MS12-006: Vulnerabilità in SSL/TLS potrebbe consentire la divulgazione di informazioni: 10 gennaio 2012

INTRODUZIONE

Microsoft ha rilasciato il bollettino sulla sicurezza MS12-006. Per visualizzare il bollettino completo sulla sicurezza, visita uno dei seguenti siti Web Microsoft:

• Utenti privati:

  http://www.microsoft.com/security/pc-security/bulletins/201201.aspx Ignora i dettagli: scarica subito gli aggiornamenti per il computer o il portatile di casa dal sito Web Microsoft Update:

  http://update.microsoft.com/microsoftupdate/

• Professionisti IT:

  http://technet.microsoft.com/security/bulletin/MS12-006

Come ottenere assistenza e supporto tecnico per questo aggiornamento della sicurezza

Assistenza per l'installazione degli aggiornamenti:
Supporto per Microsoft Update

Soluzioni di sicurezza per professionisti IT:
Risoluzione dei problemi e supporto tecnico di TechNet Security

Proteggere il computer che esegue Windows da virus e malware:
Soluzione antivirus e Centro sicurezza

Supporto locale in base al tuo paese:
Supporto internazionale

Correzione automatica

Sono disponibili due soluzioni Fix it.

• Soluzione Fix It per Transport Layer Security (TLS) 1.1 in Internet Explorer: questa soluzione abilita TLS 1.1, che non è interessato da questa vulnerabilità, in Windows Internet Explorer. La maggior parte degli utenti tipici dovrebbe installare questa soluzione Fix it.
• Soluzione Fix It per TLS 1.1 nei server basati su Windows: questa soluzione abilita TLS 1.1, che non è interessato dalla vulnerabilità.

Le soluzioni Fix it descritte in questa sezione non sono intese come sostituzioni per qualsiasi aggiornamento della sicurezza. È consigliabile installare sempre gli ultimi aggiornamenti della sicurezza. Tuttavia, sono disponibili queste soluzioni Fix it come soluzione alternativa per alcuni scenari. 

Per altre informazioni sulle soluzioni alternative, vedere il bollettino sulla sicurezza MS12-006:

http://technet.microsoft.com/security/bulletin/ms12-006 Il bollettino fornisce ulteriori informazioni sul problema e include quanto segue:

• Scenari in cui è possibile applicare o disabilitare la soluzione alternativa
• Fattori attenuanti
• Soluzioni alternative
• Domande frequenti

In particolare, per visualizzare queste informazioni, cercare la sezione Informazioni sulla vulnerabilità e quindi espandere il paragrafo Soluzioni alternative sotto il paragrafo Vulnerabilità protocolli SSL e TLS - CVE-2011-3389.

Soluzione Fix it per TLS 1.1 in Internet Explorer

Per abilitare o disabilitare questa soluzione Fix it, fare clic sul pulsante o collegamento Correggi sotto l'intestazione Abilita o Disabilita . Fare clic su Esegui nella finestra di dialogo Download file e quindi seguire i passaggi della Correzione guidata.

Enable	Disable

Note

• Queste procedure guidate potrebbero essere solo in inglese. Tuttavia, le correzioni automatiche funzionano anche per altre versioni in lingua di Windows.
• Se il problema persiste, è possibile salvare la correzione automatica in un'unità flash o in un CD e quindi eseguirla nel computer in cui si è verificato il problema.

Soluzione Fix it per TLS 1.1 nei server basati su Windows

Per abilitare o disabilitare questa soluzione Fix it, fare clic sul pulsante o collegamento Correggi sotto l'intestazione Abilita o Disabilita . Fare clic su Esegui nella finestra di dialogo Download file e quindi seguire i passaggi della Correzione guidata.

Enable	Disable

Note

• Queste procedure guidate potrebbero essere solo in inglese. Tuttavia, le correzioni automatiche funzionano anche per altre versioni in lingua di Windows.
• Se il problema persiste, è possibile salvare la correzione automatica in un'unità flash o in un CD e quindi eseguirla nel computer in cui si è verificato il problema.

Problemi noti con questo aggiornamento della sicurezza

Dopo aver installato questo aggiornamento della sicurezza, si potrebbero verificare errori di autenticazione o perdita di connettività ad alcuni server HTTPS. Questo problema si verifica perché questo aggiornamento della sicurezza cambia il modo in cui i record vengono inviati ai server HTTPS.

Per disabilitare o abilitare nuovamente temporaneamente questo aggiornamento della sicurezza, fai clic sul pulsante Fix it o sul collegamento sotto l'intestazione Disabilita l'aggiornamento della sicurezza o Rieseguire l'aggiornamento della sicurezza . Fare clic su Esegui nella finestra di dialogo Download dei file e quindi seguire i passaggi della procedura guidata Correggi.

Disabilitare l'aggiornamento della sicurezza	Abilitare nuovamente l'aggiornamento della sicurezza

Note

• Queste procedure guidate potrebbero essere solo in inglese. Tuttavia, le correzioni automatiche funzionano anche per altre versioni in lingua di Windows.
• Se il problema persiste, è possibile salvare la correzione automatica in un'unità flash o in un CD e quindi eseguirla nel computer in cui si è verificato il problema.

La tabella seguente mostra i valori applicati da queste soluzioni Fix it alla voce DWORD del Registro di sistema SendExtraRecord:

Intestazione	Valore applicato alla voce SendExtraRecord
Disabilitare l'aggiornamento della sicurezza	2
Abilitare nuovamente l'aggiornamento della sicurezza	0

Nota L'impostazione SendExtraRecord verrà inclusa nelle versioni future di Windows.

Problemi noti e altre informazioni su questo aggiornamento della sicurezza

Gli articoli seguenti contengono informazioni aggiuntive su questo aggiornamento della sicurezza in relazione alle singole versioni dei prodotti. Gli articoli possono contenere informazioni note sul problema. In questo caso, il problema noto è elencato sotto ogni collegamento all'articolo:

• 2585542 MS12-006: Descrizione dell'aggiornamento della sicurezza per Webio, Winhttp e schannel in Windows: 10 gennaio 2012
• 2638806 MS12-006: Descrizione dell'aggiornamento della sicurezza per Winhttps:// Windows Server 2003 e Windows XP Professional x64 Edition: 10 gennaio 2012

Informazioni del Registro di sistema

Non consigliato Non è consigliabile usare la procedura seguente per disabilitare questo aggiornamento della sicurezza. Tuttavia, microsoft fornisce questa procedura per scenari in cui è possibile utilizzare applicazioni incompatibili con questo aggiornamento della sicurezza, che consente la divisione dei record SSL per tutte le applicazioni.

Importante Questa sezione, metodo o attività contiene i passaggi che indicano come modificare il Registro di sistema. Tuttavia, la modifica non corretta del Registro di sistema può causare problemi gravi. Assicurarsi, quindi, di seguire attentamente tutti i passaggi. Per una maggiore sicurezza, eseguire un backup del Registro di sistema prima di modificarlo, in modo che sia possibile ripristinarlo in caso di problemi. Per altre informazioni su come eseguire il backup e il ripristino del Registro di sistema, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:

322756 Come eseguire il backup e il ripristino del Registro di sistema in Windows

Per impostazione predefinita, questo aggiornamento della sicurezza imposta la modalità di consenso esplicito a livello schannel, a causa di problemi di compatibilità delle applicazioni. Per disabilitare questo aggiornamento della sicurezza per tutte le applicazioni a livello di sistema, è necessario aggiungere un valore DWORD denominato SendExtraRecord con valore 2 alla sottochiave del Registro di sistema seguente:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNELPer aggiungere questa voce del Registro di sistema schannel, attenersi alla seguente procedura:

1. Fare clic sul pulsante Start, scegliere Esegui, quindi digitare regedit nella casella Apri, quindi fare clic su OK.

2. Individuare e fare clic sulla sottochiave del Registro di sistema seguente:

   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

3. Nel menu Modifica selezionare Nuovo, quindi fare clic su Valore DWORD.

4. Digitare SendExtraRecord come nome del valore DWORD e quindi premere INVIO.

5. Fare clic con il pulsante destro del mouse su SendExtraRecord e quindi scegliere Modifica.

6. Nella casella Dati valore digitare 2 per disabilitare il record diviso in schannel e quindi fare clic su OK.

7. Uscire dall'editor del Registro di sistema.

Questa voce del Registro di sistema può contenere tre valori e ogni valore offre diverse modalità di funzionamento:

Valore della chiave del Registro di sistema	Descrizione
0	Per impostazione predefinita, schannel è incluso in "Modalità optin". Questo aggiornamento della sicurezza funziona per tutti i chiamanti che inviano il flag Secure a schannel. La voce del Registro di sistema schannel "SendExtraRecord" non verrà creata dal pacchetto di sicurezza. Pertanto, nessuna voce del Registro di sistema schannel indica che il sistema esegue questa modalità. Se qualcuno crea questa chiave del Registro di sistema e imposta il valore su 0, schannel verrà eseguito di nuovo in questa modalità. Questa impostazione ha lo stesso effetto di non creare questa voce del Registro di sistema. Le applicazioni che inviano un flag Secure a schannel durante l'inizializzazione della sessione potranno solo esercitare il percorso di codice sicuro fisso. Per altre applicazioni, non ci saranno cambiamenti nel comportamento schannel. Questo aggiornamento della sicurezza risolve anche i livelli di applicazione coinvolti nell'esplorazione del Web usando Internet Explorer per inviare il flag Secure, al fine di proteggere gli scenari di utilizzo del browser. Nota In Windows Server 2003 è necessario installare l'aggiornamento della sicurezza 2638806 per proteggere le applicazioni client HTTP che usano api WinHTTP. Per altre informazioni, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base: 2638806 MS12-006: Descrizione dell'aggiornamento della sicurezza per Winhttps:// Windows Server 2003 e Windows XP Professional x64 Edition: 10 gennaio 2012
1	Se si imposta il valore su 1, significa "abilitato per tutti". Questo significa che i chiamanti non devono inviare il flag e il canale dividerà tutti i record SSL. Con questo valore impostato, le applicazioni non devono apportare alcuna modifica. Un cliente molto preoccupato per la sicurezza del sistema può contribuire a rendere il proprio sistema più sicuro abilitando questa chiave del Registro di sistema.
2	Se si imposta il valore su 2, significa "disabilitato per tutti". Ciò significa che il canale schannel non dividerà i record per qualsiasi chiamata di crittografia effettuata dall'applicazione. Questa modalità non rispetta il flag Secure inviato da un'applicazione.

In base ai test interni, è stato rilevato che non è possibile impostare il valore del Registro di sistema su 1 perché può causare la rottura di troppi scenari in un'organizzazione. Di conseguenza, è sconsigliato agli utenti di usarlo.

Problemi noti relativi all'abilitazione della voce del Registro di sistema SendExtraRecord

• L'impostazione del valore del Registro di sistema SendExtraRecord su 1 applica la divisione dei record in ogni chiamata per crittografare i dati in schannel. Ciò si verifica indipendentemente dal fatto che il chiamante abbia inviato il flag Secure durante l'inizializzazione della sessione.
• Molte applicazioni che utilizzano schannel sono scritte in modo che il lato del ricevitore presuppone che i dati dell'applicazione verranno inseriti in un singolo pacchetto. Ciò si verifica anche se l'applicazione chiama schannel per la decrittografia. Le applicazioni ignorano un flag impostato da schannel. Il flag indica all'applicazione che ci sono più dati da decrittografare e prelevare dal ricevitore. Questo metodo non segue il metodo previsto da MSDN per l'uso di schannel. Poiché l'aggiornamento della sicurezza impone la divisione dei record, questa operazione interrompe tali applicazioni.
• Le applicazioni interrotte includono prodotti Microsoft e componenti inclusi. Di seguito sono riportati esempi di scenari che possono essere interrotti quando il valore del Registro di sistema SendExtraRecord è impostato su 1:
• • Tutti i prodotti SQL e le applicazioni incorporati in SQL.
  • Server terminal in cui è attivata l'autenticazione a livello di rete. Per impostazione predefinita, NLA è abilitato in Windows Vista e nelle versioni successive di Windows.
  • Alcuni scenari di Routing Remote Access Service (RRAS).

Impostando il valore del Registro di sistema SendExtraRecord su 1 viene applicata la divisione sicura dei record per tutte le applicazioni che usano Windows TLS/SSL. Tuttavia, è probabile che si siano verificati problemi di compatibilità delle applicazioni. Pertanto, è consigliabile che i clienti configurino TLS 1.1 e TLS 1.2 invece di usare questa impostazione del Registro di sistema. TLS 1.1 e TLS 1.2 non sono vulnerabili a questo problema.

Se un utente intende utilizzare questa impostazione del Registro di sistema, è consigliabile testare ampiamente i test di compatibilità delle applicazioni prima di implementarla. Alcuni dei prodotti più comuni interessati da questa impostazione includono i prodotti Microsoft SQL, Terminale Windows Server e Windows Remote Access Server.

Domande frequenti

D: Cosa può fare Microsoft per risolvere il problema dell'applicazione sul lato server?
R: Assicurarsi che l'applicazione sia in grado di gestire la frammentazione dei record dell'applicazione SSL/TLS, come descritto nelle rfc seguenti:

• TLS 1.0: http://www.ietf.org/rfc/rfc2246.txt paragrafo 6.2.1
• SSL 3.0: http://www.ietf.org/rfc/rfc6101.txt paragrafo 5.2.1