concept che cerca di sfruttare una possibile vulnerabilità in Microsoft Windows 2000 Service Pack 4 e in Microsoft Windows XP Service Pack 1. Questa vulnerabilità potrebbe consentire a un utente malintenzionato di eseguire un attacco Denial of Service di durata limitata.

In Windows 2000 Service Pack 4, un utente malintenzionato potrebbe potenzialmente sfruttare questa vulnerabilità in modo anonimo. In Windows XP Service Pack 1, un utente malintenzionato deve avere credenziali di accesso valide per tentare di sfruttare questa vulnerabilità. Non è stato possibile sfruttare la vulnerabilità in modalità remota da parte di utenti anonimi. Tuttavia, il componente interessato è disponibile in modalità remota per gli utenti con account utente standard. I clienti che hanno installato Windows XP Service Pack 2 non sono interessati da questa vulnerabilità. Inoltre, i clienti che eseguono Windows Server 2003 e Windows Server 2003 Service Pack 1 non sono interessati da questa vulnerabilità.

Microsoft non è a conoscenza degli attacchi attivi che usano questa vulnerabilità o dell'impatto del cliente in questo momento. Tuttavia, Microsoft sta monitorando attivamente questa situazione per mantenere informati i clienti e fornire indicazioni ai clienti in base alle esigenze.

Microsoft è preoccupato che questo nuovo report di una vulnerabilità in Windows 2000 Service Pack 4 e Windows XP Service Pack 1 non sia stato divulgato in modo responsabile, potenzialmente mettendo a rischio gli utenti di computer. Continuiamo a incoraggiare la divulgazione responsabile delle vulnerabilità. Crediamo che la pratica comunemente accettata di segnalare le vulnerabilità direttamente a un fornitore serve i migliori interessi di tutti. Questa procedura consente di garantire che i clienti ricevano aggiornamenti completi e di alta qualità per le vulnerabilità di sicurezza senza esposizione a utenti malintenzionati durante lo sviluppo dell'aggiornamento.

Sebbene questa vulnerabilità sia stata individuata da un ricercatore della sicurezza durante l'analisi della vulnerabilità risolta dal bollettino sulla sicurezza MS05-047, si tratta di una vulnerabilità completamente separata e non è correlata alla vulnerabilità descritta in MS05-047. Microsoft continua a incoraggiare i clienti a applicare l'aggiornamento MS05-047 e tutti gli aggiornamenti della sicurezza recenti rilasciati da Microsoft.

Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il PC per abilitare un firewall, ottenere aggiornamenti software e installare software antivirus Clienti possono saperne di più su questi passaggi visitando il sito Web Proteggi il PC.

Fattori di mitigazione:

  • In Windows XP Service Pack 1 un utente malintenzionato deve avere credenziali di accesso valide per tentare di sfruttare questa vulnerabilità. Non è stato possibile sfruttare la vulnerabilità in modalità remota da parte di utenti anonimi. Tuttavia, il componente interessato è disponibile in modalità remota per gli utenti con account utente standard. In determinate configurazioni, gli utenti anonimi possono eseguire l'autenticazione come account guest. Per altre informazioni, vedere Microsoft Security Advisory 906574.
  • I clienti che eseguono Windows XP Service Pack 2, Windows Server 2003 e Windows Server 2003 Service Pack 1 non sono interessati da questa vulnerabilità.
  • Le procedure consigliate per il firewall e le configurazioni firewall predefinite standard consentono di proteggere le reti da attacchi che hanno origine all'esterno del perimetro aziendale. Le procedure consigliate consigliano che i sistemi connessi a Internet abbiano un numero minimo di porte esposte.

Informazioni generali

Panoramica

Scopo dell'consulenza: per consigliare ai clienti di un problema divulgato pubblicamente, chiarire l'ambito e l'impatto di tale problema e fornire indicazioni prescrittive

Stato avviso: in fase di indagine.

Raccomandazione: esaminare le azioni suggerite e configurare in base alle esigenze.

Riferimenti Identificazione
Riferimento CVE CAN-2005-3644
Articolo della Microsoft Knowledge Base 911052

Questo avviso illustra il software seguente.
Software correlato
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1

Domande frequenti

Qual è l'ambito dell'avviso?
Microsoft ha rilevato una nuova vulnerabilità denial of service di allocazione di memoria in Microsoft Windows. Questo influisce sul software elencato nella sezione "Panoramica".

Che cos'è la chiamata di procedura remota (RPC)?
La chiamata di procedura remota (RPC) è un protocollo usato dal sistema operativo Windows. RPC fornisce un meccanismo di comunicazione tra processi che consente a un programma in esecuzione in un computer di accedere facilmente ai servizi in un altro computer. Il protocollo stesso è derivato dal protocollo RPC Open Software Foundation (OSF), ma con l'aggiunta di alcune estensioni specifiche di Microsoft.

Si tratta di una vulnerabilità di sicurezza che richiede a Microsoft di eseguire un aggiornamento della sicurezza?
A questo punto, il problema è ancora in fase di indagine. Al termine dell'indagine, per questo problema potrebbe essere rilasciato un aggiornamento della sicurezza.

Che cosa causa questa minaccia?
Un utente malintenzionato può inviare pacchetti dannosi appositamente creati a un computer vulnerabile, che potrebbe causare una condizione denial of service di durata limitata.

Cosa può fare un utente malintenzionato che usa questa funzione?
Un utente malintenzionato può inviare pacchetti dannosi appositamente creati a un computer vulnerabile che potrebbe causare una condizione Denial of Service di durata limitata.

Azioni suggerite

Soluzioni alternative

Microsoft ha testato le soluzioni alternative seguenti. Anche se queste soluzioni alternative non correggeranno la vulnerabilità sottostante, consentono di bloccare i vettori di attacco noti. Quando una soluzione alternativa riduce la funzionalità, viene identificata nella sezione seguente.

  • Per proteggere da tentativi di connessione anonimi basati sulla rete per sfruttare questa vulnerabilità, configurare l'impostazione del Registro di sistema RestrictAnonymous su un'impostazione più restrittiva:

    Per impostazione predefinita in Windows 2000, la voce RestrictAnonymous è impostata su un valore pari a 0, che non limita gli utenti anonimi. Impostando la voce del Registro di sistema su un valore pari a 2, gli utenti anonimi non avranno accesso senza autorizzazioni anonime esplicite. Per altre informazioni su come usare la voce del Registro di sistema RestrictAnonymous in Windows 2000, vedere l'articolo della Microsoft Knowledge Base 246261.

    Impatto della soluzione alternativa: quando il valore del Registro di sistema RestrictAnonymous è impostato su 2, il token di accesso compilato per gli utenti non autenticati non include il gruppo Everyone e, per questo motivo, il token di accesso non ha più accesso a tali risorse che concedono le autorizzazioni al gruppo Everyone. Questo potrebbe causare un comportamento indesiderato perché molti servizi di Windows 2000, nonché programmi di terze parti, si basano su funzionalità di accesso anonimo per eseguire attività legittime.

  • Bloccare quanto segue nel firewall:

    • Porte UDP 135, 137, 138 e 445 e porte TCP 135, 139, 445 e 593
    • Tutto il traffico in ingresso non richiesto sulle porte maggiori di 1024
    • Qualsiasi altra porta RPC configurata specificamente
    • Se installato, COM Internet Services (CIS) o RPC su HTTP, in ascolto sulle porte 80 e 443

    Queste porte vengono usate per avviare una connessione con RPC. Bloccarli nel firewall consentirà di impedire ai sistemi protetti da tale firewall di tentare di sfruttare questa vulnerabilità. Assicurarsi inoltre di bloccare qualsiasi altra porta RPC configurata specificamente nel sistema remoto. È consigliabile bloccare tutte le comunicazioni in ingresso non richieste da Internet per evitare attacchi che potrebbero usare altre porte. Per altre informazioni sulle porte usate da RPC, visitare il sito Web seguente. Per altre informazioni su come disabilitare CIS, vedere l'articolo della Microsoft Knowledge Base 825819.

  • Per proteggere i tentativi basati sulla rete di sfruttare questa vulnerabilità, usare un firewall personale, ad esempio InternetConnessione ion Firewall, incluso in Windows XP Service Pack 1.

    Per impostazione predefinita, la funzionalità Internet Connessione ion Firewall in Windows XP Service Pack 1 consente di proteggere la connessione Internet bloccando il traffico in ingresso non richiesto. È consigliabile bloccare tutte le comunicazioni in ingresso non richieste da Internet.

    Per configurare manualmente internet Connessione firewall per una connessione, seguire questa procedura:

    1. Fare clic sul pulsante Start e quindi scegliere Pannello di controllo.
    2. Nella visualizzazione categoria predefinita fare clic su Rete e Connessione Internet e quindi su Connessione di rete.
    3. Fare clic con il pulsante destro del mouse sulla connessione in cui si desidera abilitare Internet Connessione ion Firewall, quindi scegliere Proprietà.
    4. Fare clic sulla scheda Avanzate.
    5. Fare clic per selezionare la casella di controllo Proteggi computer o rete limitando o impedendo l'accesso a questo computer da Internet , quindi fare clic su OK.

    Nota Se si desidera abilitare determinati programmi e servizi per comunicare tramite il firewall, fare clic Impostazioni nella scheda Avanzate e quindi selezionare i programmi, i protocolli e i servizi necessari.

  • Per proteggere i tentativi basati sulla rete di sfruttare questa vulnerabilità, abilitare il filtro TCP/IP avanzato sui sistemi che supportano questa funzionalità.

    È possibile abilitare il filtro TCP/IP avanzato per bloccare tutto il traffico in ingresso non richiesto. Per altre informazioni su come configurare il filtro TCP/IP, vedere l'articolo della Microsoft Knowledge Base 309798.

  • Per proteggere i tentativi basati sulla rete di sfruttare questa vulnerabilità, bloccare le porte interessate usando IPsec nei sistemi interessati.

    Usare la sicurezza del protocollo Internet (IPsec) per proteggere le comunicazioni di rete. Informazioni dettagliate su IPsec e su come applicare i filtri sono disponibili nell'articolo della Microsoft Knowledge Base 313190 e nell'articolo della Microsoft Knowledge Base 813878.

  • I clienti negli Stati Uniti e in Canada che ritengono che potrebbero essere stati interessati da questa possibile vulnerabilità possono ricevere supporto tecnico dai Servizi supporto tecnico Microsoft a 1-866-PCSAFETY. Non è previsto alcun addebito per il supporto associato a problemi di aggiornamento della sicurezza o virus". I clienti internazionali possono ricevere supporto usando uno dei metodi elencati nel sito Web Guida e supporto tecnico per gli utenti domestici. Tutti i clienti devono applicare gli aggiornamenti della sicurezza più recenti rilasciati da Microsoft per garantire che i sistemi siano protetti da tentativi di sfruttamento. I clienti che hanno abilitato l'Aggiornamenti automatica riceveranno automaticamente tutti gli aggiornamenti di Windows. Per altre informazioni sugli aggiornamenti della sicurezza, visitare il sito Web Microsoft Security.

  • Proteggere il PC

    Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il PC per abilitare un firewall, ottenere gli aggiornamenti software e installare software antivirus. I clienti possono saperne di più su questi passaggi visitando il sito Web Proteggi il PC.

  • Per ulteriori informazioni sulla sicurezza su Internet, i clienti possono visitare lahome page di Microsoft Security.

  • Mantenere aggiornato il sistema

    Tutti gli utenti di Windows devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano protetti il più possibile. Se non si è certi che il software sia aggiornato, visitare il sito Web di Windows Update, analizzare il computer per gli aggiornamenti disponibili e installare eventuali aggiornamenti ad alta priorità offerti all'utente. Se è abilitato il Aggiornamenti automatico, gli aggiornamenti vengono recapitati quando vengono rilasciati, ma è necessario assicurarsi di installarli.

Altre informazioni

Risorse:

  • È possibile fornire commenti e suggerimenti completando il modulo visitando il sito Web seguente.
  • I clienti negli Stati Uniti e in Canada possono ricevere supporto tecnico dai servizi di supporto tecnico Microsoft. Per altre informazioni sulle opzioni di supporto disponibili, vedere il sito Web guida e supporto tecnico Microsoft.
  • I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il sito Web del supporto internazionale.
  • Il sito Web Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.

Declinazione di responsabilità:

Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.

Revisioni:

  • 16 novembre 2005: Avviso pubblicato
  • 18 novembre 2005: Avviso aggiornato per fare riferimento a un CVE e chiarire che questo problema è sfruttabile in modo anonimo in Windows 2000 Service Pack 4.

Costruito al 2014-04-18T13:49:36Z-07:00