Come opportunamente fatto dal Microsoft Security Response Center con il loro ultimo post, anch'io penso che possa essere utile darvi un aggiornamento sull'evolversi della situazione, con il particolare punto di vista dello scenario italiano visto il nostro ruolo privilegiato di osservatorio delle problematiche di sicurezza sui grandi clienti seguiti direttamente da Microsoft Italia.

Livello di consapevolezza della problematica:

• Diffusione della notizia nei media/online/blogosfera: stranamente medio/bassa, ho l'impressione che quasi quasi non faccia più scoop la notizia di un rilascio straordinario di un bollettino di sicurezza Microsoft. Se da un lato per Microsoft può rappresentare un sollievo non subire la pressione dei media, soprattutto quando speculano con notizie non esatte e da rincorrere, dall'altro questa quiete apparente può essere controproducente in casi come questo in cui è assolutamente necessario sensibilizzare tutti sull'urgenza di aggiornare i propri sistemi.
• Comprensione del reale livello di pericolosità: anche questo medio/basso, in parte per gli effetti del punto precedente (nessun particolare clamore nei media), in parte per una sorta di assuefazione alla tranquillità: sono passati 4 anni dalle ultime infezioni di worm e forse tanti non hanno neanche più la memoria storica di quelle problematiche e delle loro conseguenze. A riprova di questo aspetto vi riporto che la maggior parte delle domande che ci sono state rivolte dai clienti sono state del tipo: "... ma è davvero così urgente???", " ... devo proprio organizzarmi per distribuire la patch anche nel weekend, o posso aspettare a lunedì??". E' vero che negli ultimi casi in cui Microsoft ha pubblicato un bollettino out-of-band (per esempio, l'ultimo nell'aprile 2007 , il penultimo a settembre 2006, il terzultimo a gennaio 2006), non ci sono state poi situazioni di rischio particolari, ma questo è solo la riprova del grande lavoro di risposta alle emergenze (spesso non immediatamente visibile) e di contrasto sul nascere delle possibili situazioni di attacco. Di per sé, l'emissione straordinaria di un bollettino in presenza di attacchi (anche se limitati e circoscritti) va considerato come un segnale forte e da prendere molto seriamente: se non ci fosse stato un serio pericolo per la sicurezza dei clienti, il bollettino sarebbe stato rinviato alla prossima emissione ordinaria.

Livello di rischio:

• Finora fa fede quanto espresso dal MSRC: nessun exploit pubblico in grado di mostrare un attacco di tipo Remote Code Execution. Ribadisco solo di stare attenti a non confondere le notizie di malware che sono già rilevabili con quelle che segnalano la presenza di worm: al momento (per fortuna) nessuna notizia di worm. I malware rilevabili sono Trojan che vengono scaricati sui sistemi presi di mira da attacchi mirati: se chi ha in mano un exploit funzionante attacca un sistema vulnerabile (=su cui non è ancora stata installata la patch), riesce a scaricare un Trojan sul sistema della vittima a meno che non sia presente una soluzione antivirus aggiornata alle ultime firme. Più passa il tempo e più questo scenario è destinato a peggiorarsi: quindi, ancora una volta, non è saggio adagiarsi sugli allori.

Situazione sui clienti italiani:

• Stato della diffusione degli aggiornamenti: numerosi grandi clienti si sono attrezzati (in modo avveduto, a mio parere) per procedere all'aggiornamento urgente anche nel fine settimana appena trascorso, ma la maggior parte sta partendo da ora a farlo in modo esteso.
• Problemi di deployment: nessuna problematica ci è stata segnalata in merito a problemi di distribuzione/installazione della patch MS08-067.

In conclusione, è bene ribadire: testate la patch nei vostri ambienti e aggiornate tutti i sistemi Windows con urgenza!

Altri post/risorse correlate:

• Post del MSRC del 26/10 (domenica sera, ora italiana): Update on MS08-067
• Analisi di rischio del bollettino straordinario di sicurezza Microsoft MS08-067 relativo al servizio Server di Windows

Share this post :