hit counter
Analisi di rischio dei bollettini di sicurezza di Settembre e nuovo security advisory - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Analisi di rischio dei bollettini di sicurezza di Settembre e nuovo security advisory

Analisi di rischio dei bollettini di sicurezza di Settembre e nuovo security advisory

  • Comments 6
  • Likes

[Aggiornamento del 10-09-2009]

Credo sia utile integrare le informazioni pubblicate ieri con un’importante novità relativa al bollettino MS09-048. Nella versione originale del bollettino, Windows XP era menzionato tra i sistemi non interessati dalle vulnerabilità. Nelle FAQ era però specificato che XP non è vulnerabile nella configurazione di default; risulta però esposto a due delle tre vulnerabilità (nello specifico a quelle di Denial of Service), nel momento in cui nel firewall di XP è configurata un’eccezione per un servizio in listening.

In definitiva quindi se su Windows XP è presente un servizio in listening per il quale è stata configurata un’eccezione nel Windows Firewall (o, a maggior ragione, se il firewall è disabilitato) il sistema operativo risulta esposto a due vulnerabilità di tipo Denial of Service.

Il bollettino è stato quindi aggiornato per correggere l’incongruenza iniziale e Windows XP è stato incluso tra i sistemi interessati.

E il relativo aggiornamento di sicurezza, chiederete? Una serie di considerazioni ha portato alla decisione di non rilasciare un aggiornamento per XP:

  • Di default, Windows XP non ha alcun servizio in listening configurato sul firewall di Windows
  • L’attacco di tipo Denial of Service richiede l’invio di un flusso sostenuto di pacchetti TCP opportunamenti malformati, e il sistema, nel momento in cui questo flusso viene interrotto, ripistina il normale funzionamento.
  • La vulnerabilità è insita nel protocollo TCP/IP, e gli aggiornamenti forniti non rimuovono completamente la vulnerabilità, ma consentono di mantenere il sistema funzionante il più a lungo possibile durante un attacco
  • La vulnerabilità di tipo Denial of Service può essere ulteriormente mitigata dall’uso di NAT o di server che effettuano reverse proxy

Queste argomentazioni sono dettagliate anche nel post di commento al webcast mensile sui security bulletin pubblicato poco fa sul blog di MSRC.

Andrea

[Post del 9-9-2009]

L’emissione dei bollettini di sicurezza Microsoft di questo mese è caratterizzata dal rilascio di 5 bollettini critici, che risolvono in totale 8 vulnerabilità, di cui solamente una pubblica (in MS09-048).

image

I primi 2 bollettini (MS09-045 e MS09-046) sono sostanzialmente sovrapponibili in termini di fattori di rischio: per entrambi la vulnerabilità è di tipo remote code execution, l’exploit è possibile via web, e i privilegi ottenibili sono pari a quelli dell’utente collegato .

Differente è invece il componente interessato (JScript in MS09-045, il controllo ActiveX DHTML Editing in MS09-046) e diversi sono i sistemi operativi interessati (fate riferimento alla pagina riepilogativa per i bollettini del mese di settembre per tutti i dettagli). L’exploitability index è pari a 1 per il primo bollettino, 2 per il secondo.

Il bollettino MS09-047 risolve due vulnerabilità in Windows Media Format e presenta fattori di rischio legati all’apertura di file multimediali (nello specifico di tipo MP3, ASF, WMV, WMA). In questo caso l’exploitability index è pari a 1, e sono impattate tutte le piattaforme client (eccetto Windows 7) e server (eccetto 2008R2, 2008 Server Core e 2003/2008 su Itanium).

Il bollettino MS09-048, relativo a TCPIP, è quello destinato probabilmente a destare la maggiore attenzione, dal momento che purtroppo non è stato possibile rilasciare un aggiornamento di sicurezza per Windows 2000, che come potete vedere dalla tabella, è tra i sistemi vulnerabili; il motivo è legato al fatto che l’architettura necessaria a fornire protezione dalle vulnerabilità in questione non è presente in Windows 2000 e non è implementabile senza andare ad impattare in modo significativo la compatibilità con il resto del sistema operativo.

Chiaramente si tratta di un messaggio non facilmente accettabile; occorre tener presente che Windows 2000 è impattato “solo” dalle vulnerabilità di tipo Denial of Service, e con un indice di Exploitability pari a 3.

Al momento l’approccio migliore che si può seguire per proteggere i sistemi Windows 2000  è quello di implementare delle misure difensive a livello di rete per impedire potenziali attacchi (IPS, filtering delle connessioni IP tramite il tab Advanced TPC/IP filtering della connessione di rete).

Per tutti gli altri sistemi operativi il bollettino risolve 3 vulnerabilità (la più grave, di tipo Remote Code Execution, riguarda Vista e 2008).

L’ultimo bollettino, MS09-049, impatta il nuovo servizio Wireless LAN Autoconfig introdotto in Windows Vista e 2008 e risolve una vulnerabilità sfruttabile tramite una connessione wireless. Ne consegue che i sistemi principalmente a rischio sono i laptop con Windows Vista.

E’ stato aggiornato il bollettino MS09-037 relativo ad ATL per rendere disponibile un’aggiornamento di sicurezza per il controllo ActiveX HTMLInput (sono impattati Vista e Windows XP Media Center 2005).

In nottata è stato pubblicato il security advisory 975497 per investigare una nuova vulnerabilità in SMBv2; i dettagli della vulnerabilità e il codice dettagliato di exploit sono stati resi noti lunedì 7 settembre. Si tratterebbe di una vulnerabilità in Vista e Windows Server 2008, in grado di dar luogo a un Denial of Service (riavvio del sistema) o, più raramente, a una Remote Code Execution. Il workaround attualmente suggerito consiste nel bloccare le possibilità di accesso alle porte 139 e 445, o nel disabilitare il procollo SMBv2.

Lo strumento gratuito di rimozione di malware, il Malicious Software Removal Tool (MSRT), il cui download viene abitualmente proposto agli utenti in occasione del rilascio dei bollettini di sicurezza, questo mese aggiunge le seguenti famiglie di malware alla lista di rilevamento:

Andrea

Altri post/risorse correlate:

Comments
  • Una domanda: relativamente al bollettino MS09-048, non ho capito se XP è vulnerabile o no. Leggendo, si parla del fatto che XP non è vulnerabile nella configurazione di default, che se non ho capito male è quella con il firewall attivo e senza servizi in ascolto. Ma se il firewall è disattivato e ci sono servizi in ascolto è vulnerabile? Questo punto non è chiaro, e non è chiarito neanche nel post sul Security Research & Defense blog.

  • Ciao Fabio, ho risposto alla tua domanda nell'aggiornamento del blog di ieri sera. Windows XP è potenzialmente vulnerabile nel momento in cui presenta un servizio in listening. Se il firewall è disattivo, il sistema è vulnerabile. Se il firewall è attivo, il sistema è vulnerabile solo se è stata configurata un eccezione per quel servizio.

    Spero di aver chiarito il dubbio.

    Andrea

  • La vulnerabilità interessa il protocollo Microsoft SMBv2, presente sui sistemi Windows Vista e le versioni superiori (Vista, Win7, 2008, 2008 R2). Windows XP/2003/2000 utilizza SMBv1 che non è vulnerabile a questo tipo di attacco. Quindi con o senza firewall sui sistemi precedenti a Vista la vulnerabilità non si applica!

    Il driver SRV2.SYS manderebbe la macchina addirittura in dump quando la vittima riceve nel header SMB una richiesta di negoziazione NEGOTIATE PROTOCOL REQUEST malformata. Nella schermata blu BSOD, esce il seguente errore:

    PAGE_FAULT_IN_NONPAGED_AREA error

    Se il client (Vista o superiore) ha il firewall attivo senza eccezioni al File Sharing allora non sei vulnerabile, se invece il tuo Firewall è disattivato molto probabilmente sei vulnerabile. C'è un modo per disattivare SMB completamente anche se hai il firewall spento! Services -> Stop il servizio SERVER

  • Grazie, nel frattempo avevo visto che il bollettino era stato aggiornato. E meno male che la vulnerabilità che permette l'esecuzione di codice su XP non c'è, le altre due sono diciamo meno gravi.

  • @Microsoft Security:

    Il commento che ho scritto in risposta a Fabio si riferiva al bollettino MS09-048, non al security advisory su SMBv2.

    Ricordo che 2008 R2 e Windows 7 RTM non sono vulnerabili, mentre lo è Windows 7 Release Candidate.

    Infine, non consiglierei di disabilitare il servizio Server su un server (salvo casi particolari, come quelli di un Web Server esposto su Internet).

    Andrea

  • Ciao Feliciano,

    Leggendo la MS09-037 non si capisce bene se aggiorni solo le componenti core di Windows. Mi spiego. Ammettiamo di aver passato già in azienda la MS09-034 e MS09-035, e che tutto funzioni, passando la MS09-037 devo temere che COM sviluppate da terze parti e che utilizzando le ATL non funzionino più bene?

    Leggendo infatti i componenti che aggiorna la MS09-037 c'è anche la libreria "atl.dll"....e quindi non vorrei che ci fossero problemi?

    Ti risulta? Dobbiamo controllare tutte le applicazioni prima di passare questa patch? Oppure andiamo tranquilli?

    grazie

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment