Share via

Microsoft Security Advisory 3009008

  • Articolo

La vulnerabilità in SSL 3.0 potrebbe consentire la divulgazione di informazioni

Pubblicato: 14 ottobre 2014 | Aggiornato: 14 aprile 2015

Versione: 3.0

Informazioni generali

Schema riepilogativo

Microsoft è a conoscenza di informazioni dettagliate pubblicate che descrivono un nuovo metodo per sfruttare una vulnerabilità in SSL 3.0. Si tratta di una vulnerabilità a livello di settore che interessa il protocollo SSL 3.0 stesso e non è specifico del sistema operativo Windows. Tutte le versioni supportate di Microsoft Windows implementano questo protocollo e sono interessate da questa vulnerabilità. Microsoft non è a conoscenza degli attacchi che tentano di usare la vulnerabilità segnalata in questo momento. Considerando lo scenario di attacco, questa vulnerabilità non è considerata a rischio elevato per i clienti.

Microsoft collabora attivamente con i partner del Programma Microsoft Active Protections (MAPP) per fornire informazioni che possono usare per fornire protezioni più ampie ai clienti.

Microsoft annuncia che con il rilascio dell'aggiornamento della sicurezza 3038314 il 14 aprile 2015 SSL 3.0 è disabilitato per impostazione predefinita in Internet Explorer 11. Microsoft annuncia anche che SSL 3.0 verrà disabilitato in Microsoft Servizi online nei prossimi mesi. È consigliabile eseguire la migrazione di client e servizi a protocolli di sicurezza più sicuri, ad esempio TLS 1.0, TLS 1.1 o TLS 1.2.

Fattori di mitigazione:

  • L'utente malintenzionato deve effettuare diverse centinaia di richieste HTTPS prima che l'attacco possa avere esito positivo.
  • TLS 1.0, TLS 1.1, TLS 1.2 e tutti i pacchetti di crittografia che non usano la modalità CBC non sono interessati.

Consiglio. Per le soluzioni alternative per disabilitare SSL 3.0, vedere la sezione Azioni suggerite di questo avviso. Microsoft consiglia ai clienti di usare queste soluzioni alternative per testare i client e i servizi per l'utilizzo di SSL 3.0 e avviare la migrazione di conseguenza.

Dettagli avviso

Riferimenti ai problemi

Per altre informazioni su questo problema, vedere i riferimenti seguenti:

Riferimenti Identificazione
Articolo della Knowledge Base 3009008
Riferimento CVE CVE-2014-3566 

Software interessato

Questo avviso illustra il software seguente.

Software interessato

|**Sistema operativo**| |------------| |Windows Server 2003 Service Pack 2| |Windows Server 2003 x64 Edition Service Pack 2| |Windows Server 2003 con SP2 per sistemi basati su Itanium | |Windows Vista Service Pack 2| |Windows Vista x64 Edition Service Pack 2| |Windows Server 2008 per sistemi a 32 bit Service Pack 2| |Windows Server 2008 per sistemi basati su x64 Service Pack 2| |Windows Server 2008 per sistemi basati su Itanium Service Pack 2| |Windows 7 per sistemi a 32 bit Service Pack 1| |Windows 7 per sistemi basati su x64 Service Pack 1| |Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1| |Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1| |Windows 8 per sistemi a 32 bit | |Windows 8 per sistemi basati su x64 | |Windows 8.1 per sistemi a 32 bit | |Windows 8.1 per sistemi basati su x64 | |Windows Server 2012 | |Windows Server 2012 R2| |Windows RT| |Windows RT 8.1| |**Opzione di installazione Server Core**| |Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione Server Core)| |Windows Server 2008 per sistemi basati su x64 Service Pack 2 (installazione Server Core)| |Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione Server Core)| |Windows Server 2012 (installazione Server Core)| |Windows Server 2012 R2 (installazione server Core)|

 

Domande frequenti sugli avvisi


Uso una versione di Internet Explorer diversa da 11. Come è possibile proteggere il sistema da questa vulnerabilità?
SSL 3.0 è stato disabilitato solo in Internet Explorer 11 in tutte le edizioni supportate di Microsoft Windows. Se si usa una versione diversa di Internet Explorer, vedere la sezione Soluzioni alternative suggerite per le soluzioni alternative che è possibile applicare al sistema per proteggerla da questa vulnerabilità.

Qual è l'ambito dell'avviso?
Lo scopo di questo avviso è informare i clienti che Microsoft è a conoscenza di informazioni dettagliate che descrivono un nuovo metodo per sfruttare una vulnerabilità che interessa SSL 3.0. Questa vulnerabilità è una vulnerabilità di divulgazione di informazioni.

In che modo un utente malintenzionato potrebbe sfruttare la vulnerabilità?
In un attacco man-in-the-middle (MiTM), un utente malintenzionato potrebbe effettuare il downgrade di una sessione TLS crittografata forzando i client a usare SSL 3.0 e quindi forzare il browser a eseguire codice dannoso. Questo codice invia diverse richieste a un sito Web HTTPS di destinazione, in cui i cookie vengono inviati automaticamente se esiste una sessione autenticata precedente. Si tratta di una condizione obbligatoria per sfruttare questa vulnerabilità. L'utente malintenzionato potrebbe quindi intercettare il traffico HTTPS e sfruttando una debolezza nella crittografia del blocco CBC in SSL 3.0, potrebbe decrittografare parti del traffico crittografato (ad esempio i cookie di autenticazione).

Cosa può fare un utente malintenzionato che usa questa vulnerabilità?
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe decrittografare parti del traffico crittografato.

Che cosa causa la vulnerabilità?
La vulnerabilità è causata dalla mancanza di verifica del riempimento a blocchi CBC in SSL 3.0.

Che cos'è SSL?
Secure Sockets Layer (SSL) è un protocollo di crittografia che fornisce la sicurezza delle comunicazioni su Internet. SSL crittografa i dati trasportati in rete, usando la crittografia per la privacy e un codice di autenticazione dei messaggi con chiave per l'affidabilità dei messaggi.

Che cos'è TLS? 
Transport Layer Security (TLS) è un protocollo standard usato per fornire comunicazioni Web sicure su Internet o su Intranet. Consente ai client di autenticare i server o, facoltativamente, i server per autenticare i client. Fornisce anche un canale sicuro crittografando le comunicazioni. TLS è la versione più recente del protocollo SSL (Secure Sockets Layer).

TLS è interessato da questo problema?
No. Questo problema è specifico di SSL 3.0.

Questo è un problema a livello di settore?
Sì. La vulnerabilità risiede nella progettazione del protocollo SSL 3.0 e non è limitata all'implementazione di Microsoft.

Azioni suggerite

Applicare soluzioni alternative

Le soluzioni alternative fanno riferimento a un'impostazione o a una modifica della configurazione che non corregge il problema sottostante, ma consente di bloccare i vettori di attacco noti prima che sia disponibile un aggiornamento della sicurezza.

  • Disabilitare SSL 3.0 e abilitare TLS 1.0, TLS 1.1 e TLS 1.2 in Internet Explorer

    È possibile disabilitare il protocollo SSL 3.0 in Internet Explorer modificando le impostazioni sicurezza avanzata in Internet Explorer.

    Per modificare la versione del protocollo predefinita da usare per le richieste HTTPS, seguire questa procedura:

    1. Scegliere InternetOpzioni dal menu Strumenti di Internet Explorer.
    2. Nella finestra di dialogo InternetOpzioni fare clic sulla scheda Avanzate .
    3. Nella categoria Sicurezza deselezionare UseSSL3.0 e selezionare Usa TLS 1.0, Usare TLS 1.1 e Usare TLS 1.2 (se disponibile).
    4. Nota È importante controllare le versioni consecutive. La mancata selezione di versioni consecutive (ad esempio, il controllo di TLS 1.0 e 1.2, ma non il controllo 1.1) potrebbe causare errori di connessione.
    5. Fare clic su OK.
    6. Chiudere e riavviare Internet Explorer.

    Nota Dopo aver applicato questa soluzione alternativa, Internet Explorer non riuscirà a connettersi ai server Web che supportano SOLO SSL fino a 3.0 e non supportano TLS 1.0, TLS 1.1 e TLS 1.2. 

    Nota:
    Vedere l'articolo della Microsoft Knowledge Base 3009008 per usare la soluzione di correzione Automatica di Microsoft per disabilitare SSL 3.0 solo in Internet Explorer.

    Come annullare la soluzione alternativa. Seguire questa procedura per abilitare SSL 3.0 in Internet Explorer.

    1. Scegliere InternetOpzioni dal menu Strumenti di Internet Explorer.
    2. Nella finestra di dialogo InternetOpzioni fare clic sulla scheda Avanzate .
    3. Nella categoria Sicurezza selezionare UseSSL3.0.
    4. Fare clic su OK.
    5. Chiudere e riavviare Internet Explorer.

  • Disabilitare SSL 3.0 e abilitare TLS 1.0, TLS 1.1 e TLS 1.2 per Internet Explorer in Criteri di gruppo

    È possibile disabilitare il supporto per il protocollo SSL 3.0 in Internet Explorer tramite Criteri di gruppo modificando l'oggetto Criteri di gruppo Disattiva supporto crittografia.

    1. Apri Gestione Criteri di gruppo.

    2. Selezionare l'oggetto Criteri di gruppo da modificare, fare clic con il pulsante destro del mouse e selezionare Modifica.

    3. Nell'Editor Gestione Criteri di gruppo passare all'impostazione seguente:
      Configurazione computer -> Modelli Amministrazione istrativi -> Componenti di Windows - Internet Explorer ->> Internet Pannello di controllo - Pagina avanzata ->> Disattiva supporto per la crittografia

    4. Fare doppio clic sull'impostazione Disattiva supporto crittografia per modificare l'impostazione.

    5. Fare clic su Enabled (Abilitato).

    6. Nella finestra Opzioni modificare l'impostazione Delle combinazioni di protocolli sicuri su "Usare TLS 1.0, TLS 1.1 e TLS 1.2".

    7. Nota È importante controllare le versioni consecutive. La mancata selezione di versioni consecutive (ad esempio, il controllo di TLS 1.0 e 1.2, ma non il controllo 1.1) potrebbe causare errori di connessione.

    8. Fare clic su OK.

      Nota Amministrazione istrators deve assicurarsi che questi criteri di gruppo vengano applicati in modo appropriato collegando l'oggetto Criteri di gruppo all'unità organizzativa appropriata nel proprio ambiente.

    Nota Dopo aver applicato questa soluzione alternativa, Internet Explorer non riuscirà a connettersi ai server Web che supportano SOLO SSL fino a 3.0 e non supportano TLS 1.0, TLS 1.1 e TLS 1.2. 

    Come annullare la soluzione alternativa. Seguire questa procedura per disabilitare l'impostazione dei criteri SSL 3.0:

    1. Apri Gestione Criteri di gruppo.

    2. Selezionare l'oggetto Criteri di gruppo da modificare, fare clic con il pulsante destro del mouse e selezionare Modifica.

    3. Nell'Editor Gestione Criteri di gruppo passare all'impostazione seguente:
      Configurazione computer -> Modelli Amministrazione istrativi -> Componenti di Windows - Internet Explorer ->> Internet Pannello di controllo - Pagina avanzata ->> Disattiva supporto per la crittografia

    4. Fare doppio clic sull'impostazione Disattiva supporto crittografia per modificare l'impostazione.

    5. Fare clic su Disabilitato.

    6. Fare clic su OK.

  • Disabilitare SSL 3.0 in Windows

    Per il software server

    È possibile disabilitare il supporto per il protocollo SSL 3.0 in Windows seguendo questa procedura:

    1. Fare clic su Start, fare clic su Esegui, digitare regedt32 o digitare regedite quindi fare clic su OK.
    2. Nell'editor del Registro di sistema trovare la chiave del Registro di sistema seguente:

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

    Nota Se il percorso completo della chiave del Registro di sistema non esiste, è possibile crearlo espandendo le chiavi disponibili e usando l'opzione Nuova chiave> dal menu Modifica.

    1. Scegliere AggiungiValore dal menu Modifica.
    2. Nell'elenco Tipo di dati fare clic su DWORD.
    3. Nella casella ValueName digitare Abilitato e quindi fare clic su OK

    Nota Se questo valore è presente, fare doppio clic sul valore per modificarne il valore corrente.

    1. Nella finestra di dialogo Modifica valore DWORD (32 bit) digitare 0 .
    2. Fare clic su OK. Riavviare il computer.

     

    Nota Questa soluzione alternativa disabiliterà SSL 3.0 per tutto il software server installato in un sistema, incluso IIS.

    Nota Dopo aver applicato questa soluzione alternativa, i client che si basano solo su SSL 3.0 non potranno comunicare con il server.

    Come annullare la soluzione alternativa. Seguire questa procedura per disabilitare SSL 3.0 nel software Windows Server:

    1. Aprire l'editor delRegistro di sistema.
    2. Individuare e quindi fare clic sulla seguente sottochiave del Registro di sistema:

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

    1. Scegliere Elimina dal menu Modifica.
    2. Fare clic su quando richiesto.
    3. Chiudere l'editor del Registro di sistema.
    4. Riavviare il sistema.

    Per il software client

    È possibile disabilitare il supporto per il protocollo SSL 3.0 in Windows seguendo questa procedura:

    1. Fare clic su Start, fare clic su Esegui, digitare regedt32 o digitare regedite quindi fare clic su OK.
    2. Nell'editor del Registro di sistema trovare la chiave del Registro di sistema seguente:

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

    Nota Se il percorso completo della chiave del Registro di sistema non esiste, è possibile crearlo espandendo le chiavi disponibili e usando l'opzione Nuova chiave> dal menu Modifica.

    1. Scegliere AggiungiValore dal menu Modifica.
    2. Nell'elenco Tipo di dati fare clic su DWORD.
    3. Nella casella ValueName digitare Abilitato e quindi fare clic su OK

    Nota Se questo valore è presente, fare doppio clic sul valore per modificarne il valore corrente.

    1. Nella finestra di dialogo Modifica valore DWORD (32 bit) digitare 0 .
    2. Fare clic su OK. Riavviare il computer.

     

    Nota Questa soluzione alternativa disabiliterà SSL 3.0 per tutto il software client installato in un sistema.

    Nota Dopo aver applicato questa soluzione alternativa, le applicazioni client in questo computer non potranno comunicare con altri server che supportano solo SSL 3.0.

    Come annullare la soluzione alternativa. Seguire questa procedura per disabilitare SSL 3.0 nel software client Windows:

    1. Aprire l'editor delRegistro di sistema.
    2. Individuare e quindi fare clic sulla seguente sottochiave del Registro di sistema:

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

    1. Scegliere Elimina dal menu Modifica.
    2. Fare clic su quando richiesto.
    3. Chiudere l'editor del Registro di sistema.
    4. Riavviare il sistema.

Azioni aggiuntive suggerite

  • Proteggere il PC

    Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il computer per abilitare un firewall, ottenere gli aggiornamenti software e installare il software antivirus. Per altre informazioni, vedere Microsoft Cassaforte ty & Security Center.

  • Mantenere aggiornato il software Microsoft

    Gli utenti che eseguono software Microsoft devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano il più protetti possibile. Se non si è certi che il software sia aggiornato, visitare Microsoft Update, analizzare il computer per verificare la disponibilità degli aggiornamenti e installare eventuali aggiornamenti ad alta priorità offerti. Se l'aggiornamento automatico è abilitato e configurato per fornire aggiornamenti per i prodotti Microsoft, gli aggiornamenti vengono recapitati all'utente quando vengono rilasciati, ma è necessario verificare che siano installati.

Riconoscimenti

Microsoft ringrazia quanto segue per collaborare a proteggere i clienti:

  • Bodo Möller del Team di sicurezza di Google per lavorare con noi su questo problema

Altre informazioni

Microsoft Active Protections Program (MAPP)

Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web di protezione attivi forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).

Feedback

Supporto tecnico

  • I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dal supporto tecnico. Per altre informazioni, vedere Guida e supporto tecnico Microsoft.
  • I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni, vedere Supporto internazionale.
  • Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.

Dichiarazione di non responsabilità

Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.

Revisioni

  • V1.0 (14 ottobre 2014): Avviso pubblicato.
  • V1.1 (15 ottobre 2014): avviso modificato per includere una soluzione alternativa per disabilitare il protocollo SSL 3.0 in Windows.
  • V2.0 (29 ottobre 2014): avviso rivisto per annunciare la deprecazione di SSL 3.0, per chiarire le istruzioni alternative per disabilitare SSL 3.0 nei server Windows e nei client Windows e per annunciare la disponibilità di una soluzione Microsoft Fix it per Internet Explorer. Per altre informazioni, vedere l'articolo della Knowledge Base 3009008.
  • V2.1 (9 dicembre 2014): Microsoft annuncia la disponibilità di avvisi di fallback SSL 3.0 in Internet Explorer 11. Per altre informazioni, vedere Articolo della Knowledge Base 3013210.
  • V2.2 (10 febbraio 2015): Microsoft annuncia che i tentativi di fallback SSL 3.0 sono disabilitati per impostazione predefinita in Internet Explorer 11. Per altre informazioni, vedere l'articolo della Microsoft Knowledge Base 3021952.
  • V2.3 (16 febbraio 2015): avviso modificato per annunciare la data pianificata per disabilitare SSL 3.0 per impostazione predefinita in Internet Explorer 11.
  • V3.0 (14 aprile 2015) Avviso modificato per annunciare con il rilascio dell'aggiornamento della sicurezza 3038314 il 14 aprile 2015 SSL 3.0 è disabilitato per impostazione predefinita in Internet Explorer 11 e per aggiungere istruzioni su come annullare le soluzioni alternative.

Pagina generata 2015-04-07 14:32Z-07:00.