[English version below: "Microsoft Security Bulletin Risk Analysis – April 2009"]

Come già anticipato, l’emissione dei bollettini di sicurezza Microsoft di questo mese è caratterizzata dal rilascio di 8 bollettini, che risolvono in totale 23 vulnerabilità. Si deve purtroppo osservare che diverse di queste vulnerabilità presenta un exploitability index elevato, come si può evincere dalla seguente tabella riepilogativa, con alcune di esse (celle a sfondo rosso) anche già sfruttate per attacchi (anche se limitati e circoscritti):

Alcuni dettagli sui singoli bollettini:

• MS09-009 su Excel in Microsoft Office (tutte le versioni attualmente supportate): due vulnerabilità che permetterebbero di eseguire del codice non autorizzato da remoto nel contesto di sicurezza dell’utente loggato se si induce la vittima ad aprire un file Excel opportunamente malformato. La seconda vulnerabilità è quella che era nota pubblicamente prima del rilascio di questo bollettino e che è stata oggetto del Microsoft Security Advisory 968272.
• MS09-010 su Wordpad e gli Office Text Converters (consultate il bollettino per i dettagli delle versioni interessate): quattro vulnerabilità che permetterebbero di eseguire del codice non autorizzato da remoto nel contesto di sicurezza dell’utente loggato se si induce la vittima ad aprire un file Word, RTF, Writer o WordPerfect opportunamente malformato. Una di queste vulnerabilità è stata oggetto del Microsoft Security Advisory 960906. Fate caso all’articolo 960477 che documenta le problematiche note che si possono generare a seguito dell’installazione di questo aggiornamento.
• MS09-011 su DirectX (DirectX 8.1 e 9.0): una vulnerabilità che permetterebbe di eseguire del codice non autorizzato da remoto nel contesto di sicurezza dell’utente loggato se si induce la vittima ad aprire un file MJPEG opportunamente malformato.
• MS09-012 su Windows (tutte le versioni attualmente supportate): 4 vulnerabilità che permetterebbero l’innalzamento dei propri privilegi se chi attacca fosse in grado di loggarsi sul sistema e lanciare un programma ad-hoc. Una di queste vulnerabilità è stata oggetto del Microsoft Security Advisory 951306. Fate caso all’articolo 959454 che documenta le problematiche note che si possono generare a seguito dell’installazione di questo aggiornamento.
• MS09-013 sui Windows HTTP Services (WinHTTP): 3 vulnerabilità, di cui la più seria permetterebbe di eseguire del codice non autorizzato da remoto nel contesto di sicurezza dell’utente loggato se si induce la vittima ad interagire con un sito web opportunamente configurato allo scopo di operare un attacco. Fate caso all’articolo 960803 che documenta le problematiche note che si possono generare a seguito dell’installazione di questo aggiornamento.
• MS09-014 su Internet Explorer (tutte le versioni attualmente supportate tranne Internet Explorer 8): classica cumulativa di IE che risolve 6 vulnerabilità, che permetterebbe di eseguire del codice non autorizzato da remoto nel contesto di sicurezza dell’utente loggato se si induce la vittima ad interagire con un sito web opportunamente configurato allo scopo di operare un attacco. Una di queste vulnerabilità è stata oggetto del Microsoft Security Advisory 953818. Fate caso all’articolo 963027 che documenta le problematiche note che si possono generare a seguito dell’installazione di questo aggiornamento.
• MS09-015 sulla funzione SearchPath di Windows (tutte le versioni attualmente supportate): una vulnerabilità che permetterebbe l’innalzamento dei propri privilegi se attacca fosse in grado di convincere l’utente a scaricare un file in una determinata posizione e poi ad eseguire una applicazione in grado di aprire tale file. Questa vulnerabilità è stata oggetto del Microsoft Security Advisory 953818: ricordate l’acceso dibattito su questo tema?
• MS09-016 su ISA Server e Forefront Threat Management Gateway (MBE): una prima vulnerabilità permetterebbe di causare un Denial of Service tramite l’invio di pacchetti di rete malformati. Una seconda vulnerabilità permetterebbe di far rivelare informazioni o di operare un attacco di spoofing se l’utente visita un sito web che include contenuti sotto il controllo di chi opera l’attacco.

Lo strumento gratuito di rimozione di malware, il Malicious Software Removal Tool (MSRT), che viene mensilmente proposto agli utenti in questa occasione, questo mese aggiunge la seguente famiglia di malware alla lista di rilevamento:

• Win32/Waledac: è un trojan che viene utilizzato per inviare spam. Ha anche la capacità di scaricare ed eseguire file pericolosi, scovare e raccogliere indirizzi email presenti sul PC, realizzare attacchi di tipo Denial of Service (DoS), agire da proxy, intercettare password.

Altri post/risorse correlate:

• i post della categoria "Security Bulletin and Advisory Risk Analysis"
• Pagina riepilogativa sulle risorse relative all'infezione Conficker: Worm Conficker: considerazioni e risorse per un contenimento efficace
• Microsoft Exploitability Index
• Un po' di teoria sull'analisi di rischio delle vulnerabilità Microsoft - 1a puntata
• Riepilogo analisi Bollettini e Advisory

==============================================================

Microsoft Security Bulletin Risk Analysis – April 2009

As already said, this monthly Microsoft security issue sees the release of 8 bulletins, which resolve 23 vulnerabilities. Unfortunately we have to say that several of such vulnerabilites have an high exploitability index, as you can see from the table below, with some of them already actively exploited in the wild (see cells with red background), even if with limited and targeted attacks:

[See image above]

More details:

• MS09-009 about Excel in Microsoft Office (all currently supported versions): two vulnerabilities which can lead to a remote code execution attack within the logged-on user’s security context if the attacker is able to convince the victim to open a specially crafted Excel spreadsheet. The second vulnerability is the one that was public before this release and was documented by Microsoft Security Advisory 968272.
• MS09-010 about Wordpad and Office Text Converters (see the bulletin for details about the affected versions) four vulnerabilities which can lead to a remote code execution attack within the logged-on user’s security context if the attacker is able to convince the victim to open a specially crafted Word, RTF, Writer o WordPerfect file. One of this vulnerabilites has been documented by Microsoft Security Advisory 960906. Please read the article 960477 about the known issues.
• MS09-011 about DirectX (DirectX 8.1 and 9.0): one vulnerability which can lead to a remote code execution attack within the logged-on user’s security context if the attacker is able to convince the victim to open a specially crafted MJPEG file.
• MS09-012 about Windows (all currently supported versions): 4 vulnerabilites which could allow elevation of privilege if an attacker is allowed to log on to the system and then run a specially crafted application. One of this vulnerabilites has been documented by Microsoft Security Advisory 951306. Please read the article 959454 about the known issues.
• MS09-013 about Windows HTTP Services (WinHTTP): 3 vulnerabilities, where the most severe can lead to a remote code execution attack within the logged-on user’s security context if the attacker is able to convince the victim to interact with a specially crafted web site. Please read the article 960803 about the known issues.
• MS09-014 about Internet Explorer (all currently supported versions with the exception of Internet Explorer 8): classic cumulative update for IE which resolves 6 vulnerabilites, which can lead to a remote code execution attack within the logged-on user’s security context if the attacker is able to convince the victim to interact with a specially crafted web site. One of this vulnerabilites has been documented by Microsoft Security Advisory 953818. Please read the article 963027 about the known issues.
• MS09-015 about SearchPath function in Windows (all currently supported versions): one vulnerability that could allow elevation of privilege if a user downloaded a specially crafted file to a specific location, then opened an application that could load the file under certain circumstances. This vulnerability has been documented by Microsoft Security Advisory 953818: did you remember the “war” between IE and Safari about it?
• MS09-016 about ISA Server and Forefront Threat Management Gateway (MBE): the first vulnerability could allow denial of service if an attacker sends specially crafted network packages to the affected system. The second one could lead to information disclosure or spoofing if a user clicks on a malicious URL or visits a Web site that contains content controlled by the attacker.

This month the Malicious Software Removal Tool (MSRT) adds the following malware family to its detection and removal engine:

• Win32/Waledac: is a trojan that is used to send spam. It also has the ability to download and execute arbitrary files, harvest email addresses from the local machine, perform denial of service attacks, proxy network traffic and sniff passwords

Other related posts/resources:

• [EN-IT] Microsoft Security Bulletins and Advisory summary page (with blog posts by MSRC, MMPC, SDI and me)
• [EN-IT] Conficker worm: considerations and resources for effective containment