Avviso di sicurezza
Microsoft Security Advisory 899588
La vulnerabilità nel plug and play potrebbe consentire l'esecuzione di codice remoto e l'elevazione dei privilegi
Pubblicato: 11 agosto 2005 | Aggiornato: 17 agosto 2005
Zotob è un worm destinato ai computer basati su Windows 2000 e sfrutta un problema di sicurezza risolto dal bollettino microsoft sulla sicurezza MS05-039. Questo worm e le sue varianti installano software dannoso, e quindi cercare altri computer per infettare.
Se è stato installato l'aggiornamento rilasciato con il bollettino sulla sicurezza MS05-039, si è già protetti da Zotob e dalle relative varianti. Se usi una versione supportata di Windows diversa da Windows 2000, non sei a rischio da Zotob e dalle relative varianti. Nell'ambito del processo di risposta agli eventi imprevisti di sicurezza software, l'indagine ha determinato che solo un numero ridotto di clienti è stato interessato e i professionisti della sicurezza Microsoft lavorano direttamente con loro. Non abbiamo visto alcuna indicazione dell'impatto diffuso su Internet. I clienti che credono di essere stati attaccati dovrebbero contattare l'ufficio FBI locale o pubblicare il reclamo sul sito Web del Centro di reclamo delle frodi Internet. I clienti al di fuori del Stati Uniti devono contattare l'agenzia nazionale di applicazione della legge nel proprio paese.
Per ulteriori informazioni su questi worm, per determinare se sei stato infettato da questi worm e per istruzioni su come riparare il tuo sistema se sei stato infettato da questi worm, vedi il sito Web zotob Security Incident o Microsoft Virus Enciclopedia. Per i riferimenti a Microsoft Virus Enciclopedia, vedere la sezione "Panoramica". Puoi anche usare lo strumento di rimozione di software dannoso di Microsoft Windows per cercare e rimuovere il worm Zotob e le relative varianti dal tuo disco rigido.
Altre versioni di Windows, tra cui Windows XP Service Pack 2 e Windows Server 2003, non sono interessate da Worm:Win32/Zotob.A, le sue varianti e worm simili che tentano di sfruttare la vulnerabilità Plug and Play di Windows, a meno che non siano già stati compromessi da altri software dannosi. I clienti possono proteggersi da attacchi che tentano di utilizzare questa vulnerabilità installando immediatamente gli aggiornamenti della sicurezza forniti dal bollettino microsoft sulla sicurezza MS05-039 . Il bollettino sulla sicurezza MS05-039 è disponibile nel seguente sito Web.
Microsoft è deluso dal fatto che alcuni ricercatori della sicurezza hanno violato la pratica comunemente accettata del settore di ritenuta dei dati di vulnerabilità così vicino al rilascio degli aggiornamenti e hanno pubblicato codice exploit, potenzialmente danneggiando gli utenti del computer. Continuiamo a esortare i ricercatori della sicurezza a divulgare le informazioni sulle vulnerabilità in modo responsabile e consentire ai clienti di distribuire gli aggiornamenti in modo che non aiutino i criminali nel loro tentativo di sfruttare le vulnerabilità del software.
Fattori di mitigazione:
- I sistemi Windows 2000 sono principalmente a rischio da questa vulnerabilità. I clienti di Windows 2000 che hanno installato l'aggiornamento della sicurezza MS05-039 non sono interessati da questa vulnerabilità. Se un amministratore ha disabilitato le connessioni anonime modificando l'impostazione predefinita della chiave del Registro di sistema RestrictAnonymous su un valore pari a 2, i sistemi Windows 2000 non saranno vulnerabili in remoto da utenti anonimi. Tuttavia, a causa di un rischio di compatibilità delle applicazioni di grandi dimensioni, non è consigliabile che i clienti abilitino questa impostazione negli ambienti di produzione senza prima testare ampiamente l'impostazione nel proprio ambiente. Per altre informazioni, cercare RestrictAnonymous nel sito Web guida e supporto tecnico Microsoft.
- Anche se non la destinazione corrente di questi attacchi, è importante notare che in Windows XP Service Pack 2 e Windows Server 2003 un utente malintenzionato deve avere credenziali di accesso valide e poter accedere localmente per sfruttare questa vulnerabilità. La vulnerabilità non può essere sfruttata in remoto da utenti anonimi o da utenti con account utente standard in Windows XP Service Pack 2 o Windows Server 2003. Ciò è dovuto alla sicurezza avanzata integrata direttamente nel componente interessato. Anche se un amministratore ha abilitato connessioni anonime modificando l'impostazione predefinita della chiave del Registro di sistema RestrictAnonymous , Windows XP Service Pack 2 e Windows Server 2003 non sono vulnerabili in remoto da utenti anonimi o da utenti con account utente standard. Tuttavia, il componente interessato è disponibile in remoto per gli utenti che dispongono di autorizzazioni amministrative.
- Anche se non la destinazione corrente di questi attacchi, è importante notare che in Windows XP Service Pack 1 un utente malintenzionato deve avere credenziali di accesso valide per tentare di sfruttare questa vulnerabilità. Non è stato possibile sfruttare la vulnerabilità in modalità remota da parte di utenti anonimi. Tuttavia, il componente interessato è disponibile in remoto per gli utenti con account utente standard in Windows XP Service Pack 1. Gli attacchi esistenti non sono progettati per fornire l'autenticazione necessaria per sfruttare questo problema in questi sistemi operativi. Anche se un amministratore ha abilitato connessioni anonime modificando l'impostazione predefinita della chiave del Registro di sistema RestrictAnonymous , i sistemi Windows XP Service Pack 1 non sono vulnerabili in remoto da utenti anonimi.
- Questo problema non influisce su Windows 98, Windows 98 edizione Standard o Windows Millennium Edition.
Informazioni generali
Panoramica
Scopo dell'avviso: notifica di attacchi attivi dei clienti e disponibilità di un aggiornamento della sicurezza per proteggere da questa potenziale minaccia.
Stato avviso: avviso pubblicato. Poiché questo problema è già stato risolto come parte del bollettino sulla sicurezza MS05-039 , non è necessario alcun aggiornamento aggiuntivo.
Raccomandazione: i clienti devono usare lo strumento di rimozione di software dannoso di Microsoft Windows per verificare e rimuovere l'infezione zotob e installare l'aggiornamento della sicurezza MS05-039 per proteggere da questa vulnerabilità.
| Riferimenti | Identificazione |
|---|---|
| Riferimenti alle vulnerabilità | |
| Riferimento CVE | CAN-2005-1983 |
| Bollettino sulla sicurezza | MS05-039 |
| Dettagli exploit e worm | |
| Incidente di sicurezza zotob | Sito Web |
| Strumento di rimozione di software dannoso | Sito Web |
| Microsoft Virus Enciclopedia | Worm:Win32/Zotob.A, Worm:Win32/Zotob.B, Worm:Win32/Zotob.C, Worm:Win32/Zotob.D, Worm:Win32/Zotob.EWorm:Win32/Esbot.A, Worm:Win32/Rbot.MA, Worm:Win32/Rbot.MB, Worm:Win32/Rbot.MC, Bobax.O |
| Symantec | W32. Zotob.A, W32. Zotob.B, W32. Zotob.D, W32. Zotob.E,W32. Zotob.G |
| F-Secure | Zotob.A, Zotob.B, Zotob.C, Basileaori.A, Eseguireori.B, Eseguireori.C |
| McAfee | W32/Zotob.worm,W32/Zotob.worm.b, W32/Zotob.worm.c, W32/Vermeori.worm.b, W32/IRCbot.worm! MS05-039, W32/Sdbot.worm! MS05-039,W32/Sdbot.worm!51326 |
Nota Questo avviso non verrà aggiornato per le varianti future, a meno che non siano materialmente diverse da quella delle versioni esistenti.
Questo avviso illustra il software seguente.
| Software correlato |
| Microsoft Windows 2000 Service Pack 4 |
| Microsoft Windows XP Service Pack 1 |
| Microsoft Windows XP 64 Bit Edition Service Pack 1 (Itanium) |
| Microsoft Windows XP Service Pack 2 |
| Microsoft Windows XP 64 Bit Edition versione 2003 (Itanium) |
| Microsoft Windows XP Professional x64 Edition |
| Microsoft Windows Server 2003 |
| Microsoft Windows Server 2003 per sistemi basati su Itanium |
| Microsoft Windows Server 2003 Service Pack 1 |
| Microsoft Windows Server 2003 con SP1 per sistemi basati su Itanium |
| Microsoft Windows Server 2003 x64 Edition |
| Microsoft Windows 98, Microsoft Windows 98 Second Edition (edizione Standard) e Microsoft Windows Millennium Edition (ME) |
Domande frequenti
Qual è l'ambito dell'avviso?
Zotob è un worm destinato ai computer basati su Windows 2000 e sfrutta un problema di sicurezza risolto dal bollettino microsoft sulla sicurezza MS05-039. Questo worm e le sue varianti installano software dannoso, e quindi cercare altri computer per infettare. Se è stato installato l'aggiornamento rilasciato con il bollettino sulla sicurezza MS05-039, si è già protetti da Zotob e dalle relative varianti. Se usi una versione supportata di Windows diversa da Windows 2000, non sei a rischio da Zotob e dalle relative varianti.
Si tratta di una vulnerabilità di sicurezza che richiede a Microsoft di eseguire un aggiornamento della sicurezza aggiuntivo?
No. I clienti che hanno installato gli aggiornamenti della sicurezza MS05-039 non sono interessati da questa vulnerabilità.
Che cosa causa questa minaccia?
Buffer non selezionato nel servizio Plug and Play. Per altri dettagli sulla vulnerabilità, vedere Il bollettino sulla sicurezza MS05-039 .
Cosa può fare un utente malintenzionato che usa questa funzione?
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato. L'utente malintenzionato potrebbe quindi installare programmi e visualizzare, modificare o eliminare dati, oppure creare nuovi account con diritti utente completi.
Azioni suggerite
Controllare e rimuovere l'infezione zotob.
È possibile usare lo strumento di rimozione di software dannoso di Microsoft Windows per cercare e rimuovere il worm Zotob e le sue varianti dal disco rigido.
I clienti devono installare gli aggiornamenti dellasicurezza MS05-039per proteggersi da questa vulnerabilità.
I sistemi Windows 2000 sono principalmente a rischio da questa vulnerabilità. I clienti che hanno installato l'aggiornamento della sicurezza MS05-039 non sono interessati da questa vulnerabilità.
I clienti che credono di essere stati attaccati dovrebbero contattare l'ufficio FBI locale o pubblicare il reclamo sul sito Web del Centro di reclamo delle frodi Internet. I clienti esterni agli Stati Uniti devono contattare l'agenzia nazionale per le forze dell'ordine nel proprio paese.
I clienti negli Stati Uniti e in Canada che ritengono che potrebbero essere stati interessati da questa possibile vulnerabilità possono ricevere supporto tecnico dai Servizi supporto tecnico Microsoft a 1-866-PCSAFETY. Non è previsto alcun addebito per il supporto associato a problemi di aggiornamento della sicurezza o virus". I clienti internazionali possono ricevere supporto usando uno dei metodi elencati nel sito Web Guida e supporto tecnico per gli utenti domestici. Tutti i clienti devono applicare gli aggiornamenti della sicurezza più recenti rilasciati da Microsoft per garantire che i sistemi siano protetti da tentativi di sfruttamento. I clienti che hanno abilitato l'Aggiornamenti automatica riceveranno automaticamente tutti gli aggiornamenti di Windows. Per altre informazioni sugli aggiornamenti della sicurezza, visitare il sito Web Microsoft Security.
Proteggere il PC
Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il PC per abilitare un firewall, ottenere gli aggiornamenti software e installare software antivirus. I clienti possono saperne di più su questi passaggi visitando il sito Web Proteggi il PC.
Mantenere Aggiornato Windows
Tutti gli utenti di Windows devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano protetti il più possibile. Se non si è certi che il software sia aggiornato, visitare il sito Web di Windows Update, analizzare il computer per gli aggiornamenti disponibili e installare eventuali aggiornamenti ad alta priorità offerti all'utente. Se è abilitato il Aggiornamenti automatico, gli aggiornamenti vengono recapitati quando vengono rilasciati, ma è necessario assicurarsi di installarli.
Altre informazioni
Risorse:
- È possibile fornire commenti e suggerimenti completando il modulo visitando il sito Web seguente.
- I clienti negli Stati Uniti e in Canada possono ricevere supporto tecnico dai servizi di supporto tecnico Microsoft. Per altre informazioni sulle opzioni di supporto disponibili, vedere il sito Web guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il sito Web del supporto internazionale.
- Il sito Web Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Declinazione di responsabilità:
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni:
- 11 agosto 2005: Avviso pubblicato
- 14 agosto 2005: l'avviso è stato aggiornato per informare i clienti che Microsoft sta attivamente analizzando e fornendo indicazioni su un worm dannoso identificato come "Worm:Win32/Zotob.A".
- 15 agosto 2005: L'avviso è stato aggiornato per documentare varianti aggiuntive di Worm:Win32/Zotob.A. È stato inoltre aggiornato l'avviso per documentare le informazioni sull'impatto della chiave del Registro di sistema RestrictAnonymous.
- 16 agosto 2005: L'avviso è stato aggiornato per documentare informazioni aggiuntive sulle variazioni di Worm:Win32/Zotob.A e informazioni aggiuntive sull'indagine in corso.
- 17 agosto 2005: L'avviso è stato aggiornato per documentare informazioni aggiuntive sulle varianti di Worm:Win32/Zotob.A. Annunciamo anche la disponibilità di una versione rivista dello strumento di rimozione di software dannoso di Microsoft Windows che consente di risolvere questi attacchi.
Costruito al 2014-04-18T13:49:36Z-07:00