Avviso di sicurezza
Microsoft Security Advisory 953252
Applicazione di esecuzione automatica in Windows
Pubblicato: 12 agosto 2008
Microsoft ha completato l'indagine su un report pubblico di una vulnerabilità nella funzionalità di esecuzione automatica di Windows, che avvia i programmi di installazione in condivisioni multimediali rimovibili o di rete da fornitori di software di terze parti. Questa vulnerabilità interessa tutte le edizioni supportate di Windows XP Service Pack 2, Windows Server 2003 Service Pack 1 e Windows Server 2003 Service Pack 2 e Windows Vista.
In caso di problema, Windows applica le impostazioni di esecuzione automatica. In almeno uno scenario, l'esecuzione automatica eseguirà codice arbitrario in un dispositivo di archiviazione USB rimovibile nonostante i criteri di gruppo e/o le impostazioni del Registro di sistema che disabilitano in modo specifico l'esecuzione automatica. Ad esempio, se un utente malintenzionato fornisce a un utente una chiave USB contenente codice appositamente creato e l'utente ha semplicemente usato Esplora risorse per esaminare il contenuto dell'unità rimovibile, AutoRun eseguirà il codice appositamente creato senza richiedere all'utente un'azione di esecuzione automatica.
In un altro scenario, Windows Vista esegue comunque l'azione di esecuzione automatica per le unità di rete anche quando il Registro di sistema è impostato specificamente per disabilitare l'esecuzione automatica. Windows Vista non applica correttamente l'impostazione del Registro di sistema per impedire l'azione Di esecuzione automatica.
Microsoft è a conoscenza degli attacchi che tentano di usare le vulnerabilità segnalate o l'impatto del cliente in questo momento. Microsoft sta analizzando i report pubblici. Per altre informazioni su questo problema, inclusi i collegamenti di download per l'aggiornamento della sicurezza, vedere l'articolo della Microsoft Knowledge Base 953252.
Fattori di mitigazione:
Questa vulnerabilità non influisce sulle edizioni supportate delle versioni seguenti di Windows:
- Windows Server 2008 (tutte le edizioni)
Informazioni generali
Panoramica
Scopo dell'avviso: fornire ai clienti una notifica iniziale della vulnerabilità divulgata pubblicamente e la disponibilità di un aggiornamento della sicurezza in Aggiornamenti automatica.
Stato avviso: l'articolo della Microsoft Knowledge Base e l'aggiornamento associato sono stati rilasciati.
Raccomandazione: esaminare l'articolo della Knowledge Base di riferimento e applicare l'aggiornamento appropriato.
| Riferimenti | Identificazione |
|---|---|
| Articolo della Microsoft Knowledge Base | 953252 |
| Riferimento CVE | CVE-2008-1452 |
Questo avviso illustra il software seguente:
| Software correlato |
|---|
| Windows XP Service Pack 2 |
| Windows XP Professional x64 Edition e Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 1 e Windows Server 2003 Service Pack 2 |
| Windows Server 2003 con SP1 per sistemi basati su Itanium e Windows Server 2003 con SP2 per sistemi basati su Itanium |
| Windows Server 2003 x64 Edition e Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Vista e Windows Vista Service Pack 1 |
| Windows Vista x64 Edition |
Domande frequenti
Qual è l'ambito dell'avviso?
Microsoft è a conoscenza di un nuovo report di vulnerabilità che interessa la funzionalità di esecuzione automatica, un componente di Microsoft Windows. Questo influisce sul software elencato nella sezione "Panoramica".
Che cosa causa questa minaccia?
Un utente malintenzionato potrebbe creare un attacco di social engineering per abusare del sistema di esecuzione automatica progettato per consentire l'esecuzione automatica di determinati file. L'attacco non causa automaticamente l'esecuzione del software appositamente creato nel computer dell'utente. L'utente dovrà comunque inserire supporti rimovibili o connettersi a una condivisione di rete che contiene il software appositamente creato.
Che cosa fa questa funzionalità?
Lo scopo principale dell'esecuzione automatica è fornire una risposta software alle azioni hardware avviate dall'utente in un computer. AutoRun include tre funzionalità: Doppio clic, Menu contestuale e Riproduzione automatica. Queste funzionalità vengono chiamate principalmente da condivisioni di rete o supporti rimovibili. Durante la riproduzione automatica, viene chiamato il file autorun.inf dal supporto, che viene eseguito internamente dal disco. Molte aziende usano questa funzionalità per avviare i propri programmi di installazione.
Cosa può fare un utente malintenzionato che usa questa funzione?
Un utente malintenzionato potrebbe convincere un utente a connettersi a una condivisione di rete. A tale scopo, è possibile inviare un collegamento tramite posta elettronica. Una volta connessa la condivisione di rete, la funzionalità di esecuzione automatica avvia un programma nella condivisione di rete anche se il Registro di sistema del computer è stato configurato per non consentire questa azione. L'utente non verrà richiesto prima che si verifichi questa azione. L'utente malintenzionato potrebbe quindi eseguire componenti aggiuntivi software appositamente creati, ad esempio spyware, senza ulteriori interazioni dell'utente.
Un utente malintenzionato potrebbe anche fornire un dispositivo di archiviazione USB contenente codice appositamente creato a un utente. Se l'utente visualizza l'unità rimovibile tramite Esplora risorse, all'utente non verrà richiesta un'azione di esecuzione automatica. L'esecuzione automatica eseguirà quindi il codice appositamente creato, ad esempio spyware, senza ulteriori interazioni dell'utente.
Questo aggiornamento verrà distribuito tramite il Aggiornamenti automatico?
Sì, questo aggiornamento viene distribuito tramite Aggiornamenti automatico al software elencato in precedenza.
Azioni suggerite
Esaminare l'articolo della Microsoft Knowledge Base associato a questo avviso
I clienti interessati a saperne di più su questo problema devono consultare l'articolo della Microsoft Knowledge Base 953252.
Soluzioni alternative
Microsoft ha testato le soluzioni alternative seguenti. Anche se queste soluzioni alternative non correggeranno la vulnerabilità sottostante, consentono di bloccare i vettori di attacco noti. Quando una soluzione alternativa riduce la funzionalità, viene identificata nella sezione seguente.
Impedisci la creazione di file Autorun.inf nelle condivisioni
Per impedire che la funzionalità di esecuzione automatica venga richiamata e per impedire a tutti i programmi di scrivere file Autoun.inf in unità di rete mappate, seguire questa procedura:
- Eliminare tutti i file Autorun.inf dalla radice di un'unità di rete mappata.
- Non concedere diritti di creazione alla radice di un'unità di rete mappata.
Impatto della soluzione alternativa: le funzionalità di esecuzione automatica non saranno disponibili dalle unità di rete.
Disabilitare l'uso di dispositivi USB Archiviazione
Esistono due metodi che è possibile usare per impedire agli utenti di connettersi a un dispositivo di archiviazione USB. Per altre informazioni sulla disabilitazione dei dispositivi di archiviazione USB, vedere l'articolo della Microsoft Knowledge Base 823732.
Importante Questo articolo contiene informazioni su come modificare il Registro di sistema. Assicurarsi di eseguire il backup del Registro di sistema prima di modificarlo. Assicurarsi di sapere come ripristinare il Registro di sistema in caso di problemi. Per altre informazioni su come eseguire il backup, il ripristino e modificare il Registro di sistema, fare clic sul numero di articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:
256986 Descrizione del Registro di sistema di Microsoft Windows
Per disabilitare l'uso di dispositivi USB Archiviazione
Per disabilitare l'uso dei dispositivi di archiviazione USB, usare una o più delle procedure seguenti, in base alla situazione in uso:
Se un dispositivo USB Archiviazione non è già installato nel computer
Se un dispositivo di archiviazione USB non è già installato nel computer, assegnare all'utente o al gruppo autorizzazioni Nega ai file seguenti:
- %SystemRoot%\Inf\Usbstor.pnf
- %SystemRoot%\Inf\Usbstor.inf
In questo caso, gli utenti non possono installare un dispositivo di archiviazione USB nel computer. Per assegnare un utente o un gruppo Nega autorizzazioni ai file Usbstor.pnf e Usbstor.inf, seguire questa procedura:
- Avviare Esplora risorse e quindi individuare la cartella %SystemRoot%\Inf.
- Fare clic con il pulsante destro del mouse sul file Usbstor.pnf e quindi scegliere Proprietà.
- Fare clic sulla scheda Sicurezza.
- Nell'elenco Gruppi o nomi utente fare clic sull'utente o sul gruppo per cui si desidera impostare Nega autorizzazioni.
- Nell'elenco Autorizzazioni perUserName o GroupName fare clic per selezionare la casella di controllo Nega accanto a Controllo completo e quindi fare clic su OK. Nota Inoltre, aggiungere l'account di sistema all'elenco Nega .
- Fare clic con il pulsante destro del mouse sul file Usbstor.inf e quindi scegliere Proprietà.
- Fare clic sulla scheda Sicurezza.
- Nell'elenco Gruppi o nomi utente fare clic sull'utente o sul gruppo per cui si desidera impostare Nega autorizzazioni.
- Nell'elenco Autorizzazioni perUserName o GroupName fare clic per selezionare la casella di controllo Nega accanto a Controllo completo e quindi fare clic su OK.
Se un dispositivo USB Archiviazione è già installato nel computer
Avviso Problemi gravi possono verificarsi se si modifica il Registro di sistema in modo non corretto utilizzando l'editor del Registro di sistema o utilizzando un altro metodo. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce in alcun modo che i problemi potranno essere risolti. La modifica del Registro di sistema è a esclusivo rischio dell'utente. Se nel computer è già installato un dispositivo di archiviazione USB, impostare il valore Start nella chiave del Registro di sistema seguente su 4:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
In questo caso, il dispositivo di archiviazione USB non funziona quando l'utente connette il dispositivo al computer. Per impostare il valore start , seguire questa procedura:
- Fare clic sul pulsante Starte quindi scegliere Esegui.
- Nella casella Apri digitare regedit e quindi fare clic su OK.
- Individuare e quindi fare clic sulla chiave del Registro di sistema seguente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
- Nel riquadro destro fare doppio clic su Avvia.
- Nella casella Dati valore digitare 4, fare clic su Esadecimale (se non è già selezionato) e quindi fare clic su OK.
- Chiudere l'Editor del Registro di sistema.
Contattare il fornitore del dispositivo USB per chiedere informazioni su un driver più recente. Per informazioni su come contattare il fornitore del dispositivo USB, fare clic sul numero di articolo appropriato nell'elenco seguente per visualizzare l'articolo della Microsoft Knowledge Base:
65416 Informazioni di contatto hardware e fornitore di software, A-K
60781 Informazioni di contatto hardware e fornitore di software, L-P
60782 Informazioni di contatto del fornitore hardware e software, Q-Z
Impatto della soluzione alternativa: i dispositivi di archiviazione USB non funzioneranno più nei sistemi in cui vengono applicate queste modifiche.
Risorse:
- È possibile fornire commenti e suggerimenti completando il modulo visitando la Guida e il supporto tecnico Microsoft: Contattaci.
- I clienti del Stati Uniti e del Canada possono ricevere supporto tecnico dai servizi di supporto tecnico Microsoft. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il supporto internazionale.
- Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Declinazione di responsabilità:
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni:
- 12 agosto 2008: Avviso pubblicato
Costruito al 2014-04-18T13:49:36Z-07:00