L'emissione dei bollettini di sicurezza Microsoft di questo mese è caratterizzata dal rilascio di 3 bollettini, tutti relativi alla famiglia Windows, che risolvono in totale 8 vulnerabilità generalmente caratterizzate da un indice di sfruttabilità medio, come si può evincere dalla seguente tabella riepilogativa:

I singoli aspetti utili all'analisi di rischio sono riassunti nella consueta tabella sinottica:

Alcuni dettagli:

• MS09-006 sul Kernel di Windows (tutte le versioni attualmente supportate, incluse Windows Server 2008 SP2 Beta, Windows Vista SP2 Beta e Windows 7 Beta): 3 vulnerabilità, di cui la prima sicuramente più seria nelle caratteristiche di rischio dal momento che permetterebbe di eseguire del codice non autorizzato da remoto con i privilegi più elevati sul sistema (LocalSystem) se si riesce ad indurre l'utente a visualizzare delle immagini WMF/EMF malformate ad-hoc. Questa vulnerabilità è di fatto solo mitigata dalla tipologia di exploitability (che non è la più pericolosa, vedi tabella precedente), dal fatto di essere stata comunicata a Microsoft in modo responsaile (quindi non pubblica fino ad oggi) e dal non avere un vettore di attacco via rete. Le altre due vulnerabilità permetterebbero un attacco di innalzamento di privilegi, ma richiedono che questo si realizzi localmente e direttamente loggati sul sistema con delle credenziali valide: caratteristiche che giustificano una severity Important.
• MS09-007 sul componente SChannel di Windows (tutte le versioni attualmente supportate): una vulnerabilità di tipo Spoofing che permetterebbe di autenticarsi verso un server che usi un'autenticazione basata su certificati, potendo impersonare l'identità dell'utente preso di mira dall'attacco di cui si è riusciti ad ottenere il solo certificato (solo quindi la sua chiave pubblica). Solo le utenze locali possono essere vittime di questo attacco, che non ha modo di realizzarsi se gli utenti e i relativi certificati sono mappati su utenze in Active Directory.
• MS09-008 sui Server DNS/WINS di Windows (tutte le versioni server attualmente supportate): 4 vulnerabilità di tipo Spoofing che permetterebbero di fatto di dirottare il traffico di rete verso sistemi non legittimi. Per le prime due vulnerabilità (non note fino ad oggi) questo si può realizzare tramite l'invio di risposte DNS opportunamente malformate, in un caso in modo da poter alterare la cache del DNS Server (Cache poisoning) e nell'altro in modo da poter predire i Transaction ID. Per le altre due vulnerabilità (gia note prima del rilascio di questo bollettino, anche se non sfruttate fino ad ora per attacchi) questo si può realizzare se si utilizza l'aggiornamento dinamico di DNS e WINS e se non sono già stati registrate le entry WPAD: in questo caso chi attacca avrebbe modo di registrare un IP sotto il suo controllo in grado di condurre un attacco Man-in-the-middle rispetto ai browser che usano la funzionalità WPAD per cercare un web proxy.

Credo che la stessa descrizione tecnica degli attacchi, non proprio immediata, dia ragione della non facile sfruttabilità della quasi totalità di queste vulnerabilità.

Lo strumento gratuito di rimozione di malware, il Malicious Software Removal Tool (MSRT), che viene mensilmente proposto agli utenti in questa occasione, questo mese aggiunge la seguente famiglia di malware alla lista di rilevamento:

• Win32/Koobface: un worm che è in grado di diffondersi quando l'utente accede al suo profilo utente nei maggiori social network conosciuti (MySpace, Facebook e altri)

Altri post/risorse correlate:

• i post della categoria "Security Bulletin and Advisory Risk Analysis"
• Post riepilogativo sulle risorse relative all'infezione Conficker: Considerazioni per un efficace contenimento dell'infezione Conficker.B
• Microsoft Exploitability Index
• Un po' di teoria sull'analisi di rischio delle vulnerabilità Microsoft - 1a puntata
• Riepilogo analisi Bollettini e Advisory

Share this post :