hit counter
Analisi di rischio sui Bollettini di sicurezza Microsoft - maggio 2007 - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Analisi di rischio sui Bollettini di sicurezza Microsoft - maggio 2007

Analisi di rischio sui Bollettini di sicurezza Microsoft - maggio 2007

  • Comments 1
  • Likes
 

Rieccoci all'appuntamento mensile con i bollettini di sicurezza di Microsoft. Come al solito cercherò di analizzarli in modo da aiutarvi a valutare se vi possa essere un diverso livello di urgenza nella loro installazione: a prima vista il fatto che questi 7 bollettini siano tutti critici nel loro livello di severity, potrebbe indurre a pensare che siano tutti equamente gravi e urgenti. Anche se questa considerazione è generalmente vera (assieme al fatto che le patch vanno messe tutte, in base alla loro applicabilità - scusate se sono petulante ...-) è tuttavia possibile mettere questi bollettini in sequenza in ordine decrescente di pericolosità: questo esercizio risulta utile per "allenarsi" ad operare l'analisi di rischio e applicarla nel proprio ambito aziendale. Ricorriamo alle seguenti tabelle di sintesi per agevolare le considerazioni:

 

PCfS-SRAM-2007-05_MS07-023-025_MS-Italy

 

PCfS-SRAM-2007-05_MS07-026-029_MS-Italy

 

Se avete fatto vostro il mio metodo di valutazione dei 4 principali parametri di rischio (vedi il mio precedente post N°10) sarete ormai autonomi nell'identificare i 2 bollettini più seri di questo mese:

  • MS07-026 su Exchange: la terza vulnerabilità (CVE-2007-0213) è quella che condiziona la gravità del bollettino essendo sfruttabile da remoto, in modo anonimo, tale da sfruttare i pieni privilegi (LocalSystem) e usando una mail opportunamente malformata per far eseguire codice non autorizzato su tutte le versioni attualmente supportate di Exchange.
  • MS07-029 sul DNS: questa vulnerabilità ha le stesse caratteristiche della precedente a parte il vettore di attacco che è costituito da pacchetti di rete RPC e il fatto che le versioni interessate sono solo i sistemi operativi server.

Un parametro importante che li differenzia è la conoscenza pubblica delle relative vulnerabilità: quella del DNS è ampiamente nota e sfruttata come documentato dal security advisory 935964 di cui abbiamo parlato anche su questo blog, mentre le 4 vulnerabilità di Exchange non erano pubblicamente note fino ad aggi, quindi la velocità di aggiornamento in questo caso è fondamentale.

Proseguendo in ordine di pericolosità, dal momento che tutti i bollettini restanti sono caratterizzati dagli stessi 4 parametri di rischio, possiamo individuare il prossimo nell'elenco notando quello che presenta una vulnerabilità già nota prima del rilascio di oggi, con tanto di notizia di exploit:

  • MS07-024 su Word: la seconda vulnerabilità (CVE-2007-0870) era appunto già nota e permette di far eseguire codice nel contesto di sicurezza dell'utente loggato come avviene normalmente per tutte le vulnerabilità di tipo Remote Code Execution di Office. E' importante in questo caso notare il fattore mitigante di avere Office 2007 che risulta non vulnerabile.

A seguire quella analoga, ma fortunatamente caratterizzata dal non avere notizia di PoC/Exploit:

  • MS07-027 su Internet Explorer: è la tipica patch cumulativa di IE, che risolve ben 5 vulnerabilità.

Le altre 2 di Office, MS07-023 su Excel e MS07-025 sono assimilabili alla precendente di Word: cambiano essenzialmente solo i vettori di attacco.

Last but not least, il bollettino MS07-028 su CAPICOM: analogo al bollettino su IE, con il fattore mitigante di non essere un componente presente nativamente nei sistemi operativi di base. Attenti però ad accertarvi che CAPICOM non sia stato distribuito da altre applicazioni: cercate la DLL CAPICOM.dll e assicuratevi che vengano aggiornate tutte le versioni precedenti alla 2.1.0.2.

E anche per questo mese è tutto (riusciremo a rilassarci un pò a giugno ? Boh?! :-))...

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment