MS10-029: Sikkerhetsproblem i Windows ISATAP-komponent kan tillate forfalsking

Microsoft har gitt ut sikkerhetsbulletin MS10-029. Hvis du vil se hele sikkerhetsbulletinen, kan du besøke et av følgende Microsoft-webområder:

• Hjemmebrukere:
  http://www.microsoft.com/norge/protect/computer/updates/bulletins/201004.mspx

  (http://www.microsoft.com/norge/protect/computer/updates/bulletins/201004.mspx)
  Hopp over detaljene: Last ned oppdateringer til en stasjonær eller bærbar hjemmedatamaskin fra webområdet for Microsoft Update nå:
  http://update.microsoft.com/microsoftupdate

  (http://update.microsoft.com/microsoftupdate)
• IT-teknikere:
  http://www.microsoft.com/technet/security/bulletin/MS10-029.mspx

  (http://www.microsoft.com/technet/security/bulletin/MS10-029.mspx)

Hjelp og støtte til denne sikkerhetsoppdateringen

Hjemmebrukere kan få gratis støtte ved å henvende seg til sin lokale Microsoft-avdeling, og hjemmebrukere i USA og Canada kan også ringe brukerstøtte gratis på 1-866-PCSAFETY. Du finner kontaktopplysninger til den lokale Microsoft-avdelingen, som kan gi støtte i forbindelse med problemer med sikkerhetsoppdateringer, på det internasjonale Microsoft-webområdet for kundestøtte: Kunder i Nord-Amerika kan også få øyeblikkelig tilgang til ubegrenset gratis støtte via e-post eller ubegrenset personlig støtte via chat, ved å gå til følgende Microsoft-webområde: Bedriftskunder som trenger støtte til sikkerhetsoppdateringer, kan henvende seg til sin vanlige støttetjeneste.

Beskrivelse av funksjonalitetsendringer i denne sikkerhetsbulletinen

Denne sikkerhetsoppdateringen implementerer to funksjoner på IPv6 Intra-Site Automatic Tunnel Addressing Protocol (ISATAP):

• Potensiell ruterliste (PRL): PRL lar ISATAP-klienter kontrollere kildeadresser for innkommende ISATAP-pakker. PRL er dokumentert i Internettstandarden RFC 5214. Når du har installert denne sikkerhetsoppdateringen, vil ytterligere forsterkning gjøres basert på informasjonen i PRL-en. Dette bidrar til å beskytte kunder mot sikkerhetsproblemene som er beskrevet i sikkerhetsbulletin MS10-029.
• Naboen Unreachability Detection (NUD): NUD brukes av ISATAP-rutere til å kontrollere om en nabo er tilgjengelig eller ikke. NUD er dokumentert i Internettstandarden RFC 4861. På grunn av høye kompatibilitetskrav er NUD avslått som standard etter at du installerer denne sikkerhetsoppdateringen. Derfor krever NUD manuell konfigurasjon.

Hvordan fungerer PRL (Potensiell ruterliste)?

Den potensielle ruterlisten er en funksjon som inneholder en liste over ISATAP-rutere på hver ISATAP-klient. Disse adressene hentes fra DNS-løsningen på ISATAP-ruteren. Når du har installert denne oppdateringen, vil Windows utføre ytterligere validering ved hjelp av informasjonen i PRL.

Når en pakke mottas, vil pakken kun behandles hvis ett av de følgende to forholdene oppfylles:

• IPv4-kildeadressen samsvarer med de siste 32 bitene for IPv6-kildeadressen.
• IPv4-kildeadressen samsvarer med en adresse i listen over potensielle rutere. Dette angir at pakken ble sendt via klientens ISATAP-ruteren.

La oss se på følgende scenario: I dette scenariet sender vert A en ISATAP-pakke til vert B med IPv4-kildeadressen 1.1.1.1. En forfalsket IPv6-adresse for kilden finnes i pakken, for eksempel 2ffe::5efe:3.3.3.3. Uten PRL vil vert B svare til 3.3.3.3 i stedet for 1.1.1.1.

Når PRL brukes, vil PRL oppdage forfalskingsforsøket og ikke behandle pakken.

Hvordan fungerer Neighbor Unreachability Detection (NUD)?

Naboen Unreachability Detection (NUD) er en ny funksjon som distribueres til ISATAP-rutere av denne oppdateringen. NUD validerer om en nabo kan nås eller ikke før pakker videresendes. Dette bidrar til å sikre riktig drift av nettverket og forhindrer bestemte typer rutingløkker.

Før en pakke videresendes, etter at denne funksjonen er aktivert, vil ruteren sende en NS (Neighbor Solicitation) til mål-ISATAP-noden. Noden vil motta meldingen. Hvis den ikke har IPv6-adressen den gjelder, vil ikke ISATAP-noden svare på NS-en, og pakken vil kastes. Hvis adressen er tildelt ISATAP-noden, vil noden svare med en NA (Neighbor Advertisement). Når denne NA-en mottas, vil den opprinnelige noden videresende pakken.

Hvordan bør jeg distribuere NUD i nettverket?

Kunder bør være forsiktig når de distribuerer NUD. Hvis ikke alle ISATAP-noder på nettverket støtter NUD, kan aktivering av NUD føre til tilkoblingsproblemer. En ISATAP-ruter som sender en Neighbor Solicitation til en enhet som ikke støtter NUD vil ikke motta et svar. ISATAP-ruteren vil derfor anta at ruten er ikke tilgjengelig.

NUD støttes i Windows 7 og Windows Server 2008 R2-baserte systemer. Men funksjonen må aktiveres manuelt.

I Windows XP, Windows Server 2003, Windows Vista og Windows Server 2008-baserte systemer må du installere sikkerhetsoppdatering 978338 og manuelt aktivere NUD.

Vi anbefaler at du undersøker med en tredjepartsleverandør av ISATAP-aktiverte rutere for å finne ut om enhetene deres bruker NUD og støtter behandling av NS og NA-pakker.

Hvordan aktiverer jeg NUD (Neighbor Unreachability Detection)?

Aktiver NUD på Windows Vista, Windows Server 2008, Windows 7 og Windows Server 2008 R2-baserte systemer

Bruk følgende fremgangsmåte for å aktivere NUD (Neighbor Unreachability Detection):

1. Skriv inn følgende kommando ved ledeteksten, og trykk deretter Enter:
   netsh int ipv6 set interface ISATAP interface-name nud=enabled
2. Start datamaskinen på nytt.

Bruk følgende fremgangsmåte for å deaktivere NUD (Neighbor Unreachability Detection):

1. Skriv inn følgende kommando ved ledeteksten, og trykk deretter Enter:
   netsh int ipv6 set interface ISATAP interface-name nud=di store=persistent
2. Start datamaskinen på nytt.

Aktivere NUD på Windows XP og Windows Server 2003-baserte systemer

Viktig Dette avsnittet, denne metoden eller denne oppgaven inneholder trinn som forteller deg hvordan du kan endre registeret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registret på feil måte. Sørg derfor for at du følger fremgangsmåtene nøye. Husk å ta sikkerhetskopi av registret før du endrer det, som en ekstra beskyttelse. Dermed kan du gjenopprette registret hvis det skulle oppstå problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base: Hvis du vil aktivere NUD, legger du til en DWORD-verdi med navnet NUDEnabledOnISATAP med verdien 1 i følgende registerundernøkkel: Hvis du vil deaktivere hurtigreparasjonen, endrer du DWORD-oppføringen NUDEnabledOnISATAP til å bruke verdien 0 (null).

Gjør følgende for å legge til disse registerverdiene:

1. Klikk Start, Kjør, skriv inn regedit i Åpne-boksen, og klikk deretter OK.
2. Finn og klikk følgende undernøkkel i registret:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\
3. Pek på Ny på Rediger-menyen, og klikk deretter Nøkkel.
4. Skriv inn GlobalParams som navn på nøkkelen, og trykk ENTER.
5. Dobbeltklikk nøkkelen GlobalParams for å åpne den.
6. Klikk Ny på Rediger-menyen, og klikk deretter DWORD-verdi.
7. Skriv inn NUDEnabledOnISATAP som navn på DWORD-verdien, og trykk deretter Enter.
8. Høyreklikk NUDEnabledOnISATAP, og klikk deretter Endre.
9. I Verdidata-boksen skriver du inn 1 for å aktivere NUD. Klikk deretter OK.
   
   Legg merke til Hvis du vil deaktivere NUD, skriver du inn 0 (null) og klikker deretter OK.
10. Avslutt Registerredigering, og start datamaskinen på nytt.

Den engelskspråklige (USA) versjonen av denne programvareoppdateringen installerer filer med attributtene som er oppført i tabellene nedenfor. Dato og klokkeslett for disse filene er oppført i Coordinated Universal Time (UTC). Dato og klokkeslett for disse filene vises med lokal tid og gjeldende tidsforskjell for sommertid på den lokale datamaskinen. I tillegg kan dato og klokkeslett bli endret når du utfører visse operasjoner på filene.

Filinformasjon for Windows XP og Windows Server 2003

• Filene som gjelder for en bestemt milepæl (RTM, SPn) og gren (QFE, GDR), er oppført i kolonnene "SP requirement" og "Service branch".
• GDR-grener inneholder bare de reparasjonene som er utgitt for et bredt publikum, for å løse omfattende, kritiske problemer. QFE-grenene inneholder hurtigreparasjoner i tillegg til reparasjoner som utgis for et bredt publikum.
• I tillegg til filene som er oppført i disse tabellene, installerer denne programvareoppdateringen en tilknyttet sikkerhetskatalogfil (KBnummer.cat) signert med en digital Microsoft-signatur.

For alle støttede x86-baserte versjoner av Windows XP

For alle støttede x64-baserte versjoner av Windows Server 2003 og Windows XP Professional x64 Edition

For alle støttede x86-baserte versjoner av Windows Server 2003

For alle støttede IA-64-baserte versjoner av Windows Server 2003

Filinformasjon for Windows Vista og Windows Server 2008

• Filene som gjelder for et bestemt produkt, en bestemt milepæl (RTM, SPn) og en bestemt gren (LDR, GDR), kan identifiseres ved å kontrollere filversjonsnumrene, som vist i tabellen nedenfor:
  Skjul denne tabellenVis denne tabellen

  Versjon	Produkt	Milepæl	Gren
  6.0.6000.16xxx	Windows Vista	RTM	GDR
  6.0.6000.20xxx	Windows Vista	RTM	LDR
  6.0.6001.18xxx	Windows Vista SP1 og Windows Server 2008 SP1	SP1	GDR
  6.0.6001.22xxx	Windows Vista SP1 og Windows Server 2008 SP1	SP1	LDR
  6.0.6002.18xxx	Windows Vista SP2 og Windows Server 2008 SP2	SP2	GDR
  6.0.6002.22xxx	Windows Vista SP2 og Windows Server 2008 SP2	SP2	LDR

• Service Pack 1 er integrert i den opprinnelige versjonen av Windows Server 2008. Derfor gjelder RTM-milepælfiler bare for Windows Vista. RTM-milepæler har versjonsnummer av typen 6.0.0000.xxxxxx.
• GDR-grener inneholder bare de reparasjonene som er utgitt for et bredt publikum, for å løse omfattende, kritiske problemer. LDR-grener inneholder hurtigreparasjoner i tillegg til reparasjoner som utgis til et bredt publikum.
• MANIFEST-filene (*.manifest) og MUM-filene (*.mum) som installeres for hvert miljø, er oppført separat. MUM- og MANIFEST-filer samt tilknyttede sikkerhetskatalogfiler (*.cat) er avgjørende for å kunne vedlikeholde status på den oppdaterte komponenten. Sikkerhetskatalogfilene (attributtene er ikke oppført) er signert med Microsofts digitale signatur.

For alle støttede x86-baserte versjoner av Windows Vista og Windows Server 2008

For alle støttede x64-baserte versjoner av Windows Vista og Windows Server 2008

For alle støttede IA-64-baserte versjoner av Windows Server 2008

Mer filinformasjon for Windows Vista og Windows Server 2008

Tilleggsfiler for alle støttede x86-baserte versjoner av Windows Vista og Windows Server 2008

Tilleggsfiler for alle støttede x64-baserte versjoner av Windows Vista og Windows Server 2008

Tilleggsfiler for alle støttede IA-64-baserte versjoner av Windows Server 2008