Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 971888

Aggiornamento per la devoluzione DNS

Data di pubblicazione: martedì 9 giugno 2009

Versione: 1.0

Microsoft annuncia la disponibilità di un aggiornamento che riguarda la devoluzione DNS in grado di aiutare gli utenti a proteggere i loro sistemi. I clienti che presentano un nome di dominio con tre o più etichette (come "contoso.co.us") o che non hanno configurato un elenco suffissi DNS o per i quali non si applicano i fattori attenuanti descritti di seguito potrebbero inavvertitamente consentire a dei sistemi client di trattare dei sistemi esterni ai confini dell'organizzazione come se fossero interni.

Fattori attenuanti:

  • I clienti che non appartengono a un dominio e che hanno configurato un elenco di ricerca suffissi DNS sul loro sistema non corrono il rischio di trattare inavvertitamente i sistemi esterni come se fossero interni. Microsoft consiglia ai propri clienti aziendali di impostare gli elenchi di ricerca suffissi DNS sui sistemi client in modo da assicurare che tutte le query DNS rimangano entro i confini dell'organizzazione.
  • Nella maggior parte dei casi, gli utenti privati che non sono membri di un dominio non utilizzano la devoluzione DNS e non sono di conseguenza esposti a questo rischio. Gli utenti privati che non sono membri di un dominio ma che hanno configurato un suffisso DNS primario, tuttavia, utilizzano la devoluzione DNS e corrono il rischio di trattare inavvertitamente i sistemi esterni come se fossero interni.
  • I clienti il cui nome di dominio DNS consiste in due etichette non sono esposti a questo rischio. Un esempio di cliente non interessato dalla vulnerabilità è contoso.com o fabrikam.gov, in cui "contoso" e "fabrikam" sono nomi di dominio registrati dal cliente nei relativi domini di primo livello "com" e "gov" (TLD).

Informazioni generali

Scopo dell'advisory: Fornire spiegazioni e notifiche relative alla disponibilità di un aggiornamento non correlato alla protezione che può aiutare i clienti a proteggere i loro sistemi.

Stato dell'advisory: Sono stati pubblicati un articolo della Microsoft Knowledge Base e i relativi aggiornamenti.

Raccomandazione: Leggere attentamente l'articolo della Knowledge Base indicato e applicare gli aggiornamenti appropriati.

RiferimentiIdentificazione
L'articolo della Microsoft Knowledge Base 957579

In questo advisory vengono presi in esame i seguenti prodotti software.

Software interessato
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 e Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP2 per sistemi basati su Itanium
Windows Vista, Windows Vista Service Pack 1 e Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2
Windows Server 2008 per sistemi a 32 bit e Windows Server 2008 per sistemi a 32 bit Service Pack 2
Windows Server 2008 per sistemi x64 e Windows Server 2008 per sistemi x64 Service Pack 2
Windows Server 2008 per sistemi basati su Itanium e Windows Server 2008 per sistemi basati su Itanium Service Pack 2

Qual è lo scopo di questo advisory?
Questo advisory informa che sono disponibili degli aggiornamenti che consentono di definire i confini di un'organizzazione per sistemi che appartengono a un dominio ma non hanno configurato un elenco di suffissi DNS. Sono disponibili degli aggiornamenti per il software elencato nella sezione Panoramica.

Che cos'è un dominio di primo livello (TLD)?
Un dominio di primo livello (Top-Level Domain, TLD) è l'ultima parte di un nome di dominio Internet. È costituito dalle lettere che seguono il punto finale di un nome di dominio. Ad esempio, nel nome di dominio "wpad.western.corp.contoso.co.us", il dominio TLD è "us". I TLD possono essere suddivisi principalmente in due tipi: generico e per codice del paese. I TLD con il codice del paese sono l'abbreviazione a due lettere di ciascun paese. In questo esempio, "us" sta per Stati Uniti. I TLD generici sono abbreviazioni facilmente riconoscibili formate normalmente da tre (o più) lettere, ad esempio com, net, org e così via. Per un elenco completo di tutti i TLD disponibili, fare riferimento al sito Web di IANA.

Che cos'è un suffisso DNS primario (PDS)?
Un suffisso DNS primario è un nome di dominio aggiunto a destra del singolo nome host di un computer. Un nome di dominio completo (FQDN) può essere definito come <nome host>.<suffisso DNS primario>. Per impostazione predefinita, la porzione dell'FQDN di un computer relativa al suo suffisso DNS primario è identica al nome del dominio Active Directory a cui appartiene il computer. Il PDS di un computer può tuttavia differire dal dominio DNS a cui il computer viene associato quando viene configurato tramite la finestra di dialogo Proprietà di Risorse del computer.

Che cos'è un dominio di secondo livello (SLD)?
Un dominio di secondo livello (Second-Level Domain, SLD) è un dominio posto direttamente "al di sotto" o a sinistra del TLD. Nell'esempio precedente, il dominio SLD di "wpad.western.corp.contoso.co.us" è "co". La registrazione più comune di SLD è sotto i TLD con il codice del paese. Negli Stati Uniti il dominio SLD viene generalmente utilizzato per la registrazione dei singoli stati degli USA: "co.us" rappresenta ad esempio lo stato del Colorado. I domini non statunitensi spesso riutilizzano i nomi di TLD comuni come "com.sg".

Qual è lo scopo della funzione di devoluzione DNS?
La devoluzione è una funzione propria dei client DNS di Windows. È un processo tramite il quale i client DNS di Windows risolvono le query DNS per i nomi host non qualificati a etichetta singola. Tali query vengono costruite aggiungendo PDS al nome host. Quando una query viene ritentata, viene rimossa sistematicamente l'etichetta più a sinistra del PDS, fino a quando il nome host e il PDS rimanente vengono risolti oppure il PDS si riduce a due etichette. Supponiamo, ad esempio, che un client Windows cerchi "Single-label" nel dominio "western.corp.contoso.co.us": il cliente invierà progressivamente le query: "Single-label.western.corp.contoso.co.us", "Single-label.corp.contoso.co.us", "Single-label.contoso.co.us" e infine "Single-label.co.us", fino a quando la query non viene risolta. Questo processo viene chiamato "devoluzione". Per ulteriori informazioni sul servizio Client DNS e sulla devoluzione, vedere la sezione Name Resolution for Single-Label, Unqualified Domain Names nell'articolo di TechNet Nozioni fondamentali sul protocollo TCP/IP per Microsoft Windows: Panoramica. Capitolo 9: Supporto Windows per DNS.

Quali sono del cause di questa vulnerabilità?
Un utente malintenzionato potrebbe ospitare un sistema con un nome a etichetta singola al di fuori dei confini di un'organizzazione e, sfruttando la funzione di devoluzione DNS, potrebbe far sì che un client DNS di Windows si connetta a esso come se fosse interno ai confini dell'organizzazione. Se, ad esempio, il suffisso DNS di un'organizzazione è "corp.contoso.co.us" e si tenta di risolvere il nome host non qualificato "Single-Label", il resolver DNS proverà a inviare "Single-Label.corp.contoso.co.us". Se il tentativo fallisce, il resolver DNS utilizzerà la devoluzione DNS per risolvere "Single-label.contoso.co.us". Se anche questo tentativo non riesce, proverà a risolvere "Single-label.co.us", che si trova al di fuori del dominio "contoso.co.us".

Quali sono le conseguenze dell'uscita di una query dai confini esterni di un'organizzazione?
Le conseguenze dipendono dal tipo di query che esce dai confini dell'organizzazione.

Tutte le query possono causare una esposizione degli indirizzi IP interni. I client di rete possono scambiare credenziali col server dannoso. Se la query si rivolge a un server WPAD, un proxy dannoso potrebbe essere impostato nei computer client.

Questo aggiornamento modifica l'attuale procedura di devoluzione DNS?
Sì. L'aggiornamento stabilisce il dominio del client Windows e confina le query DNS entro quel dominio. Per ulteriori informazioni ed esempi sulla modifica della procedura di devoluzione DNS, vedere l'articolo della Microsoft Knowledge Base 957579.

L'installazione di questo aggiornamento comporta dei cambiamenti a livello dell'esperienza degli utenti?
Sì. Al termine dell'installazione dell'aggiornamento, il resolver DNS eseguirà la devoluzione solo fino al livello stabilito dalle impostazioni di dominio del client Windows, arrestando potenzialmente qualunque applicazione o configurazione che si basi su questa procedura. Per ulteriori informazioni sulla modifica della procedura di devoluzione DNS, vedere l'articolo della Microsoft Knowledge Base 957579.

Questo è un advisory sulla sicurezza su un aggiornamento non correlato alla protezione. Non è una contraddizione?
Gli advisory sulla sicurezza riguardano modifiche relative alla sicurezza che potrebbero non richiedere un bollettino specifico, pur influendo sulla sicurezza complessiva del cliente. Per Microsoft, gli advisory sulla sicurezza rappresentano un mezzo per comunicare informazioni sulla sicurezza ai clienti relative a problemi che potrebbero non essere classificati come vulnerabilità e richiedere un apposito bollettino oppure relative a problemi per i quali non è stato rilasciato alcun bollettino. In questo caso, Microsoft segnala la disponibilità di un aggiornamento che influisce sulla capacità di eseguire aggiornamenti successivi, compresi gli aggiornamenti per la protezione. Pertanto, questo advisory non riguarda una specifica vulnerabilità a livello di sicurezza, ma piuttosto la protezione complessiva del cliente.

Come viene distribuito quest'aggiornamento?
Gli aggiornamenti sono disponibili nell'Area download Microsoft. La tabella Software interessato all'interno della sezione Panoramica contiene dei collegamenti diretti agli aggiornamenti per il software specifico interessato. Per ulteriori informazioni sugli aggiornamenti e sulle modifiche alla procedura, vedere l'articolo della Microsoft Knowledge Base 957579.

Quest'aggiornamento viene distribuito in Aggiornamenti automatici?
No. Questi aggiornamenti non vengono distribuiti tramite il meccanismo degli Aggiornamenti automatici. Gli aggiornamenti possono essere scaricati solo dall'Area download Microsoft La tabella Software interessato all'interno della sezione Panoramica contiene dei collegamenti diretti agli aggiornamenti per il software specifico interessato.

Perché questo aggiornamento, sebbene venga annunciato in un bollettino sulla sicurezza, non rappresenta un aggiornamento per la protezione?
Questo aggiornamento riguarda un problema di configurazione. La procedura di devoluzione DNS funziona come previsto. Alcuni clienti potrebbero legittimamente attendersi che la devoluzione DNS consenta loro di raggiungere delle risorse poste al di fuori dei confini della loro organizzazione trattandole come risorse interne.

Perché quest'aggiornamento viene fornito in un advisory sulla sicurezza?
I clienti potrebbero non sapere che i client Windows del loro ambiente utilizzano la devoluzione. La procedura di devoluzione può consentire ai client di trattare dei sistemi esterni ai loro confini come risorse interne inducendoli a confidare le loro credenziali o a esporsi a vulnerabilità legate all'intercettazione di informazioni personali.

Soluzioni alternative

Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino il rischio sottostante, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata nella sezione seguente.

Disattivazione della devoluzione DNS

Per disattivare la devoluzione DNS automatica, salvare quanto segue in un file con estensione REG, quindi eseguire regedit.exe /s <nome file> da un prompt dei comandi di livello elevato o amministrativo:

Nota Fare riferimento all'articolo di Technet UseDomainNameDevolution per ulteriori informazioni sul valore del Registro di sistema UseDomainNameDevolution.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient]
"UseDomainNameDevolution"=dword:00000000

Affinché le modifiche abbiano effetto, il servizio Client DNS deve essere interrotto e riavviato. Ciò è possibile da un prompt dei comandi amministrativo o di livello elevato, utilizzando il seguente comando:

net stop dnscache & net start dnscache

Effetto della soluzione alternativa: Il resolver DNS non esegue la devoluzione, interrompendo potenzialmente le applicazioni o le configurazioni che si basano su questo comportamento. Le applicazioni che eseguono una propria soluzione di devoluzione non sono interessate da questa impostazione.

Configurazione di un elenco di ricerca per i suffissi di dominio

Per creare un elenco di ricerca per i suffissi di dominio, salvare quanto segue in un file con estensione REG, quindi eseguire regedit.exe /s <nome file> da un prompt dei comandi di livello elevato o amministrativo:

Windows Registry Editor Version 5,00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"SearchList"=<domain specific search list>

Nota Windows Server 2003 include la possibilità di distribuire l'elenco di ricerca per i suffissi di dominio tramite Criteri di gruppo. Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 294785 all'interno della sezione Elenco di ricerca suffissi DNS.

Effetto della soluzione alternativa: Quando un elenco di ricerca per i suffissi di dominio viene configurato nei sistemi client, solo l'elenco di suffissi specificato viene utilizzato nelle query DNS. Non viene utilizzato né il suffisso DNS primario, né altri suffissi DNS specifici della connessione. Il resolver DNS non esegue la devoluzione, interrompendo potenzialmente le applicazioni o le configurazioni che si basano su questo comportamento.

Altre informazioni

Risorse:

Dichiarazione di non responsabilità:

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni:

  • V1.0 (9 giugno 2009): pubblicazione dell'advisory

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft