hit counter
Analisi di rischio del Microsoft Security Bulletin MS07-017 - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Analisi di rischio del Microsoft Security Bulletin MS07-017

Analisi di rischio del Microsoft Security Bulletin MS07-017

  • Comments 1
  • Likes

L'obiettivo che tipicamente mi prefiggo con i post di analisi sui bollettini è quello di aiutarvi a valutare il livello di rischio degli stessi, in modo che possiate meglio decidere con quale urgenza operare gli aggiornamenti dei sistemi. Nel caso del bollettino in oggetto, alla luce delle informazioni che sono già disponibili da un paio di giorni sull'accresciuto livello di rischio, il fatto che si consigli di mettere questa patch di corsa credo sia chiaro per tutti. E' possibile darvi degli elementi per capire quali siano i sistemi più a rischio di altri ? Analizziamo direttamente il bollettino MS07-017 tramite la nostra matrice di sintesi, che avete già avuto modo di conoscere e spero apprezzare.

 

 PCfS-SRAM-2007-04_MS07-017_MS-Italy

 

(ore 10:00, scusate se aggiungo questa nota ma non riesco a trattenere la soddisfazione dal vedere la mia matrice di analisi citata nientedimeno che dal mitico Michael Howard - l'autore, tra gli altri libri, del noto libro "Writing Secure Code" - con un post sul suo blog "How Microsoft Security Bulletin MS07-017 affected Windows Vista")

 

Il primo elemento che dovrebbe saltare all'occhio è la presenza di 7 colonne: già, il bollettino in realtà corregge 7 vulnerabilità, di cui solo 2 note pubblicamente prima di oggi, le altre comunicate a Microsoft in aderenza al principio della responsible disclosure.

Fortunatamente solo la ormai ben nota vulnerabilità relativa ai cursori animati è di tipo "remote code execution", le altre, a parte una di "Denial of Service", sono tutte del tipo "Elevation of Privilege". Quest'ultima tipologia implica nella maggior parte dei casi, e questo è uno di quelli, che è necessario loggarsi interattivamente (con un account valido) per poter lanciare un programma ad-hoc, sfruttare la vulnerabilità e acquisire i pieni poteri. Quindi un rapido confronto tra le vulnerabilità in base ai quattro parametri di cui già detto, porta alla considerazione che è ancora la vulnerabilità dei cursori animati quella che in modo primario condiziona la pericolosità dell'intero bollettino. Considerando a questo punto i vettori di attacco noti ad oggi e le modalità già attive di sfruttamento (siti web con exploit ed e-mail con allegati pericolosi) si può dedurre che i sistemi  esposti in prima linea ad una possibile minaccia siano i sistemi client, intesi come sistemi operativi (sia client che server) che vengano utilizzati per navigare in Internet e leggere la posta elettronica.

Quindi, fermo restando che vanno aggiornati tutti i sistemi Windows, è sicuramente opportuno correre per prima ad aggiornare i client, e le postazioni note per avere gli utenti provvisti di privilegi amministrativi (come a questo punto vi sarà chiaro dalla lettura della riga nella matrice di rischio che indica i privilegi massimi sfruttabili).

La lettura della tabella e dei fattori mitiganti della vulnerabilità dei cursori animati porta inoltre a considerare come il client più aggiornato possibile, dotato di Windows Vista e Office 2007 (Outlook), sia quello che meglio minimizza l'esposizione al rischio: guai se non fosse così!

All'estremo opposto, la tabella mostra anche i sistemi operativi obsoleti, giusto per rammentarvi lo stato di supportabilità dei sistemi Windows, e quindi ricordarvi quali siano ormai fuori supporto (= non hanno la disponibilità della relativa patch correttiva).

Non mi resta che rinnovare l'urgenza di installare la patch e ridarvi appuntamento (sul tema bollettini) all'emissione ordinaria tra una settimana esatta.

Comments
  • Ricordate quando ho espresso la profonda soddisfazione di vedere le mie analisi di vulnerabilità riprese dal blog di Michael Howard ? Ebbene, durante il mio recente viaggio a Redmond quel contatto mi ha permesso di conoscere di persona Michael : abbiamo

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment