• Articolo

Avviso di sicurezza

Microsoft Security Advisory 974926

Attacchi di inoltro delle credenziali sull'autenticazione integrata di Windows

Pubblicato: 8 dicembre 2009

Versione: 1.0

Questo avviso affronta il potenziale di attacchi che influiscono sulla gestione delle credenziali tramite l'autenticazione integrata di Windows (IWA) e i meccanismi resi disponibili ai clienti per proteggere questi attacchi.

In questi attacchi, un utente malintenzionato in grado di ottenere le credenziali di autenticazione dell'utente durante il trasferimento tra un client e un server potrebbe riflettere queste credenziali a un servizio in esecuzione nel client o inoltrarle a un altro server in cui il client ha un account valido. In questo modo l'utente malintenzionato può ottenere l'accesso a queste risorse, rappresentando il client. Poiché le credenziali di IWA vengono con hash, un utente malintenzionato non può usarlo per verificare il nome utente e la password effettivi.

A seconda dello scenario e dell'uso di vettori di attacco aggiuntivi, un utente malintenzionato può ottenere le credenziali di autenticazione sia all'interno che all'esterno del perimetro di sicurezza dell'organizzazione e usarli per ottenere l'accesso inappropriato alle risorse.

Microsoft sta risolvendo il potenziale impatto di questi problemi a diversi livelli e vuole rendere i clienti consapevoli degli strumenti resi disponibili per risolvere questi problemi e l'impatto dell'uso di questi strumenti. Questo avviso contiene informazioni sulle diverse azioni intraprese da Microsoft per migliorare la protezione delle credenziali di autenticazione IWA e sul modo in cui i clienti possono distribuire queste misure di sicurezza.

Fattori di mitigazione:

  • Per inoltrare le credenziali, un utente malintenzionato deve sfruttare correttamente un'altra vulnerabilità per eseguire un attacco man-in-the-middle o per convincere la vittima, usando l'ingegneria sociale, per connettersi a un server sotto il controllo dell'utente malintenzionato, ad esempio inviando un collegamento in un messaggio di posta elettronica dannoso.
  • Internet Explorer non invia automaticamente le credenziali tramite HTTP ai server ospitati nell'area Internet. In questo modo si riduce il rischio che le credenziali possano essere inoltrate o riflesse da un utente malintenzionato all'interno di questa zona.
  • Il traffico in ingresso deve essere consentito al sistema client affinché un attacco di reflection abbia esito positivo. Il vettore di attacco più comune è SMB, perché consente l'autenticazione IWA. Gli host dietro un firewall che blocca il traffico SMB o gli host che bloccano il traffico SMB in un firewall host non sono vulnerabili agli attacchi di reflection NTLM più comuni, destinati a SMB.

Informazioni generali

Panoramica

Scopo dell'avviso: per chiarire le azioni intraprese da Microsoft per estendere la protezione delle credenziali utente quando si usa l'autenticazione integrata di Windows.

Stato avviso: avviso pubblicato.

Raccomandazione: esaminare le azioni suggerite e configurare in base alle esigenze.

Riferimenti Identificazione
Articolo della Microsoft Knowledge Base 974926

Questo avviso illustra il software seguente.

Software interessato
Windows XP Service Pack 2 e Windows XP Service Pack 3
Windows XP per sistemi basati su x64 Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 per sistemi basati su x64 Service Pack 2
Windows Server 2003 per sistemi basati su Itanium Service Pack 2
Windows Vista, Windows Vista Service Pack 1 e Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2
Windows Server 2008 per sistemi a 32 bit e Windows Server 2008 per sistemi a 32 bit Service Pack 2
Windows Server 2008 per sistemi basati su x64 e Windows Server 2008 per sistemi basati su x64 Service Pack 2
Windows Server 2008 per sistemi basati su Itanium e Windows Server 2008 per Sistemi basati su Itanium Service Pack 2
Windows 7 per sistemi a 32 bit*
Windows 7 per sistemi basati su x64*
Windows Server 2008 R2 per sistemi basati su x64*
Windows Server 2008 R2 per sistemi basati su Itanium*

*Windows 7 e Windows Server 2008 R2 forniscono protezione estesa per l'autenticazione come funzionalità dell'interfaccia SSPI (Security Support Provider Interface). Le applicazioni in esecuzione in questi sistemi operativi possono comunque essere esposte all'inoltro delle credenziali se il sistema operativo o l'applicazione non è configurata per supportare questa funzionalità. La protezione estesa per l'autenticazione non è abilitata per impostazione predefinita.

