hit counter
Bollettino out-of-band MS08-067: aggiornamento sulla situazione in Italia - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Bollettino out-of-band MS08-067: aggiornamento sulla situazione in Italia

Bollettino out-of-band MS08-067: aggiornamento sulla situazione in Italia

  • Comments 8
  • Likes

Come opportunamente fatto dal Microsoft Security Response Center con il loro ultimo post, anch'io penso che possa essere utile darvi un aggiornamento sull'evolversi della situazione, con il particolare punto di vista dello scenario italiano visto il nostro ruolo privilegiato di osservatorio delle problematiche di sicurezza sui grandi clienti seguiti direttamente da Microsoft Italia.

Livello di consapevolezza della problematica:

  • Diffusione della notizia nei media/online/blogosfera: stranamente medio/bassa, ho l'impressione che quasi quasi non faccia più scoop la notizia di un rilascio straordinario di un bollettino di sicurezza Microsoft. Se da un lato per Microsoft può rappresentare un sollievo non subire la pressione dei media, soprattutto quando speculano con notizie non esatte e da rincorrere, dall'altro questa quiete apparente può essere controproducente in casi come questo in cui è assolutamente necessario sensibilizzare tutti sull'urgenza di aggiornare i propri sistemi.
  • Comprensione del reale livello di pericolosità: anche questo medio/basso, in parte per gli effetti del punto precedente (nessun particolare clamore nei media), in parte per una sorta di assuefazione alla tranquillità: sono passati 4 anni dalle ultime infezioni di worm e forse tanti non hanno neanche più la memoria storica di quelle problematiche e delle loro conseguenze. A riprova di questo aspetto vi riporto che la maggior parte delle domande che ci sono state rivolte dai clienti sono state del tipo: "... ma è davvero così urgente???", " ... devo proprio organizzarmi per distribuire la patch anche nel weekend, o posso aspettare a lunedì??". E' vero che negli ultimi casi in cui Microsoft ha pubblicato un bollettino out-of-band (per esempio, l'ultimo nell'aprile 2007 , il penultimo a settembre 2006, il terzultimo a gennaio 2006), non ci sono state poi situazioni di rischio particolari, ma questo è solo la riprova del grande lavoro di risposta alle emergenze (spesso non immediatamente visibile) e di contrasto sul nascere delle possibili situazioni di attacco. Di per sé, l'emissione straordinaria di un bollettino in presenza di attacchi (anche se limitati e circoscritti) va considerato come un segnale forte e da prendere molto seriamente: se non ci fosse stato un serio pericolo per la sicurezza dei clienti, il bollettino sarebbe stato rinviato alla prossima emissione ordinaria.

Livello di rischio:

  • Finora fa fede quanto espresso dal MSRC: nessun exploit pubblico in grado di mostrare un attacco di tipo Remote Code Execution. Ribadisco solo di stare attenti a non confondere le notizie di malware che sono già rilevabili con quelle che segnalano la presenza di worm: al momento (per fortuna) nessuna notizia di worm. I malware rilevabili sono Trojan che vengono scaricati sui sistemi presi di mira da attacchi mirati: se chi ha in mano un exploit funzionante attacca un sistema vulnerabile (=su cui non è ancora stata installata la patch), riesce a scaricare un Trojan sul sistema della vittima a meno che non sia presente una soluzione antivirus aggiornata alle ultime firme. Più passa il tempo e più questo scenario è destinato a peggiorarsi: quindi, ancora una volta, non è saggio adagiarsi sugli allori.

Situazione sui clienti italiani:

  • Stato della diffusione degli aggiornamenti: numerosi grandi clienti si sono attrezzati (in modo avveduto, a mio parere) per procedere all'aggiornamento urgente anche nel fine settimana appena trascorso, ma la maggior parte sta partendo da ora a farlo in modo esteso.
  • Problemi di deployment: nessuna problematica ci è stata segnalata in merito a problemi di distribuzione/installazione della patch MS08-067.

In conclusione, è bene ribadire: testate la patch nei vostri ambienti e aggiornate tutti i sistemi Windows con urgenza!

Altri post/risorse correlate:

Share this post :
Comments
  • <p>PingBack from <a rel="nofollow" target="_new" href="http://www.grabbernews.com/bollettino-out-of-band-ms08-067-aggiornamento-sulla-situazione-in-italia-35489.html">http://www.grabbernews.com/bollettino-out-of-band-ms08-067-aggiornamento-sulla-situazione-in-italia-35489.html</a></p>

  • <p>Ciao Feliciano, seguo sempre il tuo blog con interesse. Del tuo articolo una cosa in particolare mi ha incuriosito: testare la patch. Come pensi sia possibile, in generale, testare le patch di sicurezza? Non &#232; una cosa semplice per cui la maggior parte delle volte (se non sempre) si installa e via. Hai qualche consiglio in proposito?</p> <p>Grazie</p>

  • <p>Ciao DGalluzzo, grazie del tuo interesse per il blog. La diversit&#224; nel testare la patch di sicurezza rispetto ad una normale sta nell'urgenza: &#232; la criticit&#224; del rischio di attacco a dettare i tempi di test e non la durata normale dei cicli di test ordinari. Il consiglio &#232; di prepararsi in tempi di pace con un elenco di test ordinato per importanza (prima verificare la funzionalit&#224; pi&#249; importante della nostra soluzione, poi via via quelle meno essenziali). In caso di urgenza poi, si stima il livello di urgenza e la durata tollerabile dei test e si selezionano solo i test che riescono ad essere fatti in quell'intervallo di tempo partendo da quelli pi&#249; importanti. In casi di vera emergenza, questa finestra potrebbe anche ridursi a zero, e indurre all'applicazione senza test: l'importante &#232; non far mancare mai un piano di backup/ripristino per poter recuperare la situazione in caso si sia costretti a queste operazioni a test ridotto/nullo. </p>

  • <p>Approfitto della visibilit&#224; di questo post per segnalare il Security Advisory 958963 (Exploit Code Published Affecting the Server Service)</p> <p><a rel="nofollow" target="_new" href="http://www.microsoft.com/technet/security/advisory/958963.mspx">http://www.microsoft.com/technet/security/advisory/958963.mspx</a></p> <p>Buona giornata</p>

  • <p>Vorrei fare brevemente il punto a poco pi&amp;#249; di una settimana dal rilascio di questo bollettino straordinario</p>

  • <p>Come si temeva , si &#232; giunti alla realizzazione di un worm che sfrutta la vulnerabilit&#224; corretta dal</p>

  • <p>Interrompo il silenzio blogging che mi sono imposto in queste festivit&#224; per due motivi importanti. Il</p>

  • <p>Credo abbiate letto di come questa infezione si stia diffondendo in modo serio, e non solo in Italia.</p>

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment