La vulnerabilità nell'implementazione RADIUS del server dei criteri di rete potrebbe causare denial of service (3014029)
Pubblicato: 13 gennaio 2015
Versione: 1.0
Schema riepilogativo
Questo aggiornamento della sicurezza risolve una vulnerabilità segnalata privatamente in Microsoft Windows. La vulnerabilità potrebbe consentire la negazione del servizio in un servizio di autenticazione Internet (IAS) o server dei criteri di rete (NPS) se un utente malintenzionato invia stringhe di nome utente appositamente create a IAS o NPS. Si noti che la vulnerabilità Denial of Service non consente a un utente malintenzionato di eseguire codice o di elevare i diritti utente; tuttavia, potrebbe impedire l'autenticazione RADIUS in IAS o NPS.
Questo aggiornamento della sicurezza è valutato Importante per tutte le edizioni supportate di Windows Server 2003, Windows Server 2008 (escluso Itanium), Windows Server 2008 R2 (escluso Itanium), Windows Server 2012 e Windows Server 2012 R2. Per altre informazioni, vedere la sezione Software interessato.
L'aggiornamento della sicurezza risolve la vulnerabilità modificando il modo in cui i server dei criteri di rete analizzano le query di nome utente durante l'implementazione di RADIUS. Per altre informazioni sulla vulnerabilità, vedere la sezione Informazioni sulla vulnerabilità.
Sono interessate le versioni o le edizioni software seguenti. Le versioni o le edizioni non elencate superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.
Classificazioni di gravità e identificatori di vulnerabilità
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio di questo bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di gennaio.
Valutazione della gravità della vulnerabilità e Impatto massimo sulla sicurezza da parte del software interessato
Windows Server 2003 x64 Edition Service Pack 2 (3014029)
Importante\ Denial of Service
Importante
Windows Server 2003 con SP2 per sistemi basati su Itanium (3014029)
Importante\ Denial of Service
Importante
Windows Server 2008
Windows Server 2008 per sistemi a 32 bit Service Pack 2 (3014029)
Importante\ Denial of Service
Importante
Windows Server 2008 per sistemi basati su x64 Service Pack 2 (3014029)
Importante\ Denial of Service
Importante
Windows Server 2008 R2
Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (3014029)
Importante\ Denial of Service
Importante
Windows Server 2012 e Windows Server 2012 R2
Windows Server 2012 (3014029)
Importante\ Denial of Service
Importante
Windows Server 2012 R2 (3014029)
Importante\ Denial of Service
Importante
Informazioni sulla vulnerabilità
Vulnerabilità denial of service del server dei criteri di rete - CVE-2015-0015
Si tratta di una vulnerabilità Denial of Service. Un utente malintenzionato non autenticato che ha sfruttato correttamente questa vulnerabilità potrebbe inviare stringhe di nome utente appositamente create a un servizio di autenticazione Internet (IAS) o a un server dei criteri di rete (NPS), causando una condizione Denial of Service per l'autenticazione RADIUS in IAS o NPS. Si noti che la vulnerabilità Denial of Service non consente a un utente malintenzionato di eseguire codice o di elevare i diritti utente; tuttavia, potrebbe impedire l'autenticazione RADIUS in IAS o NPS. Un utente malintenzionato che ha sfruttato correttamente la vulnerabilità potrebbe impedire al sistema di destinazione di rispondere. I server dei criteri di rete che consentono agli utenti remoti e non attendibili di eseguire l'autenticazione sono a rischio specifico da questa vulnerabilità. L'aggiornamento risolve la vulnerabilità Denial of Service modificando il modo in cui i server dei criteri di rete analizzano le query del nome utente durante l'implementazione di RADIUS.
Microsoft ha ricevuto informazioni su questa vulnerabilità tramite la divulgazione coordinata delle vulnerabilità. Quando è stato rilasciato questo bollettino sulla sicurezza, Microsoft non aveva ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti.
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Distribuzione degli aggiornamenti della sicurezza
Per informazioni sulla distribuzione degli aggiornamenti della sicurezza, vedere l'articolo della Microsoft Knowledge Base a cui si fa riferimento nel riepilogo esecutivo.
Riconoscimenti
Microsoft riconosce gli sforzi di coloro che si trovano nella community di sicurezza che ci aiutano a proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità. Per altre informazioni, vedere Riconoscimenti .
Dichiarazione di non responsabilità
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Gli amministratori della sicurezza delle informazioni pianificano e implementano la sicurezza delle informazioni dei dati sensibili usando Microsoft Purview e i servizi correlati. L'utente è responsabile della mitigazione dei rischi proteggendo i dati all'interno di ambienti di collaborazione gestiti da Microsoft 365 da minacce interne ed esterne e proteggendo i dati usati dai servizi di intelligenza artificiale. Si implementa anche la protezione delle informazioni, la prevenzione della perdita dei dati, la