Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 977544

Una vulnerabilità in SMB può consentire un attacco di tipo Denial of Service

Data di pubblicazione: venerdì 13 novembre 2009

Versione: 1.0

Informazioni generali

Riepilogo

Microsoft sta attualmente esaminando nuove segnalazioni pubbliche relative a una possibile vulnerabilità ad attacchi di tipo Denial of Service nel protocollo SMB (Server Message Block). La vulnerabilità non può essere utilizzata per assumere il controllo di un sistema o installare software dannosi nello stesso. Microsoft è a conoscenza della pubblicazione dettagliata del codice dannoso per questa vulnerabilità. Attualmente non sono pervenute informazioni su attacchi effettuati tramite questo codice né segnalazioni relative a un eventuale impatto sui clienti. Tuttavia, Microsoft sta monitorando attivamente la situazione per tenere informati i clienti e fornire loro le indicazioni necessarie.

Tramite il programma Microsoft Active Protections Program (MAPP) stiamo collaborando attivamente con i nostri partner per fornire loro informazioni da utilizzare per offrire maggiore protezione ai clienti.

Una volta completate le ricerche, Microsoft intraprenderà un'azione appropriata per la protezione dei clienti. In base alle esigenze dei clienti, potrebbe essere necessario distribuire un aggiornamento per la protezione tramite il processo di rilascio mensile oppure un aggiornamento per la protezione integrativo.

Microsoft è spiacente che questa nuova vulnerabilità non sia stata segnalata in modo responsabile, esponendo a potenziali rischi gli utenti di computer, quindi continua a incoraggiare la segnalazione responsabile delle vulnerabilità. Microsoft ritiene che la prassi comune di segnalare le vulnerabilità direttamente al venditore sia nell'interesse di tutti. Questa prassi aiuta a garantire che i clienti ricevano aggiornamenti completi e di elevata qualità per risolvere le vulnerabilità di protezione, evitando l'esposizione ad attacchi dannosi durante lo sviluppo dell'aggiornamento.

Dettagli sull'advisory

Documentazione di riferimento per il problema

Per ulteriori informazioni su questo problema, vedere la seguente documentazione di riferimento:

RiferimentiIdentificazione
Riferimento CVE CVE-2009-3676

Software interessato e Software non interessato

In questo advisory vengono presi in esame i seguenti prodotti software.

Software interessato
Windows 7 per sistemi a 32 bit
Windows 7 per sistemi x64
Windows Server 2008 R2 per sistemi x64*
Windows Server 2008 R2 per sistemi Itanium
Software non interessato
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 e Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP2 per sistemi Itanium
Windows Vista, Windows Vista Service Pack 1 e Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2
Windows Server 2008 per sistemi a 32 bit e Windows Server 2008 per sistemi a 32 bit Service Pack 2
Windows Server 2008 per sistemi x64 e Windows Server 2008 per sistemi x64 Service Pack 2
Windows Server 2008 per sistemi Itanium e Windows Server 2008 per sistemi Itanium Service Pack 2

*L'installazione Server Core è interessata da questo aggiornamento. Questo advisory interessa le edizioni supportate di Windows Server 2008 R2 come indicato, installate utilizzando l'opzione di installazione Server Core o meno. Per ulteriori informazioni su questa modalità di installazione, vedere l'articolo MSDN, Server Core per Windows Server 2008 R2. Si noti che l'opzione di installazione Server Core non è disponibile per alcune edizioni di Windows Server 2008 R2; vedere Opzioni di installazione Server Core a confronto.

Qual è lo scopo di questo advisory?
Microsoft è a conoscenza di una nuova segnalazione di vulnerabilità che interessa il protocollo SMB (Server Message Block) di Microsoft. Questa vulnerabilità riguarda i sistemi operativi elencati nella sezione Software interessato.

Il problema descritto è una vulnerabilità a livello di sicurezza che richiede la pubblicazione di un aggiornamento Microsoft?  
Microsoft sta attualmente lavorando allo sviluppo di un aggiornamento per la protezione per Windows per risolvere questa vulnerabilità. Microsoft rilascerà tale aggiornamento per la protezione quando soddisferà un livello qualitativo adeguato per una distribuzione su ampia scala.

Questo advisory interessa il bollettino MS09-050, rilasciato il 13 ottobre 2009?  
No. Il Bollettino Microsoft sulla sicurezza MS09-050, "Una vulnerabilità in SMBv2 può consentire l'esecuzione di codice in modalità remota," risolve una vulnerabilità legata all'esecuzione di codice in modalità remota nel servizio Server SMBv2. Questo advisory fornisce dettagli su un attacco di tipo Denial of Service nel client SMB. Si noti che la vulnerabilità ad attacchi di tipo Denial of Service non consente a un utente malintenzionato di eseguire codice o acquisire diritti utente più elevati, ma può impedire al sistema interessato di rispondere, rendendone necessario il riavvio manuale.

Questo advisory è interessato da quali versioni di SMB?
Il problema trattato in questo advisory interessa SMBv1 e SMBv2.

Che cos'è il protocollo SMB (Server Message Block) di Microsoft? 
Il protocollo SMB (Server Message Block) di Microsoft è un protocollo di condivisione file di rete Microsoft utilizzato in Microsoft Windows. Per ulteriori informazioni su SMB, vedere Protocollo SMB di Microsoft e Panoramica sul protocollo CIFS.

Che cos'è Server Message Block versione 2 (SMBv2)? 
Server Message Block (SMB) è il protocollo di condivisione dei file utilizzato per impostazione predefinita nei computer basati su Windows. SMB versione 2.0 (SMBv2) è un aggiornamento di questo protocollo ed è supportato solo in computer che eseguono Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. SMBv2 può essere utilizzato solo se è disponibile il supporto sia del client che del server. Se client o server non sono in grado di supportare SMBv2, viene utilizzato il protocollo SMB 1.0. La versione del protocollo SMB da utilizzare per le operazioni con i file viene decisa durante la fase di negoziazione. Durante questa fase, un client di Windows segnala al server di essere in grado di utilizzare il nuovo protocollo SMBv2. Se il server supporta SMBv2, questo viene scelto per le comunicazioni successive. In caso contrario, il client e il server utilizzano SMB 1.0 e continuano a funzionare normalmente. Per ulteriori informazioni su SMBv2, vedere l'articolo di MSDN Protocollo Server Message Block (SMB) versione 2 relativo alle specifiche.

Qual è la differenza tra SMBv1 e SMBv2?
Entrambi i protocolli sono utilizzati dai client per richiedere servizi file e di stampa da un sistema server in rete. Si tratta di protocolli con stato in cui i client stabiliscono una connessione a un server, un contesto autenticato nella connessione stessa ed emettono una serie di richieste per accedere ai file, alle stampanti e ai named pipe per la comunicazione interprocesso. Il protocollo SMBv2 è una versione superiore dell'esistente protocollo SMB. Anche se la maggior parte dei concetti di fondo sono gli stessi, i formati dei pacchetti sono completamente diversi. Oltre a fornire tutte le funzionalità presenti in SMBv1, il protocollo SMBv2 fornisce diversi miglioramenti:

  • Accesso ristabilito a un file in seguito a una disconnessione temporanea di una connessione client.
  • Bilanciamento da parte del server di diverse operazioni simultanee lasciate in sospeso da un client in qualsiasi momento.
  • Scalabilità in termini di numeri di condivisioni, utenti e file aperti simultaneamente.
  • Supporto di collegamenti simbolici.
  • Utilizzo di un algoritmo più avanzato per convalidare l'integrità delle richieste e delle risposte.

A cosa è dovuta questa minaccia?  
La vulnerabilità è causata dal fatto che il software del protocollo SMB (Server Message Block) di Microsoft convalida in modo insufficiente tutti i campi quando analizza pacchetti SMB appositamente predisposti.

A quali attacchi viene esposto il sistema a causa di questa vulnerabilità?
Un utente malintenzionato può sfruttare la vulnerabilità impedendo al sistema di rispondere alle richieste e rendendone necessario il riavvio manuale.

Questa vulnerabilità può essere sfruttata con Internet Explorer?
No. Tuttavia, questo problema potrebbe essere sfruttato attraverso transazioni Web, indipendentemente dal tipo di browser. In uno scenario di attacco dal Web, un utente malintenzionato deve ospitare una pagina Web che contiene un URI appositamente predisposto. Un utente che esplora tale sito Web forza una connessione SMB in un server SMB controllato dall'utente malintenzionato, che poi invia una risposta dannosa all'utente. Questa risposta impedisce al sistema di rispondere, rendendone necessario il riavvio manuale. Inoltre, i siti Web manomessi e quelli che accettano o ospitano contenuti forniti dagli utenti potrebbero presentare contenuti appositamente predisposti per sfruttare questa vulnerabilità. Poiché non è in alcun modo possibile obbligare gli utenti a visitare un sito Web appositamente predisposto, l'utente malintenzionato dovrebbe invece invogliare le vittime a visitare il sito, in genere inducendole a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che le indirizzi al sito.

Per fattore attenuante si intende un'impostazione, una configurazione comune o una procedura generica consigliata esistente in uno stato predefinito in grado di ridurre la gravità del problema. I seguenti fattori attenuanti possono essere utili per l'utente:

  • Le configurazioni predefinite standard dei firewall e le procedure consigliate per la configurazione dei firewall consentono di proteggere le reti dagli attacchi sferrati dall'esterno del perimetro aziendale. È consigliabile che i sistemi connessi a Internet abbiano un numero minimo di porte esposte. In tal caso, le porte SMB devono essere bloccate da Internet.

Per soluzione alternativa si intende un'impostazione o una modifica nella configurazione che non elimina il problema sottostante, ma consente di bloccare gli attacchi noti prima di applicare l'aggiornamento. Microsoft ha verificato le seguenti soluzioni alternative e segnala nel corso della discussione se tali soluzioni riducono la funzionalità:

  • Bloccare le porte TCP 139 e 445 a livello del firewall

    Queste porte vengono utilizzate per avviare una connessione con il componente interessato. Bloccando le porte TCP 139 e 445 a livello del firewall è quindi possibile evitare che i sistemi protetti dal firewall subiscano attacchi che tentino di sfruttare la vulnerabilità. Microsoft consiglia di bloccare tutte le comunicazioni SMB in ingresso e in uscita provenienti da Internet per impedire gli attacchi. Per ulteriori informazioni sulle porte, vedere Assegnazione delle porte TCP e UDP.

    Impatto della soluzione alternativa: Numerosi servizi Windows utilizzano le porte interessate. Il blocco della connettività delle porte potrebbe impedire il funzionamento di diversi servizi o applicazioni. Di seguito vengono elencati alcuni servizi o applicazioni potenzialmente interessati dal problema:

    • Applicazioni che utilizzano SMB (CIFS)
    • Applicazioni che utilizzano Mailslot o named pipe (RPC su SMB)
    • Server (condivisione file e stampa)
    • Criteri di gruppo
    • Accesso rete
    • DFS (Distributed File System)
    • Licenze Terminal Server
    • Spooler di stampa
    • Browser di computer
    • RPC Locator
    • Servizio Fax
    • Servizio di indicizzazione
    • Avvisi e registri di prestazioni
    • Systems Management Server
    • Servizio registrazione licenze

    Per annullare il risultato della soluzione alternativa. Disabilitare il blocco delle porte TCP 139 e 445 a livello del firewall. Per ulteriori informazioni sulle porte, vedere Assegnazione delle porte TCP e UDP.

  • Proteggere il PC

    Microsoft consiglia di seguire le indicazioni disponibili in Proteggi il tuo Computer per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni su questi passaggi, visitare il sito Proteggi il tuo Computer.

    Per ulteriori informazioni sulla protezione in Internet, visitare il sito Web Microsoft Security Central.

  • Aggiornamento regolare di Windows

    Si consiglia a tutti gli utenti di Windows di applicare gli ultimi aggiornamenti per la protezione Microsoft al fine di garantire la massima sicurezza del computer. Per verificare se il software è aggiornato, visitare il sito Windows Update per eseguire la scansione del computer e installare eventuali aggiornamenti ad alta priorità. Se la funzionalità Aggiornamenti automatici è attivata, gli aggiornamenti vengono inviati al computer al momento del rilascio, ma è comunque necessario assicurarsi di installarli.

Altre informazioni

Microsoft Active Protections Program (MAPP)

Per migliorare il livello di protezione offerto ai clienti, Microsoft fornisce ai principali fornitori di software di protezione i dati relativi alle vulnerabilità in anticipo rispetto alla pubblicazione mensile dell'aggiornamento per la protezione. I fornitori di software di protezione possono servirsi di tali dati per fornire ai clienti delle protezioni aggiornate tramite software o dispositivi di protezione, quali antivirus, sistemi di rilevamento delle intrusioni di rete o sistemi di prevenzione delle intrusioni basati su host. Per verificare se tali protezioni attive sono state rese disponibili dai fornitori di software di protezione, visitare i siti Web relativi alle protezioni attive pubblicati dai partner del programma, che sono elencati in Microsoft Active Protections Program (MAPP) Partners.

Commenti e suggerimenti

Supporto

  • Per usufruire dei servizi del supporto tecnico negli Stati Uniti e in Canada, visitare il sito del Security Support. Per ulteriori informazioni sulle opzioni di supporto disponibili, visitare il sito Microsoft Aiuto & Supporto.
  • I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto, visitare il sito per il supporto internazionale.
  • Microsoft TechNet Sicurezza fornisce ulteriori informazioni sulla protezione dei prodotti Microsoft.

Dichiarazione di non responsabilità

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni

  • V1.0 (13 novembre 2009): Pubblicazione dell'advisory.

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft