hit counter
Rilascio straordinario di sicurezza Microsoft del 28 luglio 2009: prime indicazioni e raccomandazioni - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Rilascio straordinario di sicurezza Microsoft del 28 luglio 2009: prime indicazioni e raccomandazioni

Rilascio straordinario di sicurezza Microsoft del 28 luglio 2009: prime indicazioni e raccomandazioni

  • Comments 9
  • Likes

Eccomi qui, come anticipato, a spiegarvi il rilascio straordinario appena pubblicato di questi due bollettini Microsoft (MS09-034 e MS09-035) e del relativo “Microsoft Security Advisory (973882) - Vulnerabilities in Microsoft Active Template Library (ATL) Could Allow Remote Code Execution”.

Come suggerisce il titolo dell’Advisory, le vulnerabilità di cui parliamo sono presenti nell’ Active Template Library (ATL), una libreria di classi C++ a disposizione degli sviluppatori di applicazioni per semplificare la programmazione di oggetti COM. Dal momento che gli oggetti COM più noti e i più comuni sono i controlli ActiveX, li userò come esempio per chiarire il problema. Supponiamo che uno sviluppatore abbia scritto un controllo ActiveX da usare in una sua applicazione e per farlo abbia usato la libreria ATL (come una sorta di mattoncini Lego), nella modalità che introduce il problema: a questo punto l’ActiveX che lui ha scritto e che ha distribuito ai suoi clienti è vulnerabile secondo le classiche modalità di attacco via web. Come vi ho sempre raccontato in questo blog quando vi ho documentato le vulnerabilità relative ad Internet Explorer, è possibile a questo punto che un utente, sul cui PC sia presente tale ActiveX vulnerabile, navigando su una pagina web artefatta ad hoc, riesca ad essere vittima di un attacco capace di far eseguire del codice non autorizzato sul proprio computer (esempio: virus/trojan), in grado di agire (e fare danni) in modo proporzionale ai suoi privilegi (utente amministratore del suo PC=pieni poteri=rischio maggiore).

Questo scenario chiarisce il perché di un rilascio straordinario al di fuori del normale processo mensile di aggiornamento: data la situazione non è possibile sapere a priori quali ActiveX presenti in circolazione siano vulnerabili o meno, dal momento che possono esserlo tutti quelli realizzati usando la libreria ATL e nel modo pericoloso che ha generato questi problemi. E’ importante ribadire che le informazioni su queste vulnerabilità sono state comunicate a Microsoft in modo responsabile e che gli unici attacchi di cui si è a conoscenza relativi a questa tipologia di vulnerabilità sono quelli che sono stati già indirizzati dal bollettino MS09-032 emesso lo scorso 14 luglio.

Se il problema appare complesso e di ampio impatto, altrettanto ricco e strutturato è stato lo sforzo Microsoft per proteggere i clienti nel modo più completo possibile, e questo è stato fatto operando essenzialmente in due direzioni:

  1. Migliorare la protezione a disposizione di tutti gli utenti finali di fronte a questa tipologia di vulnerabilità: questo è stato fatto con l’introduzione di miglioramenti ad Internet Explorer tramite il bollettino MS09-034, che a questo punto va considerato un MUST-HAVE, un bollettino assolutamente necessario per tutte le versioni di Windows (tranne Windows 7 che non è interessato da queste vulnerabilità).
  2. Supportare gli sviluppatori di applicazioni nel poter capire quali componenti da loro sviluppati siano interessati da questo problema e come correggere tali problemi.

Queste le raccomandazioni distinte per tipologia di utenti:

Utenti finali

  • Assicurarsi di aver abilitato il meccanismo degli Aggiornamenti Automatici di Windows (e degli altri prodotti, ove possibile) in modo da ricevere e installare automaticamente gli aggiornamenti che servono (in prima battuta, il fondamentale MS09-034).
  • Se possibile, aggiornare Internet Explorer alla versione 8, in virtù del maggior livello di protezione offerto da questa versione.

Professionisti IT

  • Installare l’aggiornamento MS09-034
  • Assicurarsi che tutti i prodotti di altri fornitori siano adeguatamente aggiornati (e vengano aggiornati appena possibile, se contengono componenti vulnerabili)
  • Assicurarsi che gli sviluppatori siano a conoscenza di questa problematica.

Sviluppatori

  • Ovviamente le stesse raccomandazioni elencate per gli utenti finali e i professionisti IT, e in aggiunta:
  • Aggiornare i sistemi che vengono usati per sviluppare applicazioni con l’aggiornamento MS09-035 per Visual Studio.
  • Valutare se i componenti e i controlli realizzati tramite l’uso della libreria ATL siano interessati da questo problema (in particolare verrà reso disponibile sul sito ICASI un servizio di scansione applicativa fornito da Verizon Business)
  • Seguire le linee guida indicate nel bollettino MS09-035, nel Security Advisory e negli articoli MSDN per gli sviluppatori referenziati in basso per poter procedere alla correzione dei problemi, alla ricompilazione delle applicazioni e la loro ridistribuzione.

In questa occasione la produzione simultanea di informazioni a supporto dei clienti è stata davvero degna di nota e ho provveduto a raccogliervela qui di seguito:

Provvederò a tornare sull’argomento se sarà necessario aggiungere altri chiarimenti e dettagli.

A presto!

Feliciano

Comments
Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment