Microsoft Security Advisory 921923

  • 10/11/2017
  • 8 minuti a leggere
    • B

avviso di Sicurezza

Codice di prova Pubblicato Interessano il Connection Manager di Accesso Remoto di Servizio

data di pubblicazione: giugno 23, 2006

Microsoft è a conoscenza dettagliata del codice di exploit è stato pubblicato su Internet per la vulnerabilità descritta nel bollettino Microsoft sulla sicurezza MS06-025. Microsoft non è attualmente a conoscenza di attacchi attivi che utilizzano questo codice di exploit o di impatto del cliente in questo momento. Tuttavia, Microsoft sta monitorando attivamente questa situazione per tenere informati i clienti e fornire una guida ai clienti, se necessario.
La nostra indagine su questo codice di exploit ha verificato che non influisce sui clienti che hanno installato gli aggiornamenti dettagliati in MS06-025 sui loro computer. Microsoft continua a raccomandare ai clienti di applicare gli aggiornamenti ai prodotti interessati abilitando la funzione Aggiornamenti automatici in Windows.
Microsoft è deluso dal fatto che alcuni ricercatori di sicurezza hanno violato la pratica comunemente accettata del settore di trattenere i dati di vulnerabilità così vicino al rilascio di aggiornamento e hanno pubblicato il codice di exploit, potenzialmente danneggiare gli utenti di computer. Continuiamo a sollecitare i ricercatori di sicurezza a divulgare le informazioni sulle vulnerabilità in modo responsabile e consentire ai clienti di distribuire gli aggiornamenti in modo da non aiutare i criminali nel loro tentativo di sfruttare le vulnerabilità del software

Fattori attenuanti:

  • I clienti che hanno installato l’aggiornamento di sicurezza MS06-025 non sono interessati da questa vulnerabilità.
  • I sistemi Windows 2000 sono principalmente a rischio da questa vulnerabilità. I clienti che eseguono Windows 2000 devono distribuire MS06-025 il prima possibile o disabilitare il servizio RASMAN.
  • Su Windows XP Service Pack 2, Windows Server 2003 e Windows Server 2003 Service Pack 1 l’utente malintenzionato avrebbe bisogno di avere credenziali di accesso valide per sfruttare la vulnerabilità.
  • Questo problema non riguarda Windows 98, Windows 98 SE o Windows Millennium Edition.

Informazioni generali

Panoramica

Scopo della consulenza: Notifica della disponibilità di un aggiornamento di sicurezza per aiutare a proteggere da questa potenziale minaccia.

Stato di consulenza: poiché questo problema è già stato risolto come parte del bollettino sulla sicurezza MS06-025, non è necessario alcun aggiornamento aggiuntivo.

Raccomandazione: installare l’aggiornamento di sicurezza MS06-025 per proteggere da questa vulnerabilità.

Identification
CVE Reference CVE-2006-2370
CVE-2006-2371
Security Bulletin MS06-025

This advisory discusses the following software.

Microsoft Windows 2000 Service Pack 4

Microsoft Windows XP Service Pack 1 e Microsoft Windows XP Service Pack 2

” Microsoft Windows XP Professional x64 Edition

Microsoft Windows Server 2003 e Microsoft Windows Server 2003 Service Pack 1

Microsoft Windows Server 2003 per Sistemi basati su Itanium e Microsoft Windows Server 2003 con SP1 per Sistemi basati su Itanium

Microsoft Windows Server 2003 x64 Edition

Domande Frequenti

che Cosa è l’estensione della consulenza?
Microsoft è a conoscenza della pubblicazione pubblica di codice exploit di targeting vulnerabilità identificate in Microsoft Security Update MS06-025. Ciò influisce sul software elencato nella sezione” Panoramica ”

Si tratta di una vulnerabilità di sicurezza che richiede a Microsoft di emettere un aggiornamento di sicurezza?
No. I clienti che hanno installato l’aggiornamento della sicurezza MS06-025 non sono interessati da questa vulnerabilità. Non è richiesto alcun aggiornamento aggiuntivo.

Quali sono le cause di questa minaccia?
Un buffer non controllato nelle tecnologie di routing e accesso remoto che interessano specificamente il servizio RASMAN (Remote Access Connection Manager Service)

Cosa fa la funzione?
Remote Access Connection Manager è un servizio che gestisce i dettagli per stabilire la connessione al server remoto. Questo servizio fornisce inoltre al client informazioni sullo stato durante l’operazione di connessione. Il Gestore connessione accesso remoto si avvia automaticamente quando un’applicazione carica RASAPI32.DLL

Cosa potrebbe fare un utente malintenzionato usare questa funzione?
Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe prendere il controllo completo del sistema interessato.

Ci sono problemi noti con l’installazione di Microsoft Security Update MS06-025 che protegge da questa minaccia?
Microsoft Knowledge Base Articolo 911280documenta i problemi attualmente noti che i clienti potrebbero riscontrare quando installano l’aggiornamento di sicurezza. Solo i clienti che utilizzano connessioni dial-up che utilizzano script che configurano il proprio dispositivo per la parità, bit di stop o bit di dati o una finestra terminale post-connect o scripting dial-up, sono interessati dai problemi identificati nell’articolo KB. Se i clienti non utilizzano nessuno degli scenari di accesso remoto identificati, sono incoraggiati a installare immediatamente l’aggiornamento..

Azioni suggerite

Se è stato installato l’aggiornamento rilasciato con Security Bulletin MS06-025, si è già protetti dall’attacco identificato nel codice proof of concept pubblicato pubblicamente. Se non è stato installato l’aggiornamento o sono interessati da uno degli scenari identificati in Microsoft Knowledge Base Articolo 911280 i clienti sono in incoraggiare a disattivare il servizio di accesso remoto Connection Manager.

  • Disabilitare il servizio Remote Access Connection Manager

    Disabilitare il servizio Remote Access Connection Manager aiuterà a proteggere il sistema interessato dai tentativi di sfruttare questa vulnerabilità. Per disabilitare il servizio RASMAN (Remote Access Connection Manager), attenersi alla seguente procedura:

    1. Fare clic su Start, quindi su Pannello di controllo. In alternativa, selezionare Impostazioni, quindi fare clic su Pannello di controllo.
    2. Fare doppio clic su Strumenti di amministrazione.
    3. Fare doppio clic su Servizi.
    4. Fare doppio clic su Remote Access Connection Manager
    5. Nell’elenco Tipo di avvio, fare clic su Disabilitato.
    6. Fare clic su Stop, quindi fare clic su OK.

    È anche possibile interrompere e disabilitare il servizio RASMAN (Remote Access Connection Manager) utilizzando il seguente comando al prompt dei comandi:

    sc stop rasman & sc config rasman start= disabled

    Impatto della soluzione: Se si disattiva il servizio Remote Access Connection Manager, non è possibile offrire servizi di routing ad altri host in ambienti di rete locale e wide area. Pertanto, si consiglia questa soluzione solo su sistemi che non richiedono l’uso di RASMAN per l’accesso remoto e il routing.

  • Blocca quanto segue nel firewall:

    • le porte UDP 135, 137, 138 e 445, e le porte TCP 135, 139, 445, e 593
    • Tutto il traffico in ingresso non richiesto su porte superiori a 1024
    • Qualsiasi altra porta RPC specificamente configurata

    Queste porte vengono utilizzate per avviare una connessione con RPC. Bloccarli al firewall aiuterà a proteggere i sistemi che si trovano dietro quel firewall dai tentativi di sfruttare questa vulnerabilità. Inoltre, assicurarsi di bloccare qualsiasi altra porta RPC specificamente configurata sul sistema remoto. Si consiglia di bloccare tutte le comunicazioni in entrata non richieste da Internet per prevenire gli attacchi che potrebbero utilizzare altre porte. Per ulteriori informazioni sulle porte utilizzate da RPC, visitare il seguente sito Web.

  • Per proteggere da tentativi basati sulla rete di sfruttare questa vulnerabilità, utilizzare un firewall personale, come Internet Connection Firewall, che è incluso con Windows XP e con Windows Server 2003.

    Per impostazione predefinita, la funzione Internet Connection Firewall in Windows XP e in Windows Server 2003 aiuta a proteggere la connessione Internet bloccando il traffico in entrata non richiesto. Si consiglia di bloccare tutte le comunicazioni in entrata non richieste da Internet. In Windows XP Service Pack 2 questa funzionalità è chiamata Windows Firewall.

    Per abilitare la funzione Internet Connection Firewall utilizzando la Configurazione guidata di rete, attenersi alla seguente procedura:

    1. Fare clic su Start, quindi su Pannello di controllo.
    2. Nella visualizzazione Categoria predefinita, fare clic su Rete e connessioni Internet, quindi fare clic su Imposta o modificare la rete domestica o di un piccolo ufficio. La funzione Internet Connection Firewall è abilitata quando si seleziona una configurazione nella Configurazione guidata di rete che indica che il sistema è connesso direttamente a Internet.

    Per configurare manualmente Internet Connection Firewall per una connessione, attenersi alla seguente procedura:

    1. Fare clic su Start, quindi su Pannello di controllo.
    2. Nella visualizzazione categoria predefinita, fare clic su Rete e connessioni Internet, quindi fare clic su Connessioni di rete.
    3. Fare clic con il pulsante destro del mouse sulla connessione su cui si desidera abilitare Internet Connection Firewall, quindi fare clic su Proprietà.
    4. Fare clic sulla scheda Avanzate.
    5. Fare clic per selezionare la casella di controllo Proteggi risorse del computer o della rete limitando o impedendo l’accesso a questo computer da Internet, quindi fare clic su OK.

    Nota Se si desidera abilitare determinati programmi e servizi per comunicare attraverso il firewall, fare clic su Impostazioni nella scheda Avanzate, quindi selezionare i programmi, i protocolli e i servizi richiesti.

  • I clienti che ritengono di essere stati attaccati devono contattare il loro ufficio locale dell’FBI o inviare il loro reclamo sul sito Web del Centro reclami frodi Internet. I clienti al di fuori degli Stati Uniti devono contattare la national law enforcement agency nel loro paese.

  • Clienti in theU.S. e il Canada che credono di essere stati colpiti da questa possibile vulnerabilità può ricevere supporto tecnico da Microsoft Product Support Services a 1-866-PCSAFETY. Non è previsto alcun costo per il supporto associato a problemi di aggiornamento della sicurezza o virus.”I clienti internazionali possono ricevere supporto utilizzando uno qualsiasi dei metodi elencati nella Guida di sicurezza e supporto per il sito Web degli utenti domestici.
    Tutti i clienti devono applicare gli aggiornamenti di sicurezza più recenti rilasciati da Microsoft per garantire che i loro sistemi siano protetti da tentativi di sfruttamento. I clienti che hanno abilitato gli aggiornamenti automatici riceveranno automaticamente tutti gli aggiornamenti di Windows. Per ulteriori informazioni sugli aggiornamenti di sicurezza, visitare il sito Web Microsoft Security.

  • Per ulteriori informazioni su come stare al sicuro su Internet, i clienti possono visitare theMicrosoft Security Home Page.

  • Mantieni Windows aggiornato

    Tutti gli utenti Windows devono applicare gli ultimi aggiornamenti di sicurezza di Microsoft per assicurarsi che i loro computer siano il più protetti possibile. Se non si è sicuri se il software è aggiornato, visitare il sito Web di Windows Update, eseguire la scansione del computer per gli aggiornamenti disponibili, e installare gli aggiornamenti ad alta priorità che vengono offerti a voi. Se si dispone di aggiornamenti automatici abilitati, gli aggiornamenti vengono consegnati a voi quando vengono rilasciati, ma è necessario assicurarsi di installarli.

Altre informazioni

Risorse:

  • Puoi fornire un feedback compilando il modulo visitando il seguente sito Web.
  • Clienti negli Stati Uniti e il Canada può ricevere supporto tecnico da Microsoft Product Support Services. Per ulteriori informazioni sulle opzioni di supporto disponibili, consultare il sito Web della guida e del supporto Microsoft.
  • I clienti internazionali possono ricevere supporto dalle loro filiali Microsoft locali. Per ulteriori informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il sito Web del supporto internazionale.
  • Il sito Web Microsoft TechNet Security fornisce ulteriori informazioni sulla sicurezza nei prodotti Microsoft.

Disclaimer:

Le informazioni fornite in questa consulenza sono fornite “così come sono” senza garanzie di alcun tipo. Microsoft declina ogni garanzia, esplicita o implicita, comprese le garanzie di commerciabilità e idoneità per uno scopo particolare. In nessun caso Microsoft Corporation o i suoi fornitori saranno responsabili per danni di qualsiasi tipo, inclusi danni diretti, indiretti, incidentali, consequenziali, perdite di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l’esclusione o la limitazione di responsabilità per danni consequenziali o incidentali, pertanto la suddetta limitazione potrebbe non essere applicabile.

Revisioni:

  • 23 giugno 2006 Advisory pubblicato



Lascia un commento

Il tuo indirizzo email non sarà pubblicato.