• Articolo

Avviso di sicurezza

Microsoft Security Advisory 921923

Codice di verifica pubblicato che influisce sul servizio di accesso remoto Gestione connessioni

Pubblicato: 23 giugno 2006

Microsoft è consapevole che il codice di exploit dettagliato è stato pubblicato su Internet per la vulnerabilità risolta dal bollettino sulla sicurezza Microsoft MS06-025. Microsoft non è attualmente a conoscenza degli attacchi attivi che usano questo codice exploit o dell'impatto del cliente in questo momento. Tuttavia, Microsoft sta monitorando attivamente questa situazione per mantenere informati i clienti e fornire indicazioni ai clienti in base alle esigenze.
L'indagine su questo codice exploit ha verificato che non influisce sui clienti che hanno installato gli aggiornamenti dettagliati in MS06-025 nei computer.  Microsoft continua a consigliare ai clienti di applicare gli aggiornamenti ai prodotti interessati abilitando la funzionalità Aggiornamenti automatica in Windows.
Microsoft è deluso dal fatto che alcuni ricercatori della sicurezza hanno violato la pratica comunemente accettata del settore di ritenuta dei dati di vulnerabilità così vicino al rilascio degli aggiornamenti e hanno pubblicato codice exploit, potenzialmente danneggiando gli utenti del computer. Continuiamo a esortare i ricercatori della sicurezza a divulgare le informazioni sulle vulnerabilità in modo responsabile e consentire ai clienti di distribuire gli aggiornamenti in modo che non aiutino i criminali nel loro tentativo di sfruttare le vulnerabilità software

Fattori di mitigazione:

  • I clienti che hanno installato l'aggiornamento della sicurezza MS06-025 non sono interessati da questa vulnerabilità.
  • I sistemi Windows 2000 sono principalmente a rischio da questa vulnerabilità. I clienti che eseguono Windows 2000 devono distribuire MS06-025 il prima possibile o disabilitare il servizio RASMAN.
  • In Windows XP Service Pack 2, Windows Server 2003 e Windows Server 2003 Service Pack 1, l'utente malintenzionato dovrà disporre di credenziali di accesso valide per sfruttare la vulnerabilità.
  • Questo problema non influisce su Windows 98, Windows 98 edizione Standard o Windows Millennium Edition.

Informazioni generali

Panoramica

Scopo dell'avviso: notifica della disponibilità di un aggiornamento della sicurezza per proteggere da questa potenziale minaccia.

Stato avviso: poiché questo problema è già stato risolto come parte del bollettino sulla sicurezza MS06-025 , non è necessario alcun aggiornamento aggiuntivo.

Raccomandazione: installare l'aggiornamento della sicurezza MS06-025 per proteggersi da questa vulnerabilità.

Riferimenti Identificazione
Riferimento CVE CVE-2006-2370
CVE-2006-2371
Bollettino sulla sicurezza MS06-025

Questo avviso illustra il software seguente.
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1 e Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003 e Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 per sistemi basati su Itanium e Microsoft Windows Server 2003 con SP1 per sistemi basati su Itanium
Microsoft Windows Server 2003 x64 Edition

Domande frequenti

Qual è l'ambito dell'avviso?
Microsoft è a conoscenza della pubblicazione pubblica del codice exploit destinato alle vulnerabilità identificate in Microsoft Security Update MS06-025. Questo influisce sul software elencato nella sezione "Panoramica"

Si tratta di una vulnerabilità di sicurezza che richiede a Microsoft di eseguire un aggiornamento della sicurezza?
No. I clienti che hanno installato l'aggiornamento della sicurezza MS06-025 non sono interessati da questa vulnerabilità. Non è necessario alcun aggiornamento aggiuntivo.

Che cosa causa questa minaccia?
Buffer non controllato nelle tecnologie routing e accesso remoto che influiscono in modo specifico sul servizio Gestione connessioni di accesso remoto (RASMAN)

Che cosa fa la funzionalità?
L'Gestione connessioni Accesso remoto è un servizio che gestisce i dettagli di stabilire la connessione al server remoto. Questo servizio fornisce anche al client informazioni sullo stato durante l'operazione di connessione. Il Gestione connessioni accesso remoto viene avviato automaticamente quando un'applicazione carica il RASAPI32.DLL

Cosa può fare un utente malintenzionato che usa questa funzione?
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo del sistema interessato.

Esistono problemi noti con l'installazione di Microsoft Security Update MS06-025 che protegge da questa minaccia?
L'articolo 911280della Microsoft Knowledge Base documenta i problemi attualmente noti che i clienti potrebbero riscontrare quando installano l'aggiornamento della sicurezza. Solo i clienti che usano connessioni remote che usano script che configurano il dispositivo per parità, bit di arresto o bit di dati o una finestra del terminale post-connessione o script di connessione remota, sono interessati dai problemi identificati nell'articolo della Knowledge Base. Se i clienti non usano uno degli scenari di connessione remota identificati, è consigliabile installare immediatamente l'aggiornamento.

Azioni suggerite

Se è stato installato l'aggiornamento rilasciato con il bollettino sulla sicurezza MS06-025, si è già protetti dall'attacco identificato nel codice di prova pubblicato pubblicamente. Se l'aggiornamento non è stato installato o è interessato da uno degli scenari identificati nell'articolo 911280 della Microsoft Knowledge Base, è consigliabile disabilitare il servizio Accesso remoto Gestione connessioni.

  • Disabilitare il servizio Gestione connessioni accesso remoto

    La disabilitazione del servizio di accesso remoto Gestione connessioni consente di proteggere il sistema interessato dai tentativi di sfruttare questa vulnerabilità. Per disabilitare il servizio accesso remoto Gestione connessioni (RASMAN), seguire questa procedura:

    1. Fare clic su Start e quindi su Pannello di controllo. In alternativa, scegliere Impostazioni e quindi fare clic su Pannello di controllo.
    2. Fare doppio clic su Strumenti di amministrazione.
    3. Fare doppio clic su Servizi.
    4. Fare doppio clic su Accesso remoto Gestione connessioni
    5. Nell'elenco Tipo di avvio fare clic su Disabilitato.
    6. Fare clic su Arresta e quindi su OK.

    È anche possibile arrestare e disabilitare il servizio Accesso remoto Gestione connessioni (RASMAN) usando il comando seguente al prompt dei comandi:

    sc stop rasman & sc config rasman start= disabled

    Impatto della soluzione alternativa: se si disabilita il servizio Accesso remoto Gestione connessioni, non è possibile offrire servizi di routing ad altri host in ambienti di rete locale e di ampia area. Pertanto, è consigliabile questa soluzione alternativa solo nei sistemi che non richiedono l'uso di RASMAN per l'accesso remoto e il routing.

  • Bloccare quanto segue nel firewall:

    • Porte UDP 135, 137, 138 e 445 e porte TCP 135, 139, 445 e 593
    • Tutto il traffico in ingresso non richiesto sulle porte maggiori di 1024
    • Qualsiasi altra porta RPC configurata specificamente

    Queste porte vengono usate per avviare una connessione con RPC. Bloccarli nel firewall consente di proteggere i sistemi protetti da tale firewall dai tentativi di sfruttare questa vulnerabilità. Assicurarsi inoltre di bloccare qualsiasi altra porta RPC configurata specificamente nel sistema remoto. È consigliabile bloccare tutte le comunicazioni in ingresso non richieste da Internet per evitare attacchi che potrebbero usare altre porte. Per altre informazioni sulle porte usate da RPC, visitare il sito Web seguente.

  • Per proteggere da tentativi basati sulla rete di sfruttare questa vulnerabilità, usare un firewall personale, ad esempioInternet Connessione ion Firewall, incluso in Windows XP e con Windows Server 2003.

    Per impostazione predefinita, la funzionalità Internet Connessione ion Firewall in Windows XP e in Windows Server 2003 consente di proteggere la connessione Internet bloccando il traffico in ingresso non richiesto. È consigliabile bloccare tutte le comunicazioni in ingresso non richieste da Internet. In Windows XP Service Pack 2 questa funzionalità è denominata Windows Firewall.

    Per abilitare la funzionalità Firewall di Connessione internet tramite l'Installazione guidata rete, seguire questa procedura:

    1. Fare clic sul pulsante Start e quindi scegliere Pannello di controllo.
    2. Nella visualizzazione categoria predefinita fare clic su Rete e Internet Connessione ions, quindi fare clic su Imposta o modificare la rete domestica o piccola dell'ufficio. La funzionalità Firewall di internet Connessione ion è abilitata quando si seleziona una configurazione nell'Installazione guidata rete che indica che il sistema è connesso direttamente a Internet.

    Per configurare manualmente internet Connessione firewall per una connessione, seguire questa procedura:

    1. Fare clic sul pulsante Start e quindi scegliere Pannello di controllo.
    2. Nella visualizzazione categoria predefinita fare clic su Rete e Connessione Internet e quindi su Connessione di rete.
    3. Fare clic con il pulsante destro del mouse sulla connessione in cui si desidera abilitare Internet Connessione ion Firewall, quindi scegliere Proprietà.
    4. Fare clic sulla scheda Avanzate.
    5. Fare clic per selezionare la casella di controllo Proteggi computer o rete limitando o impedendo l'accesso a questo computer da Internet , quindi fare clic su OK.

    Nota Se si desidera abilitare determinati programmi e servizi per comunicare tramite il firewall, fare clic Impostazioni nella scheda Avanzate e quindi selezionare i programmi, i protocolli e i servizi necessari.

  • I clienti che credono di essere stati attaccati dovrebbero contattare l'ufficio FBI locale o pubblicare il reclamo sulsito Web del Centro di reclamo delle frodi Internet. I clienti esterni agli Stati Uniti devono contattare l'agenzia nazionale per le forze dell'ordine nel proprio paese.

  • Clienti in theU.S. e canada che ritengono che potrebbero essere stati interessati da questa possibile vulnerabilità può ricevere supporto tecnico da Microsoft Product Support Services a 1-866-PCSAFETY. Non è previsto alcun addebito per il supporto associato a problemi di aggiornamento della sicurezza o virus". I clienti internazionali possono ricevere supporto usando uno dei metodi elencati nel sito Web Guida e supporto tecnico per gli utenti domestici.
    Tutti i clienti devono applicare gli aggiornamenti della sicurezza più recenti rilasciati da Microsoft per garantire che i sistemi siano protetti da tentativi di sfruttamento. I clienti che hanno abilitato l'Aggiornamenti automatica riceveranno automaticamente tutti gli aggiornamenti di Windows. Per altre informazioni sugli aggiornamenti della sicurezza, visitare il sito Web Microsoft Security.

  • Per ulteriori informazioni sulla sicurezza su Internet, i clienti possono visitare lahome page di Microsoft Security.

  • Mantenere Aggiornato Windows

    Tutti gli utenti di Windows devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano protetti il più possibile. Se non si è certi che il software sia aggiornato, visitare il sito Web di Windows Update, analizzare il computer per gli aggiornamenti disponibili e installare eventuali aggiornamenti ad alta priorità offerti all'utente. Se è abilitato il Aggiornamenti automatico, gli aggiornamenti vengono recapitati quando vengono rilasciati, ma è necessario assicurarsi di installarli.

Altre informazioni

Risorse:

  • È possibile fornire commenti e suggerimenti completando il modulo visitando il sito Web seguente.
  • I clienti negli Stati Uniti e in Canada possono ricevere supporto tecnico dai servizi di supporto tecnico Microsoft. Per altre informazioni sulle opzioni di supporto disponibili, vedere il sito Web guida e supporto tecnico Microsoft.
  • I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il sito Web del supporto internazionale.
  • Il sito Web Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.

Declinazione di responsabilità:

Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.

Revisioni:

  • 23 giugno 2006 Advisory pubblicato

Costruito al 2014-04-18T13:49:36Z-07:00