Il rilascio di sicurezza di Microsoft di questo mese è particolarmente significativo per due ragioni. Quella più evidente è il fatto che si tratta di una emissione di aggiornamenti, purtroppo, davvero corposa: 11 bollettini (4 critici, 6 importanti e 1 moderato) che risolvono un totale di 20 vulnerabilità. Quella meno evidente è che questo mese rappresenta l'avvio di quella serie di programmi Microsoft legati alla gestione delle vulnerabilità che sono stati annunciati allo scorso Black Hat 2008:

• Black Hat 2008: Microsoft Active Protections Program (MAPP)
• Black Hat 2008: Microsoft Exploitability Index

Dal vostro punto di vista, il Microsoft Exploitability Index è sicuramente la novità più attesa, vediamola dunque in azione: nella pagina web di riepilogo dei bollettini "Microsoft Security Bulletin Summary for October 2008" trovate proprio una tabella alla sezione Exploitability Index che, per ogni singola vulnerabilità, elenca:

• Il numero di bollettino
• Il titolo del bollettino
• L'identificatore CVE della vulnerabilità
• La valutazione dell'Exploitability Index
• Eventuali note esplicative

Agg. del 16/10/2008: approfittando del relativo post su MClips ho realizzato una tabella che rende meglio l'idea grazie all'uso di indicatori semaforici e di indici aggregati per i bollettini che risolvono più vulnerabilità:

Non potevo quindi mancare di fornirvi le consuete matrici sinottiche di analisi delle vulnerabilità, aggiornandole con l'aggiunta di questo indicatore EIA. Questo mese sono distinte in due parti: quella che descrive le vulnerabilità di Internet Explorer e Windows:

e quella che descrive le vulnerabilità di Office e HIS:

Di seguito trovate, invece, maggiori dettagli sui singoli bollettini:

• MS08-056 su Office: una vulnerabilità Moderate di tipo Information Disclosure relativa al protocollo CDO che interessa la sola versione Office XP SP3. Indurre l'utente a cliccare su un URL CDO malformato permetterebbe di realizzare un attacco di tipo Cross-site scripting (XSS) e quindi di iniettare uno script non autorizzato nella sua sessione di navigazione Internet, in grado quindi di operare nel suo contesto di sicurezza. Vulnerabilità non nota pubblicamente prima d'ora.
• MS08-057 su Excel in Office: tre vulnerabilità Critical di tipo Remote Code Execution relative (in misura diversa) a tutte le versioni di Office attualmente supportate, compreso Microsoft Office Sharepoint Server (MOSS) 2007, che permetterebbero di eseguire del codice non autorizzato nel contesto di sicurezza dell'utente loggato a fronte dell'apertura di un file Excel opportunamente malformato. Vulnerabilità non note prima d'ora.
• MS08-058 su Internet Explorer: classica cumulativa che risolve 6 vulnerabilità, 5 Critical e 1 Important, di tipo Remote Code Execution nel caso peggiore (ma di tipo Information Disclosure nella maggior parte dei casi), sfruttabili tramite contenuti web acceduti via Internet o fruiti tramite email HTML. Naturalmente i privilegi sfruttabili sono solo quelli dell'utente loggato. Solo la prima vulnerabilità era già nota pubblicamente.
• MS08-059 su Host Integration Server: una vulnerabilità Critical di tipo Remote Code Execution relativa al servizio SNA Remote Procedure Call (RPC) che permetterebbe, tramite una chiamata RPC malformata ad-hoc, di eseguire del codice non autorizzato nel contesto di sicurezza dell'utenza utilizzata per lo SNA Service account (quindi il rischio è inferiore se si seguono le best practice che invitano a non utilizzare una utenza privilegiata). Vulnerabilità non nota pubblicamente prima d'ora.
• MS08-060 su Active Directory di Windows 2000 Server SP4: una vulnerabilità Critical di tipo Remote Code Execution relativa ai sistemi con il ruolo di Domain Controller che permetterebbe, tramite una chiamata LDAP/LDAPS malformata ad-hoc, di eseguire del codice non autorizzato nel contesto di sicurezza LocalSystem (quindi il massimo privilegio possibile sul sistema). Vulnerabilità non nota pubblicamente prima d'ora.
• MS08-061 sul Kernel di Windows: 3 vulnerabilità Important di tipo Privilege Elevation che permetterebbero di far eseguire del codice non autorizzato con i pieni poteri sul sistema (LocalSystem) solo tramite un attacco locale e autenticato. Solo la seconda vulnerabilità era già nota pubblicamente.
• MS08-062 su Internet Printing Service (IPP) di Windows: una vulnerabilità Important di tipo Remote Code Execution che permetterebbe, tramite una chiamata HTTP POST autenticata di indurre il sistema a contattare un server IPP e quindi di esporsi a risposte in grado di eseguire del codice non autorizzato nel contesto di sicurezza dell'utente loggato. Windows Vista non supporta IPP, quindi non espone la modalità per essere attaccato, ma contiene il componente "shared printer spooler" che viene aggiornato da questo bollettino: quindi come misura preventiva è raccomandabile operare l'aggiornamento anche su Windows Vista. Anche se la vulnerabilità non era nota pubblicamente prima d'ora e non erano noti exploit/PoC pubblici, si era a conoscenza di alcuni attacchi mirati.
• MS08-063 sul protocollo Server Message Block (SMB) di Windows: una vulnerabilità Important di tipo Remote Code Execution che permetterebbe, tramite una chiamata SMB autenticata di eseguire del codice non autorizzato nel contesto di sicurezza LocalSystem. Vulnerabilità non nota pubblicamente prima d'ora.
• MS08-064 sul Virtual Address Descriptor di Windows (tutte le versioni attualmente supportate tranne Windows 2000 SP4): una vulnerabilità Important di tipo Privilege Elevation che permetterebbe di far eseguire del codice non autorizzato con i pieni poteri sul sistema (LocalSystem) solo tramite un attacco autenticato. Vulnerabilità non nota pubblicamente prima d'ora.
• MS08-065 su Message Queuing di Windows 2000 SP4: una vulnerabilità Important di tipo Remote Code Execution che permetterebbe, tramite una chiamata RPC anonima di eseguire del codice non autorizzato nel contesto di sicurezza LocalSystem. Il fattore che mitiga il rischio di tale vulnerabilità è che il componente Message Queuing non è installato nativamente e deve essere stato abilitato manualmente da un amministratore. Vulnerabilità non nota pubblicamente prima d'ora.
• MS08-066 sull'Ancillary Function Driver (afd.sys) di Windows XP e Windows Server 2003: una vulnerabilità Important di tipo Privilege Elevation che permetterebbe di far eseguire del codice non autorizzato con i pieni poteri sul sistema (LocalSystem) solo tramite un attacco locale e autenticato. Vulnerabilità non nota pubblicamente prima d'ora.

Penso che per oggi ne abbiate abbastanza... ;-)

Altri post/risorse correlate:

• i post della categoria "Security Bulletin and Advisory Risk Analysis"
• Microsoft Exploitability Index
• Un po' di teoria sull'analisi di rischio delle vulnerabilità Microsoft - 1a puntata
• Riepilogo analisi Bollettini e Advisory

Share this post :