Sintesi: nonostante la significativa serietà dei 2 bollettini di questo mese che risolvono 3 vulnerabilità di Windows (in particolare la prima vulnerabilità del bollettino MS08-001 è degna di una particolare attenzione), gli elementi mitiganti possono scongiurare il verificarsi di attacchi di particolare vastità e impatto. Questo non esclude la necessità di avere una decisa sollecitudine rispetto all'urgenza dell'aggiornamento dei sistemi.

Devo confessarvi che l'emissione di sicurezza di questo primo mese del 2008 (che vede il rilascio di 2 bollettini relative alla famiglia Windows) ha rappresentato la prova del 9 del mio personalissimo modello per l'analisi di rischio utilizzato da alcuni anni, (purtroppo) solo parzialmente condiviso su questo blog nel mio post N°10 e riflesso in modo visuale nelle matrici sinottiche delle vulnerabilità a cui vi ho abituato in questi 12 mesi: di seguito trovate quella relativa all'emissione di questo mese

Infatti, nel già citato primo post di teoria vi segnalavo i 4 parametri principali per avere una idea della pericolosità di una vulnerabilità (impatto, sfruttabilità da remoto, necessità di autenticazione e privilegi sfruttabili - le prime 4 righe della matrice di rischio). La lettura di queste 4 caratteristiche della peggiore delle 3 vulnerabilità risolte dai due bollettini (mi riferisco alla prima vulnerabilità del bollettino MS08-001, la prima colonna della matrice di rischio) dovrebbe generare in prima battuta un senso di leggera preoccupazione sul livello di pericolosità dell'emissione di questo mese: sono tutte al loro livello peggiore (contraddistinte con il colore rosso), segno di una vulnerabilità teoricamente sfruttabile per attacchi di tipo worm, su larga scala e ad alto impatto. Fortunatamente, come già vi accennavo in quel famoso post N°10, vi sono altri parametri che contribuiscono a definire il livello di rischio. In questo specifico caso, proprio questi altri elementi (rappresentati dalle restanti righe nella matrice) permettono di mitigare la pericolosità di questo bollettino MS08-001, senza sminuire la serietà di questa prima vulnerabilità: la presenza di validi workaround, la segnalazione privata della vulnerabilità (che quindi non era nota fino ad oggi) e la reale estrema difficoltà di sfruttamento per un'esecuzione di codice da remoto. Su questo ultimo punto sono stati illuminanti i dettagli (molto tecnici) che trovate nei post del nuovo blog del team SWI.

Completo la descrizione dei bollettini del mese:

• MS08-001 sul TCP/IP di Windows: del livello di rischio della prima vulnerabilità si è già detto: chi attacca potrebbe eseguire codice non autorizzato da remoto in modo anonimo con pacchetti di rete malformati ad-hoc, anche se la difficoltà dello sfruttamento più probabilmente produce un attacco di tipo DoS. Resta da giustificare la diversa criticità delle diverse versioni di Windows: Windows 2000 non supporta i protocolli vulnerabili (IGMPv3 e MLDv2), Windows Server 2003 non abilita by-default il multicast, cosa che al contrario avviene su Windows XP e Windows Vista (a causa del protocollo UPnP che ne ha bisogno). Per la seconda vulnerabilità, relativa al protocollo ICMP, l'attacco realizzabile è solo di tipo DoS (si può causare un riavvio del sistema preso di mira); Windows Vista non è interessato.
• MS08-002 sul LSASS di Windows: una sola vulnerabilità, anche questa non nota fino ad oggi, che permetterebbe l'innalzamento dei propri privilegi solo in locale e solo dopo essersi autenticati con un'utenza valida. Queste caratteristiche giustificano il livello di severity Important. Windows Vista non è interessato.

Nonostante il coinvolgimento nella prima vulnerabilità critica, sicuramente spiacevole, si può ancora una volta constatare il significativo minor impatto delle vulnerabilità su Windows Vista rispetto alle versioni precedenti di Windows (solo 1 su 3), segno importante dei progressi del Security Development Lifecycle.

Ho anche aggiornato il mini-portale tematico che raccoglie le risorse sui Security Bulletin.