hit counter
Analisi di rischio del bollettino straordinario di sicurezza Microsoft MS08-067 relativo al servizio Server di Windows - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Analisi di rischio del bollettino straordinario di sicurezza Microsoft MS08-067 relativo al servizio Server di Windows

Analisi di rischio del bollettino straordinario di sicurezza Microsoft MS08-067 relativo al servizio Server di Windows

  • Comments 15
  • Likes

E' stato rilasciato il bollettino di sicurezza Microsoft straordinario (Out-of-Band) "MS08-067 - Vulnerability in Server Service Could Allow Remote Code Execution (958644)". Come indicato dal titolo, esso provvede a correggere una vulnerabilità nel servizio Server relativa a tutte le versioni di Windows attualmente supportate, che permetterebbe di eseguire del codice non autorizzato da remoto nel contesto di sicurezza dell'utenza di sistema più privilegiata (LocalSystem). Ricordo che il servizio Server è quello che permette al vostro sistema (sia esso client, sia esso server) di condividere le risorse di rete (share) con gli altri computer. La modalità con cui può essere portato l'attacco è tramite l'invio di richieste RPC opportunamente malformate (le richieste RPC interessate viaggiano su pacchetti di rete che usano le porte TCP 139 e TCP 445: assicurarsi che tali porte siano bloccate sul proprio firewall permette di prevenire eventuali attacchi che giungano da Internet). Il rating del bollettino è ovviamente Critical, ma uno sguardo di dettaglio mostra che le diverse versioni di Windows sono interessate con criticità differente: il motivo risiede nel fatto che nelle versioni di Windows meno recenti, Windows 2000, Windows XP e Windows Server 2003  l'attacco può essere portato in modo anonimo (da qui la classificazione Critical della vulnerabilità), mentre nel caso di Windows Vista e Windows Server 2008 è necessario che le richieste RPC siano autenticate (e questo rende Important la classificazione della vulnerabilità).

Quale risulta, quindi, lo scenario di rischio da questa breve analisi del bollettino MS08-067? Per le versioni Windows 2000, Windows XP e Windows Server 2003 le caratteristiche della vulnerabilità sono tali da renderla sfruttabile da possibili malware di tipo Worm (codici malware che riescono a propagarsi automaticamente sulla rete da un sistema all'altro senza necessità di interazione dell'utente). Questo porta a raccomandare l'aggiornamento di questo tipo di sistemi con priorità assoluta e davvero urgente (anche se la patch va messa su tutti i sistemi Windows): la vulnerabilità è stata scoperta solo 2 settimane fa e nel corso dell'analisi di alcuni attacchi limitati e circoscritti, in particolare diretti a sistemi Windows XP. Anche se quindi non risultano pubblici ad ora codici di exploit è già nota la presenza di malware specifico in grado di sfruttare tale vulnerabilità: TrojanSpy:Win32/Gimmiv.A e TrojanSpy:Win32/Gimmiv.A.dll. Le soluzioni antimalware Microsoft sono già in grado di rilevare e bloccare questo tipo di infezioni specifiche, così come dovrebbero esserlo tutti i fornitori antivirus che hanno aderito al programma di condivisione anticipata MAPP lanciato proprio in questo mese.

Vi raccomando caldamente di consultare il seguente elenco di post che i diversi team di Microsoft dedicati alla sicurezza hanno rilasciato contestualmente al bollettino, sono davvero esaurienti su tutti gli aspetti di approfondimento tecnico di questa problematica:

Con il procedere delle ore, raccoglierò le eventuali necessità di chiarimento che dovessero sorgere dalla nostra attività di supporto ai clienti e li condividerò in un post apposito, assieme alle eventuali modifiche dello scenario di rischio.

Rimanete sintonizzati!

Aggiornamento della situazione:

Altri post/risorse correlate:

Share this post :
Comments
  • Intanto ho aggiornato :D Tutto ok !

  • Anche se considero scontanto il fatto che chi legge questo blog TechNet conosca anche il blog del nostro

  • Vi segnalo il post di Feliciano che segnala l’uscita “straordinaria” di una patch che impatta, a diversi

  • PingBack from

    http://blogs.dotnethell.it/vincent/Alert-Bollettino-Straordinario-di-Sicurezza-Microsoft-MS08-067.__14408.aspx

  • MS08-067: Security Bulletin Urgente

  • So che NT4 non e' supportato, ma sapete dirmi qualcosa circa questo sistema e la vulnerabilita' in questione?

  • @Antonio: la politica di Microsoft è di rendere disponibile le patch di sicurezza solo per i sistemi supportati, quindi nel caso di Windows NT, come Windows 2000 fino al SP3, come Windows XP fino al SP1, il cliente deve assumere di essere di fronte ad un sistema vulnerabile, a prescindere dall'analisi della singola vulnerabilità. Il guaio è che su tali sistemi non si riesce ad avere nativamente neanche gli strumenti che possano mitigare il rischio: es. firewall.

  • In realtà su Windows XP è sempre esistito il firewall integrato e ne ho anche fatto uso. Certo è che dall'introduzione del Service Pack 2 in poi è molto cambiato, almeno a livello di configurazione.

    Inoltre è sempre possibile dotarsi di un firewall di terze parti sui sistemi non più supportati (per Windows 2000 ed XP il problema non si pone, basta aggiornarli all'ultimo Service Pack).

  • Come opportunamente fatto dal Microsoft Security Response Center con il loro ultimo post , anch'io penso

  • Vorrei fare brevemente il punto a poco più di una settimana dal rilascio di questo bollettino straordinario

  • Dopo il rilascio del bollettino straordinario MS08-067 dello scorso 23 ottobre, eccoci ritornati all'emissione

  • Come si temeva , si è giunti alla realizzazione di un worm che sfrutta la vulnerabilità corretta dal

  • Interrompo il silenzio blogging che mi sono imposto in queste festività per due motivi importanti. Il

  • Credo abbiate letto di come questa infezione si stia diffondendo in modo serio, e non solo in Italia.

  • Ritrovarmi a commentare una importante infezione come questa a cinque anni di distanza dall'ultimo serio

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment