Eccomi qui, come anticipato, a spiegarvi il rilascio straordinario appena pubblicato di questi due bollettini Microsoft (MS09-034 e MS09-035) e del relativo “Microsoft Security Advisory (973882) - Vulnerabilities in Microsoft Active Template Library (ATL) Could Allow Remote Code Execution”.

Come suggerisce il titolo dell’Advisory, le vulnerabilità di cui parliamo sono presenti nell’ Active Template Library (ATL), una libreria di classi C++ a disposizione degli sviluppatori di applicazioni per semplificare la programmazione di oggetti COM. Dal momento che gli oggetti COM più noti e i più comuni sono i controlli ActiveX, li userò come esempio per chiarire il problema. Supponiamo che uno sviluppatore abbia scritto un controllo ActiveX da usare in una sua applicazione e per farlo abbia usato la libreria ATL (come una sorta di mattoncini Lego), nella modalità che introduce il problema: a questo punto l’ActiveX che lui ha scritto e che ha distribuito ai suoi clienti è vulnerabile secondo le classiche modalità di attacco via web. Come vi ho sempre raccontato in questo blog quando vi ho documentato le vulnerabilità relative ad Internet Explorer, è possibile a questo punto che un utente, sul cui PC sia presente tale ActiveX vulnerabile, navigando su una pagina web artefatta ad hoc, riesca ad essere vittima di un attacco capace di far eseguire del codice non autorizzato sul proprio computer (esempio: virus/trojan), in grado di agire (e fare danni) in modo proporzionale ai suoi privilegi (utente amministratore del suo PC=pieni poteri=rischio maggiore).

Questo scenario chiarisce il perché di un rilascio straordinario al di fuori del normale processo mensile di aggiornamento: data la situazione non è possibile sapere a priori quali ActiveX presenti in circolazione siano vulnerabili o meno, dal momento che possono esserlo tutti quelli realizzati usando la libreria ATL e nel modo pericoloso che ha generato questi problemi. E’ importante ribadire che le informazioni su queste vulnerabilità sono state comunicate a Microsoft in modo responsabile e che gli unici attacchi di cui si è a conoscenza relativi a questa tipologia di vulnerabilità sono quelli che sono stati già indirizzati dal bollettino MS09-032 emesso lo scorso 14 luglio.

Se il problema appare complesso e di ampio impatto, altrettanto ricco e strutturato è stato lo sforzo Microsoft per proteggere i clienti nel modo più completo possibile, e questo è stato fatto operando essenzialmente in due direzioni:

1. Migliorare la protezione a disposizione di tutti gli utenti finali di fronte a questa tipologia di vulnerabilità: questo è stato fatto con l’introduzione di miglioramenti ad Internet Explorer tramite il bollettino MS09-034, che a questo punto va considerato un MUST-HAVE, un bollettino assolutamente necessario per tutte le versioni di Windows (tranne Windows 7 che non è interessato da queste vulnerabilità).
2. Supportare gli sviluppatori di applicazioni nel poter capire quali componenti da loro sviluppati siano interessati da questo problema e come correggere tali problemi.

Queste le raccomandazioni distinte per tipologia di utenti:

Utenti finali

• Assicurarsi di aver abilitato il meccanismo degli Aggiornamenti Automatici di Windows (e degli altri prodotti, ove possibile) in modo da ricevere e installare automaticamente gli aggiornamenti che servono (in prima battuta, il fondamentale MS09-034).
• Se possibile, aggiornare Internet Explorer alla versione 8, in virtù del maggior livello di protezione offerto da questa versione.

Professionisti IT

• Installare l’aggiornamento MS09-034
• Assicurarsi che tutti i prodotti di altri fornitori siano adeguatamente aggiornati (e vengano aggiornati appena possibile, se contengono componenti vulnerabili)
• Assicurarsi che gli sviluppatori siano a conoscenza di questa problematica.

Sviluppatori

• Ovviamente le stesse raccomandazioni elencate per gli utenti finali e i professionisti IT, e in aggiunta:
• Aggiornare i sistemi che vengono usati per sviluppare applicazioni con l’aggiornamento MS09-035 per Visual Studio.
• Valutare se i componenti e i controlli realizzati tramite l’uso della libreria ATL siano interessati da questo problema (in particolare verrà reso disponibile sul sito ICASI un servizio di scansione applicativa fornito da Verizon Business)
• Seguire le linee guida indicate nel bollettino MS09-035, nel Security Advisory e negli articoli MSDN per gli sviluppatori referenziati in basso per poter procedere alla correzione dei problemi, alla ricompilazione delle applicazioni e la loro ridistribuzione.

In questa occasione la produzione simultanea di informazioni a supporto dei clienti è stata davvero degna di nota e ho provveduto a raccogliervela qui di seguito:

• Pagina informativa principale “Protect your computer from the Active Template Library (ATL) security vulnerability” http://www.microsoft.com/security/atl.aspx
• Post del Microsoft Security Response Center (MSRC): Microsoft Security Advisory 973882, Microsoft Security Bulletins MS09-034 and MS09-035 Released
• Bollettino tecnico su Internet Explorer MS09-034
• Bollettino tecnico su Visual Studio MS09-035
• Security Advisory (KB973882)
• Articolo MSDN per sviluppatori: Resource article, Active Template Library security update and developers
• Post del blog SRD, Overview of the out-of-band release
• Post del blog SRD, ATL vulnerability developer deep dive
• Post del blog SRD, Internet Explorer Mitigations for ATL Data Stream Vulnerabilities
• Post del blog SRD, MSVIDCTL (MS09-032) and the ATL vulnerability
• Post del blog SRD, ATL, MS09-035 and the SDL
• Post del blog BlueHat, Security researcher perspective
• Channel 9 video, "Inside the ATL Security Update" developer guidance

Provvederò a tornare sull’argomento se sarà necessario aggiungere altri chiarimenti e dettagli.

A presto!

Feliciano