Sicurezza, il caldo settembre di Microsoft

Cinque bollettini di sicurezza, tutti critici, e un advisory nel quale si conferma l'esistenza di una vulnerabilità zero-day. Salva la versione finale di Seven, problemi per le release candidate e Vista

Roma – Nella tarda serata di ieri Microsoft ha pubblicato cinque bollettini di sicurezza , tutti classificati con il massimo grado di rischio e tutti relativi a vulnerabilità che, almeno potenzialmente, potrebbero essere sfruttate da malintenzionati per eseguire del codice a distanza. BigM ha anche pubblicato un advisory in cui prende atto dell’esistenza di una vulnerabilità zero-day in Windows Vista.

Come previsto, la recente vulnerabilità zero-day nel servizio FTP di Internet Information Services rimane aperta: Microsoft sta ancora testando la relativa patch, che conta di distribuire non appena possibile out-of-band , ossia fuori dal suo tradizionale ciclo mensile. Nel frattempo il big di Redmond invita i propri utenti a consultare questo advisory , dove fornisce alcune soluzioni temporanee al problema.

Tutte le vulnerabilità descritte nei nuovi bollettini di sicurezza riguardano versioni di Windows precedenti alla 7, e sono causate da bug contenuti nel motore JScript ( MS09-045 ), nel Wireless LAN AutoConfig Service ( MS09-049 ), nel formato Windows Media ( MS09-047 ), nell’implementazione del protocollo TCP/IP ( MS09-048 ) e nel controllo ActiveX DHTML Editing Component ( MS09-046 ).

Sul blog del Microsoft Security Response Center (MSRC) si evidenzia come le debolezze contemplate nei bollettini MS09-045, MS09-046 e MS09-047 possano essere sfruttate inducendo un utente a visitare una pagina web maligna, mentre quelle corrette nei bollettini MS09-048 e MS09-049 sono potenzialmente innescabili da attacchi diretti via rete tesi ad eseguire del codice a distanza o creare condizioni di denial of service.

Microsoft ritiene che le patch da applicare con più urgenza siano quelle relative alle vulnerabilità del motore JScript e del formato Windows Media: in entrambi i casi la probabilità che i cracker riescano a sfruttare queste falle è assai elevata. Gli scenari di attacco sono piuttosto classici: una pagina web contenente uno script maligno o un file Windows Media appositamente creato per innescare il bug ed eseguire del codice con gli stessi privilegi dell’utente locale. Le versioni di Windows interessate sono tutte quelle attualmente supportate (tranne Seven).

La seconda falla più urgente è quella legata al controllo ActiveX DHTML Editing Component, che Microsoft afferma non essere in alcun modo legata a quella dell’ Active Template Library . In questo caso gli utenti a rischio sono quelli di Windows 2000, XP e Server 2003.

Il problema relativo al servizio di autoconfigurazione del Wireless riguarda invece Windows Vista e Windows Server 2008 e, sebbene potenzialmente serio, Microsoft sostiene sia piuttosto difficile da sfruttare per via delle protezioni contenute nei suoi più recenti sistemi operativi.

Delle tre vulnerabilità relative allo stack TCP/IP , una interessa Windows Vista e Windows Server 2008 e potrebbe essere sfruttata per eseguire codice in modalità remota. Le altre due falle possono essere utilizzate per lanciare attacchi di denial of service contro sistemi su cui giri Windows 2000: in questo caso Microsoft afferma che, a causa dell’architettura stessa del componente TCP/IP di Windows 2000, non è possibile risolvere il problema mediante un semplice aggiornamento. Per tale ragione BigM invita i clienti che non posso migrare ad una versione più recente di Windows Server di configurare attentamente il proprio firewall.

Il blog sulla sicurezza Threatpost spiega che le patch relative al TCP/IP appena rilasciate da Microsoft e da Cisco risolvono alcuni problemi scoperti circa un anno fa in molte implementazioni del celebre protocollo di Internet.

Microsoft ha infine aggiornato il bollettino MS09-037 relativo alla famosa e già citata vulnerabilità Active Template Library (ATL). Il motivo dell’update è da ricercare nella scoperta di una falla correlata a quella ATL e contenuta in un altro controllo ActiveX contenuto in Windows XP Media Center 2005 e in Windows Vista.

Una tabella sinottica dei bollettini di settembre è stata pubblicata qui dall’ Internet Storm Center .

Security Advisory 975497
Nella giornata di ieri Microsoft ha anche pubblicato un advisory di sicurezza che conferma l’esistenza di una vulnerabilità zero-day legata al protocollo SMB 2.0 in alcune recenti versioni di Windows. A differenza di quanto riportato dallo scopritore della falla, l’esperto di sicurezza Laurent Gaffié, Microsoft afferma che il problema interessa esclusivamente Windows Vista, Windows Server 2008 e Windows 7 RC, ma non la versione finale (RTM) di Seven.

BigM ha criticato Gaffié per aver “irresponsabilmente” divulgato i dettagli della falla prima che questa venisse corretta. Sebbene il ricercatore abbia anche pubblicato un exploit proof of concept, Microsoft afferma che al momento non è al corrente di attacchi che sfruttino la debolezza .

Il problema è causato da un bug nell’implementazione del protocollo System Message Block (SMB) Version 2, che si trova esclusivamente in Vista, Seven e Server 2008. La precedente versione di SMB alla base di XP e 2000 non è vulnerabile.

The Inquirer sostiene che quello appena corretto sia lo stesso bug che Microsoft corresse anni or sono in Windows 2000 e XP , e che per qualche ragione ha poi re-intrdotto in Vista. La debolezza può essere sfruttata inviando dei pacchetti malformati verso la porta 445 di un sistema vulnerabile e innescando un cosiddetto Blue Screen of Death , ossia un errore irreversibile di sistema. Questo tipo di attacco, secondo Gaffié, funziona sia con la versione a 32 bit che con quella a 64 bit di Vista.

In attesa di rilasciare una patch, Microsoft suggerisce ai propri utenti di disattivare SMB e bloccare nel firewall le porte 139 e 445.

SMB è un protocollo di rete che consente a Windows di condividere file, directory e dispositivi. SMB2 è un aggiornamento del protocollo originale che, tra le altre cose, ottimizza la comunicazione tra client e server.

Alessandro Del Rosso

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Joliet Jake scrive:
    In mano ai PRIVATI?????
    Ma stiamo scherzando? Dare le proprie credenziali e i dati VERI, quelli che servono per la sanità o l'educazione in mano ad aziende PRIVATE che hanno come unico scopo il guadagno? :| :| :|
    • pentolino scrive:
      Re: In mano ai PRIVATI?????
      in effetti la prospettiva è abbastanza inquietante... certo che una cosa del genere anche se fosse gestita "dallo stato" (in genere via appalto a società private) non so quanto potrebbe garantire il cittadino.Se poi la cosa dovesse succedere anche in Italia allora stai sicuro che lo stato farebbe uso distorto di tali informazioni...
    • advange scrive:
      Re: In mano ai PRIVATI?????
      Beh, noi in Italia appaltiamo qualcosa di analogo ai privati (firma digitale, pec), non è che vedo molta differenza...
    • non abbia contenuto razzista o sessista scrive:
      Re: In mano ai PRIVATI?????
      Le varie aziende che "sponsorizzano" il tutto non fanno altro che rendere compatibili i propri account con lo standard openid..Ovvero quando fai il login vieni reindirizato verso un sito che decidi tu, qui usi la tua email e la tua password, e questo sito garantisce la tua identità..La cosa bella è se hai un sito puoi usarlo per garantirti da solo la tua identità, senza quindi aver il timore di dare i propri dati a "privati spietati".es: http://openidenabled.com/php-openid/
Chiudi i commenti