Cosa c'è di meglio di un bel ciuffo (stavo per dire un altro termine ...) di bollettini  di sicurezza da analizzare al rientro dalle tanto desiderate (brevi) vacanze pasquali per far risalire l'adrenalina al 100% ed evitare la "sindrome da rientro" ? Scherzo, ovviamente ... sto solo facendo melina per ritardare di qualche riga l'analisi dei bollettini emessi ieri sera, che non appaiono proprio un toccasana dopo Pasqua ...

Ok, bando agli indugi, analizziamo questi 5 bollettini utilizzando la matrice di rischio qui di seguito riportata (cliccate per la versione leggibile):

Come annunciato, dei 5 bollettini emessi, 4 riguardano Windows ed uno l'applicazione Microsoft Content Management Server (se vi state domandando cosa sia, trovate informazioni sul sito italiano, mentre  le interessanti indicazioni di come le sue funzionalità di prodotto siano state incluse nelle recenti soluzioni Sharepoint le trovate su quello americano). Facendo ancora una volta riferimento ai principali parametri per l'analisi di rischio di cui detto al mio precedente post N°10, possiamo subito concentrare la nostra attenzione sui bollettini più seri, ossia quelli che hanno una prevalenza di parametri critici (caratterizzati dal colore rosso delle celle): secondo questo criterio i bollettini che meritano per prima la nostra attenzione sono

• Il bollettino MS07-018 su Microsoft Content Management Server (per la prima delle due vulnerabilità).
• Il bollettino MS07-021 sul componente CSRSS di Windows (per la prima delle tre vulnerabilità).

Tra i due senza dubbio è il bollettino MS07-021 quello più serio per diverse semplici ragioni: analizzando appunto la vulnerabilità peggiore (CVE-2006-6696) si nota che:

• interessa tutte le piattaforme Windows attualmente supportate, 
• con un rating  critico per tutte le piattaforme a causa della gravità di tutti i parametri di rischio relativi alla modalità di attacco peggiore delle due possibili (quella web-based)
• è una vulnerabilità già nota, di cui sono presenti dei proof-of-concept (PoC)
• non prevede la possibilità di workaround.

Qual'è l'unico parametro che ci permette di non essere del tutto pessimisti sull'evolversi di tale minaccia in un pericoloso worm ? Il fatto che per essere sfruttata in questa modalità la vulnerabilità richieda una significativa interazione dell'utente.

Il bollettino MS07-018, invece, presenta qualche fattore mitigante in più:

• l'applicazione  Microsoft Content Management Server non è ovviamente diffusa come i sistemi operativi di base
• esiste una combinazione di versioni (MCMS 2002 su IIS 6.0) che riduce i privilegi sfruttabili a Network Service (per un confronto con gli altri account di sistema vi rimando a questa interessante guida)
• non era una vulnerabilità nota fino ad oggi.

Per completare l'analisi vi fornisco alcuni elementi degni di nota negli altri 3 bollettini:

• MS07-019 sull'Universal PnP di Windows XP: l'attacco può essere realizzato via rete sui protocolli utilizzati dall'UPnP (UDP/1900, TCP/2869), ma fortunatamente il privilegio sfruttabile è il Local Service e il servizio UpnP è normalmente impostato con partenza manuale. Esiste anche il fattore mitigante che vincola i pacchetti di rete ad essere sulla stessa subnet locale, ma questo aspetto può essere aggirato tramite spoofing.
• MS07-020 sul Microsoft Agent: alcune modifiche al codice di IE 7 permettono di bloccare l'attacco web-based per i sistemi (anche vulnerabili) che utilizzano l'ultima versione del browser Microsoft.
• MS07-022 sul Kernel di Windows: è l'unico bollettino Importante dei 5 in virtù del tipo di vulnerabilità che permette un innalzamento dei privilegi ma solo se sfruttata in locale (e quindi con una utenza non anonima e valida per il logon sul sistema).

Prima di lasciarvi, uno sguardo all'osservato speciale, Windows Vista: il confronto con i precedenti sistemi operativi è ancora dignitoso (3 vulnerabilità sulle 6 di Windows) e lo sarebbe stato ancora di più se non fosse stato interessato dalla seconda vulnerabilità del bollettino MS07-021 che lo interessa in modo esclusivo. Unica (piccola) consolazione per questa "macchia" nel curriculum di Windows Vista è che la tipologia di questa vulnerabilità non è molto grave ... si può riparare prima delle pagelle del quadrimestre con una prossima buona interrogazione!