Microsoft Security Bulletin MS15-055 - Importante
La vulnerabilità in Schannel potrebbe consentire la divulgazione di informazioni (3061518)
Pubblicato: 12 maggio 2015
Versione: 1.0
Schema riepilogativo
Questo aggiornamento della sicurezza risolve una vulnerabilità in Microsoft Windows che facilita lo sfruttamento della tecnica Logjam divulgata pubblicamente, un problema a livello di settore che non è specifico dei sistemi operativi Windows. La vulnerabilità potrebbe consentire la divulgazione di informazioni quando Secure Channel (Schannel) consente l'uso di una debole lunghezza della chiave Diffie-Hellman temporanea (DHE) di 512 bit in una sessione TLS crittografata. Consentire chiavi DHE a 512 bit rende gli scambi di chiavi DHE deboli e vulnerabili a vari attacchi. Un server deve supportare lunghezze di chiave DHE a 512 bit per un attacco con esito positivo; La lunghezza minima consentita della chiave DHE nelle configurazioni predefinite dei server Windows è di 1024 bit.
Questo aggiornamento della sicurezza è valutato Importante per tutte le versioni supportate di Microsoft Windows. Per altre informazioni, vedere la sezione Software interessato.
L'aggiornamento della sicurezza risolve la vulnerabilità aumentando la lunghezza minima consentita della chiave DHE a 1024 bit. Per altre informazioni sulla vulnerabilità, vedere la sezione Informazioni sulla vulnerabilità.
Per altre informazioni su questo aggiornamento, vedere l'articolo della Microsoft Knowledge Base 3061518.
Software interessato
Sono interessate le versioni o le edizioni software seguenti. Le versioni o le edizioni non elencate superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.
| Sistema operativo | Impatto massimo sulla sicurezza | Valutazione della gravità aggregata | Aggiornamenti sostituito |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031 |
| Windows Server 2003 x64 Edition Service Pack 2 (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031 |
| Windows Server 2003 con SP2 per sistemi basati su Itanium (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031 |
| Windows Vista x64 Edition Service Pack 2 (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031 |
| Windows Server 2008 | |||
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031 |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031 |
| Windows Server 2008 per sistemi basati su Itanium Service Pack 2 (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031 |
| Windows 7 | |||
| Windows 7 per sistemi a 32 bit Service Pack 1 (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031 |
| Windows 7 per sistemi basati su x64 Service Pack 1 (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031 |
| Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1 (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031 |
| Windows 8 e Windows 8.1 | |||
| Windows 8 per sistemi a 32 bit (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031, 3050514 in MS15-052[1] |
| Windows 8 per sistemi basati su x64 (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031, 3050514 in MS15-052[1] |
| Windows 8.1 per sistemi a 32 bit (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031 |
| Windows 8.1 per sistemi basati su x64 (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031 |
| Windows Server 2012 e Windows Server 2012 R2 | |||
| Windows Server 2012 (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031, 3050514 in MS15-052[1] |
| Windows Server 2012 R2 (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031 |
| Windows RT e Windows RT 8.1 | |||
| Windows RT[2](3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031 |
| Windows RT 8.1[2](3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031 |
| Opzione di installazione dei componenti di base del server | |||
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione Server Core) (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031 |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 (installazione server core) (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031 |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione server Core) (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031 |
| Windows Server 2012 (installazione server Core) (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031, 3050514 in MS15-052[1] |
| Windows Server 2012 R2 (installazione server Core) (3061518) | Diffusione di informazioni | Importante | 3046049 in MS15-031 |
[1]Si noti che l'aggiornamento 3050514 in MS15-052 viene rilasciato simultaneamente con 3061518 in MS15-055. I clienti che intendono installare manualmente entrambi gli aggiornamenti in Windows 8 o Windows Server 2012 devono installare 3050514 in MS15-052 prima di installare 3061518 in MS15-055 (questa operazione viene gestita automaticamente per i clienti con aggiornamento automatico abilitato). Per altre informazioni, vedere la sezione Problemi noti dell'articolo della Microsoft Knowledge Base 3061518.
[2]Questo aggiornamento è disponibile solo tramite Windows Update .
Domande frequenti su Aggiornamento
Questo aggiornamento contiene altre modifiche relative alla sicurezza alle funzionalità?
Sì. Questo aggiornamento standardizza le crittografie di avvio false TLS in Windows 8 e Windows 8.1 rimuovendo l'ottimizzazione di False Start durante la negoziazione di crittografia per i due crittografie seguenti nei sistemi Windows 8:
- TLS_RSA_WITH_RC4_128_SHA
- TLS_RSA_WITH_RC4_128_MD5
Implementa anche un provisioning per impedire false start durante la negoziazione della suite di crittografia RC4.
Classificazioni di gravità e identificatori di vulnerabilità
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio di questo bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di maggio.
| Valutazione della gravità della vulnerabilità e Impatto massimo sulla sicurezza da parte del software interessato | ||
|---|---|---|
| Software interessato | Vulnerabilità di divulgazione di informazioni Schannel - CVE-2015-1716 | Valutazione della gravità aggregata |
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows Server 2003 x64 Edition Service Pack 2 (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows Server 2003 con SP2 per sistemi basati su Itanium (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows Vista x64 Edition Service Pack 2 (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows Server 2008 | ||
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows Server 2008 per sistemi basati su Itanium Service Pack 2 (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows 7 | ||
| Windows 7 per sistemi a 32 bit Service Pack 1 (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows 7 per sistemi basati su x64 Service Pack 1 (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows Server 2008 R2 per sistemi basati su Itanium Service Pack 1 (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows 8 e Windows 8.1 | ||
| Windows 8 per sistemi a 32 bit (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows 8 per sistemi basati su x64 (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows 8.1 per sistemi a 32 bit (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows 8.1 per sistemi basati su x64 (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows Server 2012 e Windows Server 2012 R2 | ||
| Windows Server 2012 (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows Server 2012 R2 (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows RT e Windows RT 8.1 | ||
| Windows RT (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows RT 8.1 (3061518) | Divulgazione di informazioni importanti | Importante |
| Opzione di installazione dei componenti di base del server | ||
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione server core) (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 (installazione Server Core) (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione Server Core) (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows Server 2012 (installazione server Core) (3061518) | Divulgazione di informazioni importanti | Importante |
| Windows Server 2012 R2 (installazione server Core) (3061518) | Divulgazione di informazioni importanti | Importante |
Informazioni sulla vulnerabilità
Vulnerabilità di divulgazione di informazioni Schannel - CVE-2015-1716
Una vulnerabilità di divulgazione di informazioni esiste in Secure Channel (Schannel) quando consente l'uso di una debole lunghezza di chiave diffie-Hellman temporanea (DHE) di 512 bit in una sessione TLS crittografata. Consentire chiavi DHE a 512 bit rende gli scambi di chiavi DHE deboli e vulnerabili a vari attacchi.
L'aggiornamento della sicurezza risolve la vulnerabilità aumentando la lunghezza minima consentita della chiave DHE a 1024 bit.
Microsoft ha ricevuto informazioni su questa vulnerabilità tramite la divulgazione coordinata delle vulnerabilità. Quando è stato rilasciato questo bollettino sulla sicurezza, Microsoft non aveva ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti.
Fattori di mitigazione
I fattori di mitigazione seguenti possono essere utili nella situazione:
- Un server deve supportare lunghezze di chiave DHE a 512 bit per un attacco con esito positivo; La lunghezza minima consentita della chiave DHE nelle configurazioni predefinite dei server Windows è di 1024 bit.
Soluzioni alternative
La soluzione alternativa seguente può essere utile nella situazione:
Disabilitare i pacchetti di crittografia DHE
Avviso Se si usa l'editor del Registro di sistema in modo errato, è possibile che si verifichino gravi problemi che potrebbero richiedere di reinstallare il sistema operativo. Microsoft non può garantire che sia possibile risolvere i problemi derivanti dall'uso non corretto dell'editor del Registro di sistema. Utilizzare l'editor del Registro di sistema a proprio rischio.Aprire l'editor delRegistro di sistema.
Accedere alle impostazioni dell'algoritmo di scambio delle chiavi passando al seguente percorso del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms
Selezionare la sottochiave Diffie-Hellman (se non esiste, quindi crearla).
Impostare il valore del Registro di sistema DWORD abilitato su 0 (se non esiste, quindi crearlo).
Chiudere l'editor del Registro di sistema.
Come annullare la soluzione alternativa.
Aprire l'editor delRegistro di sistema.
Accedere alle impostazioni dell'algoritmo di scambio delle chiavi passando al seguente percorso del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms
Selezionare la sottochiave Diffie-Hellman .
Impostare il valore del Registro di sistema DWORD abilitato su 1.
Chiudere l'editor del Registro di sistema.
Impatto della soluzione alternativa: le sessioni TLS crittografate che si basano sulle chiavi DHE non funzioneranno più a meno che non siano state implementate opzioni di failover alternative.
Distribuzione degli aggiornamenti della sicurezza
Per informazioni sulla distribuzione degli aggiornamenti della sicurezza, vedere l'articolo della Microsoft Knowledge Base a cui si fa riferimento nel riepilogo esecutivo.
Riconoscimenti
Microsoft riconosce gli sforzi di coloro che si trovano nella community di sicurezza che ci aiutano a proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità. Per altre informazioni, vedere Riconoscimenti .
Dichiarazione di non responsabilità
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (12 maggio 2015): Bollettino pubblicato.
Pagina generata 2015-05-27 14:31Z-07:00.