hit counter
Microsoft Security Advisory 2286198 sulla Windows Shell - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Microsoft Security Advisory 2286198 sulla Windows Shell

Microsoft Security Advisory 2286198 sulla Windows Shell

  • Comments 27
  • Likes

[English readers: you can find English links in this post for your convenience]

Durante il fine settimana il Microsoft Security Response Center (MSRC) ha comunicato il rilascio del “Microsoft Security Advisory (2286198) - Vulnerability in Windows Shell Could Allow Remote Code Execution” per segnalare la fase di analisi della vulnerabilità nella Windows Shell di tutte le versioni di Windows attualmente supportate (notate come manchi Windows XP SP2 e Windows 2000, per effetto del recente termine di supporto):

The Microsoft Security Response Center (MSRC) Blog: Security Advisory 2286198 Released

La vulnerabilità può essere sfruttata tramite l’uso di Shortcut modificati ad-hoc in modo da permettere l’esecuzione di codice arbitrario, ma nel contesto di sicurezza dell’utente loggato, quando un’applicazione (tipicamente Windows Explorer) opera la visualizzazione dell’icona che li accompagna.

Il Microsoft Malware Protection Center (MMPC) segnala che la vulnerabilità in questione è anche attualmente sfruttata come uno dei metodi di propagazione della famiglia di malware denominata Stuxnet (già correttamente rilevata dai vari software anti-malware Microsoft): da un lato questo malware provvede ad infettare tutti i drive USB connessi al sistema che è stato infettato, e dall’altro tali drive USB infetti possono a loro volta infettare nuovi sistemi operativi se l’AutoPlay è attivo (utile ricordare che in Windows 7 questa funzionalità è disabilitata) o se intenzionalmente si esplora la loro cartella di root.

MMPC Blog: The Stuxnet Sting

Come di consueto in caso di Security Advisory, l’invito è alla valutazione dei suggerimenti di protezione temporanei (“Workarounds”) in attesa che si completi la fase di analisi e si operi la relativa correzione.

Aggiornamento del 20/07/2010: a fronte di alcune richieste di chiarimento che ho ricevuto, vi aggiungo qualche dettaglio:

  • Il Security Advisory è stato aggiornato ieri nella sezione delle domande frequenti (FAQ) per chiarire meglio che Microsoft sta già realizzando l’aggiornamento di sicurezza.
  • Il primo workaround (quello che permette di disabilitare la visualizzazione delle icone degli shortcut) è totalmente protettivo rispetto al rischio di attacco. Il secondo workaround non è necessario se si implementa il primo, è solo una contromisura alternativa che rende meno automatico lo specifico scenario di attacco remoto tramite WebDAV.
  • Le policy sul ciclo di vita dei prodotti indicano che una volta scaduta la fase di supporto “Extended” (come nel caso di Windows 2000) non vengano più realizzati gli aggiornamenti di sicurezza, fermo restando la possibilità da parte di Microsoft di valutare deroghe specifiche in caso di particolari condizioni di rischio per gli utenti.

Aggiornamento del 21/07/2010:

  • Il Security Advisory è stato aggiornato:
    • per segnalare la disponibilità del Fix It che automatizza l’applicazione del primo workaround (quello che permette di disabilitare la visualizzazione delle icone degli shortcut)
    • per aggiungere un workaround che suggerisce di operare il blocco dei download da Internet dei file LNK e PIF (avendo cura di filtrarli anche se giungono attraverso il protocollo WebDAV). Aggiungo, per maggiore chiarezza, che la sezione delle domande frequenti (FAQ), relativamente alle modalità di attacco, segnala la possibilità di rischio anche in caso di navigazione su siti web e share di rete che ospitino lo shortcut modificato ad-hoc, e in caso di apertura di documenti (Microsoft Office e non solo) che possano includere shortcut e hosted browser control.

Aggiornamento del 30/07/2010:

Aggiornamento del 02/08/2010:

  • Microsoft ha pubblicato il bollettino MS10-046 con l’aggiornamento correttivo:

Feliciano

Other related posts/resources:

Comments
  • <p>Grandioso!</p> <p>I software li da voi li testate o siete troppo occupati a fare FUD e marketing?</p> <p>Calcolando che la maggiorparte della gente non aggiornerà in quanto ha il sistema pirata, prevedo un bel disastro in perfetto stile M$.</p> <p>Ah già... tanto ci vorranno 6 mesi epr evere la patch :)</p> <p>Buon divertimento</p>

  • <p>@RealENNECI: meno male che ci sei tu a vivacizzare i commenti di questo blog così triste (anche se, non me ne volere, rimpiango un po&#39; l&#39;affezionata GnoccaSenzaTesta... sai com&#39;è ;-))</p>

  • <p>@RealENNECI:</p> <p>Ma se la maggior parte della gente non aggiorna perchè ha Windows pirata cosa c&#39;entra MS?</p> <p>Ah già...volevi essere più bravo di loro a fare FUD!</p>

  • <p>@feliciano</p> <p>Dai non te la prendere, tanto siamo sempre alle solite.. tappate di qua, si buca di la...</p> <p>Almeno tra una battuta e l&#39;altra vivacizziamo l&#39;ambiene e la gente non ci pensa troppo :P</p> <p>A parte gli scherzi, dici che fra un paio di mesi sarà pronta la patch? ROTFL</p>

  • <p>Direi che è quasi ora di fare uscire &quot;almeno&quot; un fix it che implementi i workarounds possibili e li automatizzi (oltre a Microsoft molti altri non hanno le mani molto in pasta ai s.o.).</p> <p>Poi sarebbe bello capire come mai sistemi modernissimi come seven, sicuramente da installare subito al posto dei predecessori perchè moooooooooolto più sicuro, siano afflitti dalle stesse identiche vulnerabilità del buon vecchio w2k (talmente identiche da poter condividere gli stessi exploit e malware ....... la retrocompatibilità è sempre garantita).</p> <p>E sarebbe anche bello sapere se w2k sarà degnato di una patch anche se è appena uscito dal programma di mantenimento, ma è ancora impiegato felicemente su un gran numero di macchine, anche strategiche.</p>

  • <p>Scusate, ma windows 98 è anche affetto da questo bug? lo chiedo xche mi pare di capire che gira e rigira la base è sempre la stessa, cambia solo la grafica e il marketing che ci sta dietro!</p> <p>ROTFL... mega ROTFL</p>

  • <p>@Ialla63: è giusto, assolutamente opportuno il Fix It, lo sollecito. Lo hai detto tu stesso, per garantire (purtroppo aggiungo io) la retrocompatibilità, ci sono porzioni di codice comuni a tutte le versioni di Windows. Sulla patch per Windows 2000 ho scritto nel post: in prima battuta non credo che si realizzerà, ma mai dire mai...</p> <p>@RealENNECI: io non me la prendo, anzi, ma preferisci che faccia anch&#39;io qualche battuta nel risponderti o che ti ignori?</p>

  • <p>Usate il comand DIR del prompt DOS! Certe volte le vecchie abitudini tornano comode.</p>

  • <p>Ho applicato il Fixit automatico ma al riavvio non tutte le icone sono sparite..ad esempio è rimasta visibile Sticky notes,strumento ci cattura,paint,calcolatrice...succede solo a me?</p>

  • <p>@RealENNECI: Se il S.O. MS non ti piace, puoi sempre cambiare, mica ti costringe qualcuno. Per fortuna cambia moolto altro rispetto alla grafica e al marketing (che spesso non è all&#39;altezza), ma forse è più facile dar fiato alla bocca che cercare di capire.</p>

  • <p>@ANONIMO: Infatti uso altro, ci mancherebbe che mi faccio prendere per i fondelli da sti venditori di tappeti.</p> <p>Devo cercare di capire? si, senz&#39;altro, ma su tecnologie degne di questo termine!</p> <p>Detto ciò, visto che mi hanno costretto a comprare windows 7 abbinato a forza sul mio portatile, mi permetto di criticarli perchè in un paese libero è mio diritto scegliere se volere o no il sistema operativo.</p>

  • <p>@bondocks: perdona la domanda, ma è giusto per capire: sei sicuro che le icone che non sono diventate bianche siano relative a degli Shortcut? Nel frattempo verifico se qualcun&#39;altro ha riscontrato la stessa tua anomalia.</p>

  • <p>@Feliciano</p> <p>Si sono .ink ,ad esempio Paint che è %windir%\system32\mspaint.exe</p> <p>Grazie</p>

  • <p>Aggiornamento:</p> <p>giusto 30 secondi fa stavo navigando tranquillamente e improvvisamente tutte le icone sono sparite,comprese quelle della barra delle applicazioni (avevo dimenticato di dirlo prima).</p> <p>Sono perplesso :S</p>

  • <p>@bondocks: Uhmm... anch&#39;io! :-) Quindi vuoi dirmi che ora è tutto come dovrebbe essere (=tutte le icone degli shortcut sono bianche).</p>

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment