Vi confesso che il lavoro segreto di collaborazione (di cui ho appena parlato nel mio freschissimo post su MClips: "Una svolta nella security cooperation: le vulnerabilità DNS uniscono i vendor nella difesa di Internet") che ha coinvolto Microsoft e gli altri vendor per la risoluzione delle famose vulnerabilità DNS, è stato così segreto, ... ma così segreto..., che neanche noi Microsoft Chief Security Advisor siamo stati avvisati!! Questo spiega anche come mai non abbia posto alcuna enfasi particolare alla descrizione del bollettino MS08-037 nella mia consueta analisi di rischio: tecnicamente parlando, le due vulnerabilità corrette per Windows (tranne Windows Vista, ci tengo a ribadirlo, nativamente non vulnerabile!) sono state trattate in modo assolutamente omogeneo rispetto alle altre, gestite con la stessa cura e considerazione. Di sicuro, questo caso ha richiesto uno sforzo maggiore, visto l'accordo da raggiungere con gli altri ricercatori sulle modalità da adottare per la correzione strutturale migliore possibile, come si intuisce dalla seconda parte del bellissimo post di Dan Kaminsky. La prima parte dello stesso post mi ha trasmesso le stesse emozioni di fratellanza universale nella lotta contro le minacce catastrofiche: avete presente il film Armageddon? Ecco, proprio così! La scoperta di queste vulnerabilità DNS (protocollo che sostiene di fatto buona parte dell'architettura Internet, purtroppo... ) ci ha messo di fronte allo stesso tipo di rischio (la seria perdita di affidabilità di Internet), e fortunatamente ha scatenato lo stesso istinto alla sopravvivenza e alla cooperazione. Se sul mio post di MClips trovate le considerazioni a tal merito, in questo desidero aggiungere qualche dettaglio per aiutarvi a capire l'urgenza dell'aggiornamento.

Abbiamo già ricevuto da qualche cliente la domanda: ma se sono vulnerabilità così serie e dall'impatto globale, perché il rating della MS08-037 è "solo" Important?

Forse pochi di voi hanno la memoria storica che risale al momento in cui Microsoft è passata da una classificazione del livello di severity dei bollettini a 3 valori all'attuale in uso che prevede 4 livelli: ad un certo punto (novembre 2002) si rese opportuno sdoppiare in due livelli distinti il livello più alto, per sottolineare il diverso livello di rischio rispetto alla minaccia dei worm:

• Critical: A vulnerability whose exploitation could allow the propagation of an Internet worm without user action.
• Important: A vulnerability whose exploitation could result in compromise of the confidentiality, integrity, or availability of users data, or of the integrity or availability of processing resources.

Quindi i bollettini Important si devono considerare altrettanto seriamente, ed escludono solo il rischio di sfruttamento tramite worm che si propaga automaticamente!

Nel caso specifico di queste vulnerabilità, come già detto nella sintetica analisi di rischio, chi attacca ha modo di iniettare in modo anonimo dei dati falsi o fuorvianti nella cache DNS sia dei PC client, sia dei sistemi server adibiti al ruolo di DNS Server, e questo si traduce in due scenari di attacco

• quello più probabile e pericoloso è l'attacco destinato ai DNS server: in quanto fornitori del servizio di risoluzione la loro compromissione è in grado di dirottare automaticamente su siti pericolosi tutti gli utenti che usano quel particolare server DNS. Visto che i DNS sono organizzati gerarchicamente, un mapping pericoloso di Dominio_della_mia_banca=IndirizzoIP_Fasullo può propagarsi a cascata con scala preoccupante: gli amministratori di server DNS sono i primi a dover correre all'aggiornamento urgentissimo.
• l'attacco destinato ai PC client è ovviamente più focalizzato: chi ci attacca deve ovviamente intercettare una nostra richiesta di risoluzione e inviarci una risposta (fingendosi il DNS server legittimo) modificata ad hoc per iniettare  un mapping pericoloso nella nostra cache DNS locale.

Per fortuna sembra che "The good news is this is a really strange situation where the fix does not immediate reveal the vulnerability and reverse engineering isn't directly possible."... ma questo non deve farci dormire sugli allori!

Aggiornate, aggiornate e fate aggiornare!

Altri post/risorse correlate:

• Mio post su MClips: "Una svolta nella security cooperation: le vulnerabilità DNS uniscono i vendor nella difesa di Internet"
• Post di Renato Francesco Giorgini su Technet "Un invito: aggiornate i vostri server (e client) DNS e i vostri apparati di rete"
• Analisi di rischio sui Bollettini di sicurezza Microsoft - luglio 2008
• MSRC Security Bulletin Severity Rating System

Share this post :