Lo so, lo so... vi stavate domandando dove fossi finito e cosa fosse successo di tanto importante da impedirmi di postare la consueta analisi di rischio sui bollettini di sicurezza Microsoft durante la classica notte del secondo martedì del mese. Ecco quella notte, in realtà, dopo aver lavorato fino alle 2:30 sull'analisi dei bollettini (causa anche il protrarsi della cena tra speaker pre-evento ISSA a Roma; tra parentesi, molto buona, semplice ma gustosa, come piace a me: Ristorante Sensus, vicino piazza Farnese), sono letteralmente crollato dal sonno: sono umano anch'io, sapete? :-) Poco male, mi sono detto, non credo che ci sia qualcuno che muoia se (per una volta) non trova il mio post fresco fresco a colazione... o sì? ;-). Mercoledì è volato via tra conferenza ISSA e rientro a Milano, poi ieri altri impegni di lavoro hanno fatto il resto...

Bando alle ciance, veniamo alle considerazioni sui 7 bollettini, tutti sulla famiglia Windows, che risolvono in totale 10 vulnerabilità. L'emissione di questo mese è abbastanza variegata, in modo tale da ritrovare difficilmente delle considerazioni di sintesi significative: anzi ci sono un paio di vulnerabilità originali, e quindi questa volta le indicazioni sui singoli bollettini meritano la lettura anche a chi di solito tralascia questi dettagli. Al solito la matrice sinottica è qui di seguito, dove potrete identificare come sono interessate le varie versioni di Windows: questo mese è da notare la presenza di indicazioni per Windows Server 2008 installato in modalità Server Core, e risulta evidente il vantaggio di avere una superficie di attacco notevolmente ridotta (solo 2 delle 6 vulnerabilità che interessano Windows Server 2008).

Queste le singole analisi:

• MS08-030 su Bluetooth: una vulnerabilità Critical di tipo Remote Code Execution, finora non nota pubblicamente, che permetterebbe di eseguire codice non autorizzato nel contesto di sicurezza LocalSystem tramite un attacco realizzato mediante l'invio di pacchetti SDP (Service Description request) malformati ad-hoc. Quindi si può ipotizzare la possibilità di realizzazione di toolkit che tentino l'attacco radio via Bluetooth.
• MS08-031 su Internet Explorer: classica cumulativa che risolve due vulnerabilità. Una è Critical di tipo Remote Code Execution, ma finora non nota pubblicamente, sfruttabile tramite contenuti web acceduti via Internet o fruiti tramite email HTML. L'altra è Important di tipo Information Disclosure, già nota pubblicamente, che permetterebbe di violare la Same Origin Policy (policy che impone l'isolamento tra pagine di browser aperte su domini diversi): una pagina che riuscirebbe quindi a leggere dati a cui non dovrebbe avere accesso.
• MS08-032 classico bollettino cumulativo dei Kill Bit come indicato ad aprile, questo mese relativo all'ActiveX sapi.dll dell componente di Speech Recognition di Microsoft e all'ActiveX di Backweb: quella Microsoft è una vulnerabilità Moderate di tipo Remote Code Execution, già nota pubblicamente, che permetterebbe di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato. Il vettore di attacco principale è il classico dei contenuti web acceduti via Internet, ma questo tipo di vulnerabilità potrebbe essere sfruttata anche tramite un file audio malformato ad-hoc: un attacco vocale!
• MS08-033 su DirectX: due vulnerabilità Critical di tipo Remote Code Execution, finora non note pubblicamente, che permetterebbero di eseguire codice non autorizzato nel contesto di sicurezza dell'utente loggato. Le vulnerabilità differiscono per i vettori di attacco: la prima richiede l'apertura di file media di tipo ASF/AVI con incluso un file MJPEG malformato; la seconda richiede l'apertura di un file SAMI.
• MS08-034 su WINS: una vulnerabilità Important di tipo Elevation of Privilege, finora non nota pubblicamente, che permetterebbe di eseguire localmente codice non autorizzato nel contesto di sicurezza LocalSystem tramite un attacco realizzato mediante l'invio di pacchetti WINS malformati ad-hoc.
• MS08-035 su Active Directory ed ADAM/AD LDS: una vulnerabilità Important di tipo Denial of Service, finora non nota pubblicamente, che permetterebbe di bloccare un sistema e forzare il suo riavvio tramite un attacco realizzato mediante l'invio di pacchetti LDAP malformati ad-hoc. Su Windows 2000 questo invio può essere fatto anonimamente, sulle versioni più recenti è necessario disporre di una valida utenza sul sistema.
• MS08-036 su PGM: due vulnerabilità di tipo Denial of Service, una Important e una Moderate, finora non note pubblicamente, che permetterebbero di bloccare un sistema tramite un attacco realizzato mediante l'invio di pacchetti PGM (Pragmatic General Multicast) malformati ad-hoc.

Ho anche aggiornato il mini-portale tematico che raccoglie le risorse sui Security Bulletin.

Share this post :