Windows, la megapatch lascia fuori quattro falle

Microsoft ha corretto quasi una trentina di vulnerabilità pochi giorni fa ma sono emerse quattro nuove falle zero-day già sfruttate in alcuni attacchi

Roma – Lo scorso martedì Microsoft ha rilasciato quello che, su sua stessa ammissione, è il più “grasso” aggiornamento di sicurezza degli ultimi anni, costituito da 8 bollettini che correggono complessivamente ben 28 diverse vulnerabilità di sicurezza . Per ironia della sorte, però, in questi giorni sono emerse quatto nuove vulnerabilità zero-day non corrette dai recenti bollettini di dicembre.

Le quattro falle di sicurezza riguardano, per ordine di importanza, Internet Explorer 7, WordPad e SQL Server 2000 e 2005. La prima, a cui Microsoft ha dedicato questo advisory , è venuta alla luce dopo che un team di ricercatori cinese ha erroneamente pubblicato sul Web un exploit dimostrativo . I ricercatori cinesi hanno spiegato di aver reso il codice dell’exploit di pubblico dominio perché convinti che questo fosse già stato corretto.

L’exploit è già stato utilizzato in un certo numero di attacchi, ed ora gli esperti temono che possa entrare a far parte del codice genetico di un worm.

La vulnerabilità affligge praticamente tutte le versioni ancora supportate di Windows , incluse le edizioni server, ma BigM sostiene che le misure di sicurezza integrate in Windows Vista e Windows Server 2003/2008 riducano drasticamente l’efficacia dell’exploit , e dunque il suo grado di pericolosità. Ciò non toglie che nelle altre versioni di Windows questa falla possa essere sfruttata per attacchi da remoto mirati a prendere il pieno controllo di un sistema . Secondo gli esperti, la debolezza può essere innescata semplicemente visitando una pagina web.

Per un approfondimento tecnico di veda questo post apparso sul blog dell’Internet Storm Center.

PCWorld riporta che la vulnerabilità divulgata dal team cinese era già nota nell’ambiente dei cracker fin da inizio novembre, e sul “mercato nero” dei bug di sicurezza avrebbe raggiunto un quotazione di 15mila dollari .

La seconda vulnerabilità zero-day riguarda WordPad , il famoso editor di testi incluso in tutte le versioni di Windows. Per la precisione, la debolezza è contenuta nel componente Text Converter , lo stesso che permette di aprire in WordPad i documenti creati con varie versioni di Word. La falla può essere innescata dall’apertura di un documento in formato Word 97 contenente al proprio interno del codice maligno.

Come la precedente, anche questa falla è già stata sfruttata in alcuni attacchi. In questo advisory Microsoft spiega che l’attuale exploit funziona solo con Windows 2000, Windows XP SP2 e Windows Server . Immuni dal problema, almeno per il momento, XP SP3, Vista e Server 2008.

“Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell’utente locale”, si legge nell’advisory di BigM. “Non è possibile sfruttare la vulnerabilità automaticamente per posta elettronica. L’attacco è possibile solo se l’utente apre un allegato a un messaggio di posta elettronica. Se è stato installato Microsoft Office Word, per impostazione predefinita i documenti di Word 97 vengono aperti con Microsoft Office Word, che non è interessato da questa vulnerabilità. Un utente malintenzionato può tuttavia rinominare un file dannoso attribuendogli un’estensione Windows Write (.wri), in grado di richiamare WordPad. Questo tipo di file può essere bloccato in corrispondenza della rete perimetrale di accesso a Internet”.

Un paio di falle zero-day interessano poi SQL Server 2000 e 2005 , e sono state descritte in questo advisory di SEC Consult. Qui si legge che “a seconda della versione di Windows sottostante, potrebbe essere possibile usare questa vulnerabilità per eseguire codice arbitrario con gli stessi privilegi del processo SQL vulnerabile”. A mitigarne significativamente la gravità, però, interviene il fatto che la falla può essere sfruttata solo da un utente loggato nel database .

Nel momento in cui si scrive, Microsoft non ha pubblicato alcun advisory relativo a questo problema.

Le vulnerabilità corrette dai bollettini di sicurezza di dicembre sono state descritte e commentate in questo post del Security Blog di Feliciano Intini e riassunte in questa tabella pubblicata dall’ Internet Storm Center .

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • uhm scrive:
    mi sa che ti sbagli
    Non sarà piuttosto per impedire l'installazione di videofonini spia e di dispositivi che rubano il pin e lo trasmettono via cellulare?
    • painlord2k scrive:
      Re: mi sa che ti sbagli
      - Scritto da: uhm
      Non sarà piuttosto per impedire l'installazione
      di videofonini spia e di dispositivi che rubano
      il pin e lo trasmettono via
      cellulare?Al contrario,Si tratta di un social attack diffuso in Giappone, per le peculiarità sociali del paese.Miknick, per esempio, spiegò le differenti tattiche utilizzate a seconda del backgrond culturale della "vittima".Cambiava se si trattava di Giapponesi in Giappone, di americani in america, di tedeschi, etc.
  • bubba scrive:
    correlazione tra ATM & cell : ora capisc
    leggendo l'articolo non capivo molto quale fosse la correlazione tra "ti svuoto il conto in banca" e mettere un jammer x impedirti l'uso del cellulare..ravanando sui siti jap (in eng) ora capisco... la solita storia stile "truffa nigeriana" ma con delle varianti. Continua a risultarmi difficile come ci sia gente cosi teleguidabile... MAH"One elderly woman in Kasuga, Fukuoka Prefecture, in late June received a phone call from a man who claimed to be a municipal employee. Saying that she was in line for the refund of overpaid medical expenses, he gave her a phone number to call. Then, another man at that phone number, who pretended as an official at a social insurance office, told her to go to a bank ATM to receive the refund. At the ATM booth, she pushed buttons according to his instructions through a mobile phone, only to find that about 260,000 yen had been withdrawn from, rather than deposited in, her bank account."I had no idea I was transferring my money to the con artist's account," said the victim of refund fraud, a form of billing scam."
  • fra scrive:
    mah
    io la trovo una stupidata non e una azione di alcun aiuto.
  • al bel scrive:
    in treno altrochè...
    Se c'è bisogno di jammer ce n'è in treno, dove la maleducazione è tale che ormai nessuno neanche mette la suoneria silenziosa...non sia mainelle macchine ci vorrebbe un jammer, come unico modo di impedire a coglioni in movimento di telefonare e disconnettere il cervello!!gli ospedali se uno non ha la decenza, direi che è un caso perso...
  • z f k scrive:
    per la redaz
    decidetevi: o e' Chiba o e' China, la Bank.per tutti: un jammer nelle strutture sanitarie? *brrr* gia' che ci siamo, perche' non mettere una bella macchina radiografica all'ingresso? si risparmierebbe un sacco di tempo...CYA
  • Den Lord Troll scrive:
    se il giappone fosse l'itaGlia
    tutti si chiamerebbero "Soshito Nagakata" .... per fortuna non è così :)
Chiudi i commenti