Domande frequenti

Qual è l'ambito dell'avviso?
Questo avviso di sicurezza offre una panoramica completa della strategia applicata da Microsoft per la protezione dall'inoltro delle credenziali. Offre una panoramica degli aggiornamenti attualmente disponibili per risolvere questo problema in modo completo.

Che cosa causa questa minaccia?
Questo avviso risolve il potenziale per l'inoltro dell'autenticazione. Questi attacchi si svolgono quando un utente malintenzionato riesce a ottenere credenziali di autenticazione, ad esempio tramite un attacco man-in-the-middle o convincendo un utente a fare clic su un collegamento. Questo collegamento potrebbe causare l'accesso del client a un servizio controllato da un utente malintenzionato che richiede all'utente di eseguire l'autenticazione tramite L'autenticazione integrata di Windows.

Le forme di inoltro delle credenziali a cui si fa riferimento in questo avviso sono:

  • Inoltro delle credenziali: le credenziali di dominio ottenute da un utente malintenzionato possono essere usate per accedere ad altri servizi a cui la vittima è nota per avere accesso. L'utente malintenzionato potrebbe quindi acquisire autorizzazioni identiche a quella della vittima nel servizio di destinazione.
  • Reflection delle credenziali: le credenziali di dominio ottenute da un utente malintenzionato possono essere usate per accedere al computer della vittima. L'utente malintenzionato acquisirà quindi le autorizzazioni su tale computer identico a quello della vittima.

Affinché questi attacchi abbiano esito positivo, un utente malintenzionato richiede a un utente di connettersi al server dell'utente malintenzionato. Questa operazione può essere eseguita da attacchi che coinvolgono l'utente malintenzionato presente nella rete locale, ad esempio l'avvelenamento da cache ARP (Address Resolution Protocol).

L'impatto di questi attacchi aumenta quando un utente malintenzionato convince un utente a connettersi a un server al di fuori del limite dell'organizzazione. Gli scenari specifici che possono consentire questa situazione sono i seguenti:

  • Devoluzione DNS, una funzionalità client DNS Windows che consente ai client DNS Windows di risolvere le query DNS per nomi host non qualificati con etichetta singola. Un utente malintenzionato potrebbe registrare un nome host specifico al di fuori del limite dell'organizzazione che, se i client sono configurati in modo non corretto, possono essere contattati involontariamente da un client quando non rientra nel limite dell'organizzazione durante il tentativo di accedere a tale nome host.
  • Spoofing DNS, in cui un utente malintenzionato potrebbe sfruttare le vulnerabilità nel DNS (Windows Domain Name System), consentendo lo spoofing. Questi attacchi potrebbero consentire a un utente malintenzionato remoto di reindirizzare il traffico di rete destinato ai sistemi su Internet al sistema dell'utente malintenzionato.
  • Spoofing netBIOS Name Service (NBNS), in cui l'utente è in grado di eseguire un applet di codice Active appositamente creato (ad esempio Java o Flash) che avvia una query per un nome host locale e successivamente introduce risposte NBNS spoofed al client con un indirizzo IP remoto. Quando ci si connette a questo nome host, il client considererà questo computer locale e tenterà le credenziali di IWA, esponendole così all'utente malintenzionato remoto;

Microsoft ha rilasciato diversi aggiornamenti per risolvere questi scenari e questo avviso mira a riepilogare il modo in cui i clienti possono valutare meglio i rischi e i problemi nel proprio scenario di distribuzione specifico.

Che cos'è l'autenticazione integrata di Windows??
Con l'autenticazione integrata di Windows (in precedenza denominata NTLM e nota anche come Autenticazione richiesta/risposta di Windows NT), il nome utente e la password (credenziali) vengono sottoposti a hash prima di essere inviati attraverso la rete. Quando si abilita l'autenticazione integrata di Windows, il client dimostra la propria conoscenza della password tramite uno scambio di crittografia con hash con il server Web. L'autenticazione integrata di Windows include i metodi di autenticazione Negotiate, Kerberos e NTLM.

Che cos'è un attacco man-in-the-middle?
Un attacco man-in-the-middle si verifica quando un utente malintenzionato reindirizza la comunicazione tra due utenti attraverso il computer dell'utente malintenzionato senza conoscere i due utenti che comunicano. L'utente malintenzionato può monitorare e leggere il traffico prima di inviarlo al destinatario previsto. Ogni utente nella comunicazione invia inconsapevolmente il traffico a e riceve il traffico dall'utente malintenzionato, pensando che stia comunicando solo con la parte desiderata.

Quali azioni Microsoft ha intrapreso per risolvere gli attacchi di spoofing DNS?
Microsoft ha rilasciato i seguenti bollettini sulla sicurezza per risolvere gli attacchi di spoofing DNS:

  • MS08-037 risolve due vulnerabilità che potrebbero consentire a un utente malintenzionato di spoofare i record DNS e inserirli nella cache del server DNS.
  • MS09-008 risolve due vulnerabilità che potrebbero consentire a un utente malintenzionato di spoofare i record DNS e inserirli nella cache del server DNS e due vulnerabilità che potrebbero consentire a un utente malintenzionato di registrare in modo dannoso i nomi host correlati all'infrastruttura di rete (WPAD e ISATAP) che potrebbero essere usati per gestire altri attacchi.

Quali azioni Microsoft ha intrapreso per risolvere gli attacchi di spoofing NBNS?
Microsoft ha collaborato con i fornitori di terze parti interessati da questa vulnerabilità e ha implementato la mitigazione contro questo vettore di attacco. Questo problema è stato risolto in Adobe Flash Player in Adobe Security Bulletin piattaforma di strumenti analitici B08-11 e in Sun Java Runtime Environment in Sun Alert 103079.

Che cos'è l'avvelenamento da cache ARP (Address Resolution Protocol)
L'avvelenamento da cache ARP è un attacco costituito da un computer di un utente malintenzionato, presente nella stessa subnet della vittima, inviando risposte ARP spoofed o gratuite. Questi tentativi di solito tentano di confondere i client nel credere che l'utente malintenzionato sia il gateway predefinito nella rete e che il computer vittima invii informazioni all'utente malintenzionato anziché al gateway. Un attacco di questo tipo può essere sfruttato per configurare un attacco man-in-the-middle.

Che cos'è Transport Layer Security (TLS)?
Transport Layer Security (TLS) Handshake Protocol è responsabile dell'autenticazione e dello scambio di chiavi necessario per stabilire o riprendere sessioni sicure. Quando si stabilisce una sessione sicura, il protocollo handshake gestisce quanto segue:

  • Negoziazione della suite di crittografia
  • Autenticazione del server e, facoltativamente, del client
  • Scambio di informazioni sulla chiave di sessione

Per altre informazioni, vedere l'articolo TechNet Funzionamento di TLS/SSL.

Quali versioni di Windows sono associate a questo avviso?
L'inoltro e la reflection delle credenziali influiscono su tutte le piattaforme che hanno la possibilità di eseguire l'autenticazione integrata di Windows. La funzionalità Protezione estesa per l'autenticazione è inclusa in Windows 7 e Windows Server 2008 R2 ed è stata resa disponibile per Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008 in un aggiornamento non della sicurezza rilasciato come Avviso di sicurezza Microsoft 973811. Per proteggere completamente le credenziali di autenticazione, le applicazioni specifiche in questi sistemi operativi devono comunque acconsentire esplicitamente al meccanismo. La funzionalità Protezione estesa non è disponibile per il sistema operativo Microsoft Windows 2000.

Quali azioni Microsoft ha intrapreso per risolvere gli attacchi di reflection delle credenziali?
Le applicazioni sono protette da attacchi di reflection delle credenziali se usano correttamente il nome dell'entità servizio (SPN) durante l'autenticazione contro un servizio.

Prima della pubblicazione di questo avviso di sicurezza, Microsoft ha rilasciato i seguenti aggiornamenti della sicurezza per garantire che i componenti di Windows e le applicazioni Microsoft acconsentono correttamente a questo meccanismo per garantire la protezione dagli attacchi di reflection delle credenziali:

  • Il bollettino microsoft sulla sicurezza MS08-068 punta alla reflection delle credenziali durante la connessione al server SMB di un utente malintenzionato.
  • Il Bollettino microsoft sulla sicurezza MS08-076 punta alla reflection delle credenziali durante la connessione a un server Windows Media di un utente malintenzionato.
  • Il bollettino sulla sicurezza Microsoft MS09-013 punta alla reflection delle credenziali durante la connessione al server Web di un utente malintenzionato tramite l'interfaccia di programmazione delle applicazioni WinHTTP.
  • Microsoft Security Bulletin MS09-014 punta alla reflection delle credenziali durante la connessione al server Web di un utente malintenzionato tramite l'interfaccia di programmazione delle applicazioni WinINET.
  • Il bollettino sulla sicurezza Microsoft MS09-042 punta alla reflection delle credenziali durante la connessione al server telnet di un utente malintenzionato.

Quali azioni Microsoft ha intrapreso per risolvere gli attacchi di inoltro delle credenziali?
La protezione dall'inoltro delle credenziali viene fornita dall'interfaccia SSPI (Support Provider Interface) di Sicurezza di Windows. Questa interfaccia è implementata in Windows 7 e Windows Server 2008 R2 ed è stata resa disponibile come aggiornamento non di sicurezza per Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008.

Per essere protetti, è necessario distribuire aggiornamenti aggiuntivi non relativi alla sicurezza per garantire la stessa protezione per applicazioni e componenti client e server specifici. Questa funzionalità applica modifiche all'autenticazione sia sul client che sul server finale e deve essere distribuita attentamente. Altre informazioni sulla protezione estesa per l'autenticazione e gli aggiornamenti non della sicurezza rilasciati per implementare questo meccanismo sono disponibili in Microsoft Security Advisory 973811.

In che modo questi aggiornamenti indirizzano gli attacchi di inoltro delle credenziali?
L'avviso di sicurezza Microsoft SSPI non per la sicurezza 973811 modifica SSPI per estendere il meccanismo di autenticazione integrata corrente (IWA) in modo che le richieste di autenticazione possano essere associate sia al nome SPN del server a cui il client tenta di connettersi, sia al canale TLS (Transport Layer Security) esterno su cui viene eseguita l'autenticazione IWA, se tale canale esiste. Si tratta di un aggiornamento di base che non risolve una vulnerabilità di sicurezza in se stesso, ma lo distribuisce come funzionalità facoltativa che i fornitori di applicazioni possono scegliere di configurare.

Gli aggiornamenti non della sicurezza specifici dell'applicazione modificano singoli componenti di sistema che eseguono l'autenticazione IWA in modo che i componenti acconsentono ai meccanismi di protezione implementati dall'aggiornamento non di sicurezza di livello 1. Altre informazioni sull'abilitazione della protezione estesa per l'autenticazione sono disponibili in Microsoft Security Advisory 973811 e nell'articolo della Microsoft Knowledge Base corrispondente 973811.

Quali azioni Microsoft ha eseguito per risolvere la devoluzione DNS?
La devoluzione DNS può essere usata come vettore di attacco per sfruttare questa vulnerabilità all'esterno di una rete aziendale. Devolution è una funzionalità client DNS Windows con cui i client DNS Windows risolvono le query DNS per nomi host non qualificati con etichetta singola. Le query vengono costruite aggiungendo il suffisso DNS primario (PDS) al nome host. La query viene ritentata rimuovendo sistematicamente l'etichetta più a sinistra nel PDS fino a quando il nome host e il PDS rimanente non vengono risolti o rimangono solo due etichette nel PDS rimosso. Ad esempio, i client Windows che cercano "Etichetta singola" nel dominio di western.corp.contoso.co.us eseguiranno query progressivamente su Single-label.western.corp.contoso.co.us, Single-label.corp.contoso.co.us, Single-label.contoso.co.us e quindi Single-label.co.us finché non trova un sistema risolto. Questo processo viene definito devoluzione.

Un utente malintenzionato potrebbe ospitare un sistema con un nome a etichetta singola al di fuori del limite di un'organizzazione e a causa della devoluzione DNS DNS potrebbe ottenere correttamente un client DNS Windows per connettersi a esso come se fosse all'interno del limite dell'organizzazione. Ad esempio, se il suffisso DNS di un'organizzazione è corp.contoso.co.us e viene effettuato un tentativo di risolvere un nome host non qualificato "Single-Label", il sistema di risoluzione DNS tenterà di Single-Label.corp.contoso.co.us. Se non viene trovato, proverà, tramite la devoluzione DNS, per risolvere Single-label.contoso.co.us. Se non viene trovato, tenterà di risolvere Single-label.co.us, che si trova all'esterno del dominio contoso.co.us. Questo processo viene definito devoluzione.

Ad esempio, se questo nome host è WPAD, un utente malintenzionato che configura WPAD.co.us potrebbe fornire un file di individuazione automatica proxy Web dannoso per configurare le impostazioni del proxy client.

Microsoft ha rilasciato l'avviso di sicurezza 971888 e un aggiornamento associato per fornire alle organizzazioni un controllo più granulare sul modo in cui i client Windows eseguono la devoluzione DNS. Questo aggiornamento consente a un'organizzazione di impedire ai client di disorganizzarsi al di fuori del limite dell'organizzazione.

Cosa possono fare gli sviluppatori di terze parti per facilitare l'inoltro delle credenziali?
Gli sviluppatori di terze parti devono prendere in considerazione l'implementazione della protezione estesa per l'autenticazione acconsentire esplicitamente a questo nuovo meccanismo di protezione descritto in Microsoft Security Advisory 973811.

Altre informazioni su come gli sviluppatori possono acconsentire esplicitamente a questo meccanismo sono disponibili nell'articolo MSDN, Autenticazione integrata di Windows con protezione estesa.

Che cos'è un nome dell'entità servizio (SPN)?
Un nome dell'entità servizio (SPN) è il nome in base al quale un client identifica in modo univoco un'istanza di un servizio. Se si installano più istanze di un servizio in computer in una rete, ogni istanza deve avere un nome SPN specifico. Se i client possono usare più nomi per l'autenticazione, una determinata istanza di servizio può presentare più SPN. Ad esempio, un nome SPN include sempre il nome del computer host in cui è in esecuzione l'istanza del servizio, pertanto un'istanza del servizio potrebbe registrare un NOME SPN per ogni nome o alias del relativo host.

Azioni suggerite

  • Esaminarel'avviso di sicurezza Microsoft 973811, la protezione estesa per l'autenticazione e implementare gli aggiornamenti associati
    Questo avviso di sicurezza annuncia il rilascio di aggiornamenti non relativi alla sicurezza che implementano la protezione estesa per l'autenticazione. Questa funzionalità consente di proteggere i tentativi di autenticazione da attacchi di inoltro.
  • Esaminarei 971888 di avviso di sicurezza Microsoft, aggiornamento per la devoluzione DNS
    Questo avviso di sicurezza annuncia il rilascio di un aggiornamento facoltativo non della sicurezza che consente agli amministratori di sistema di configurare la devoluzione DNS con maggiore specificità.
  • Esaminare l'articolo della Microsoft Knowledge Base associato a questo avviso
    I clienti interessati a saperne di più su questo avviso di sicurezza devono consultare l'articolo della Microsoft Knowledge Base 974926.
  • Proteggere il PC
    Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il computer per abilitare un firewall, ottenere gli aggiornamenti software e installare il software antivirus. Per altre informazioni su questi passaggi, vedere Proteggere il computer.
  • Per altre informazioni sulla sicurezza su Internet, i clienti devono visitare Microsoft Security Central.
  • Mantenere Aggiornato Windows
    Tutti gli utenti di Windows devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano protetti il più possibile. Se non si è certi che il software sia aggiornato, visitare Windows Update, analizzare il computer per individuare gli aggiornamenti disponibili e installare eventuali aggiornamenti ad alta priorità offerti all'utente. Se è abilitato il Aggiornamenti automatico, gli aggiornamenti vengono recapitati quando vengono rilasciati, ma è necessario assicurarsi di installarli.

Soluzioni alternative

Esistono diverse soluzioni alternative per proteggere i sistemi da attacchi di reflection delle credenziali o inoltro delle credenziali. Microsoft ha testato le soluzioni alternative seguenti. Anche se queste soluzioni alternative non correggeranno la vulnerabilità sottostante, consentono di bloccare i vettori di attacco noti. Quando una soluzione alternativa riduce la funzionalità, viene identificata nella sezione seguente.

Bloccare le porte TCP 139 e 445 nel firewall

Nel caso di attacchi di reflection delle credenziali, le connessioni in ingresso che usano le credenziali inoltrate sono probabilmente nei servizi SMB o RPC. Il blocco delle porte TCP 139 e 445 nel firewall consente di proteggere i sistemi protetti da tale firewall dai tentativi di sfruttare questa vulnerabilità. Microsoft consiglia di bloccare tutte le comunicazioni in ingresso non richieste da Internet per evitare attacchi che potrebbero usare altre porte. Per altre informazioni sulle porte, vedere Assegnazioni di porte TCP e UDP.

Impatto della soluzione alternativa: diversi servizi Di Windows usano le porte interessate. Il blocco della connettività alle porte può causare la mancata funzione di varie applicazioni o servizi. Di seguito sono elencate alcune delle applicazioni o dei servizi che potrebbero essere interessati:

  • Applicazioni che usano SMB (CIFS)
  • Applicazioni che usano mailslot o named pipe (RPC su SMB)
  • Server (condivisione file e stampa)
  • Criteri di gruppo
  • Accesso rete
  • File system distribuito (DFS)
  • Licenze per Terminal Server
  • Spooler di stampa
  • Browser di computer
  • Localizzatore chiamata di procedura remota
  • Servizio fax
  • Servizio di indicizzazione
  • Registri e avvisi sulle prestazioni
  • Server di gestione dei sistemi
  • Servizio registrazione licenze

Abilitare la firma SMB

L'abilitazione della firma SMB impedisce all'utente malintenzionato di eseguire codice nel contesto dell'utente connesso. La firma SMB fornisce l'autenticazione reciproca e dei messaggi inserendo una firma digitale in ogni SMB, che viene quindi verificata sia dal client che dal server. Microsoft consiglia di usare Criteri di gruppo per configurare la firma SMB.

Per istruzioni dettagliate sull'uso di Criteri di gruppo per abilitare e disabilitare la firma SMB per Microsoft Windows 2000, Windows XP e Windows Server 2003, vedere l'articolo della Microsoft Knowledge Base 887429. Le istruzioni contenute nell'articolo della Microsoft Knowledge Base 887429 per Windows XP e Windows Server 2003 si applicano anche a Windows Vista e Windows Server 2008.

Impatto della soluzione alternativa: l'uso della firma dei pacchetti SMB può compromettere le prestazioni nelle transazioni del servizio file. I computer con questo set di criteri non comunicano con i computer in cui non è abilitata la firma dei pacchetti lato client. Per altre informazioni sulla firma SMB e sui potenziali impatti, vedere Server di rete Microsoft: Firma digitale delle comunicazioni (sempre).

Altre informazioni

Risorse:

  • È possibile fornire commenti e suggerimenti completando il modulo visitando la Guida e il supporto tecnico Microsoft: Contattaci.
  • I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
  • I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il supporto internazionale.
  • Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.

Declinazione di responsabilità:

Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.

Revisioni:

  • V1.0 (8 dicembre 2009): Pubblicato avviso.

Costruito al 2014-04-18T13:49:36Z-07:00