hit counter
A proposito della recente vulnerabilità 0-day in Windows: risposte a domande frequenti - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

A proposito della recente vulnerabilità 0-day in Windows: risposte a domande frequenti

A proposito della recente vulnerabilità 0-day in Windows: risposte a domande frequenti

  • Comments 4
  • Likes

[English readers: you can find English links in this post for your convenience]

Avrei preferito attendere il rilascio di un probabile Microsoft Security Advisory per potervi fornire dettagli precisi su questa vulnerabilità di cui credo abbiate letto in giro, ma ho deciso di anticiparvi questo post per fornire qualche chiarimento sia a coloro che mi hanno chiesto lumi in buona fede, sia a coloro che stanno approfittando di questa notizia per seminare il solito FUD (=paure, incertezze e dubbi)…

  1. Domanda: E’ possibile che Microsoft non sappia nulla?
    Risposta: Le fonti ufficiali di Microsoft rispetto alle informazioni di vulnerabilità sono le seguenti, in ordine di una tipica sequenza temporale:
    - Canale Twitter del Microsoft Security Response Center (MSRC) @MSFTSecResponse: segnalazioni di vulnerabilità pubbliche, PoC, exploit o attacchi in corso
    - Blog del Microsoft Security Response Center (MSRC): http://blogs.technet.com/b/msrc/ comunicazione di informazioni consolidate
    - Security Advisory: quando si avvisa di una importante problematica di sicurezza (non necessariamente solo su piattaforma Microsoft) e si fornisce una soluzione temporanea (Workaround) 
    - Bollettini di Sicurezza: quando si fornisce la soluzione correttiva finale, tipicamente un aggiornamento del software.
    Bene, su questa vulnerabilità pubblica l’MSRC ha twettato giovedì scorso, 25 novembre: per la mia esperienza, è probabile che si stia preparando un Security Advisory, ma lo si pubblicherà al termine della fase principale di investigazione per poter aggiungere le importanti informazioni che devono aiutare i clienti a proteggersi durante il processo di realizzazione e test della patch, ossia la lista completa dei prodotti interessati, i fattori mitiganti e i workaround. Prima di avere tutte queste informazioni da condividere è di poco aiuto scrivere solo di essere a conoscenza di una particolare vulnerabilità.
  2. D: e’ una vulnerabilità davvero così grave?
    R: essendo una vulnerabilità che coinvolge il kernel è indubbiamente una vulnerabilità seria, ma personalmente non mi sento di classificarla “gravissima” o “catastrofica” come ho letto in giro, per un semplice motivo: si tratta di una vulnerabilità di tipo Local Elevation of Privilege, quindi un exploit di cosiddetto “secondo livello”, nel senso che permette sì di far eseguire un codice con privilegi maggiori di quelli del semplice utente, ma questo codice deve essere già arrivato sul sistema grazie allo sfruttamento di un’altra vulnerabilità primaria (del sistema o per azione dell’utente che ha cliccato/scaricato qualcosa di pericoloso). Quindi il sistema su cui questo exploit ha effetto, è di fatto già stato compromesso in altro modo.
  3. D: la vulnerabilità dichiara di riuscire a bypassare la funzionalità di UAC (User Account Control), è davvero un breccia epocale nella sicurezza di Windows?
    R: probabilmente non ci sono più tra di voi gli affezionati lettori che mi seguivano nel lontano febbraio 2007: è da allora che si discute cercando di chiarire che l’UAC non è un security boundary, ossia non è l’implementazione di una vera e propria funzionalità di sicurezza in grado di schermare il sistema operativo dall’esecuzione di codice malware, quanto una importante funzionalità che spinge utenti e programmatori all’uso di utenze non privilegiate. Chi nel 2010 sembra ancora stupirsi della possibilità di bypassare l’UAC è semplicemente non ben documentato su cosa sia esattamente e non aggiornato rispetto agli sviluppi recenti che hanno dimostrato questa possibilità: ho aggiunto un paio di riferimenti in basso  che possono aiutare a colmare queste lacune.
  4. D: è una vulnerabilità che interessa anche le versioni Core dei sistemi operativi Windows Server?
    R: solo il Security Advisory o il Bollettino di Sicurezza potranno dare questa informazione con precisione, ma credo che possa comunque interessare anche queste versioni se la vulnerabilità verrà confermata come parte del kernel (win32k.sys).

Microsoft sta sicuramente lavorando per investigare e risolvere la vulnerabilità nel modo più rapido ed efficace possibile, controllando allo stesso tempo l’evoluzione dello scenario di rischio e di attacchi (che al momento in cui scrivo non esistono): tutto verrà sempre fatto per tutelare la protezione degli utenti e allo stesso tempo sviluppare il miglior aggiornamento possibile (=quello che crea meno problemi possibili di compatibilità applicativa). I tempi di rilascio, che sembrano essere il solito ritornello a cui si aggrappa chi vuole fare del sensazionalismo per far notizia, sono semplicemente il risultato di questo particolare e delicato equilibrio.

Feliciano

Other related posts/resources:

Comments
  • :-) anche se forse sarebbe più corretto :-| ... che poi per colpa di certa "gente" bisogna sempre "sprecare tempo" a correggere problemi di sicurezza altrimenti ti rubano tutto, la faccina diventerebbe :-(

    Nel mondo che vorrei non ci sono virus, ma solo buone briosche :-) (Ok, scusa, ma sono a fine giornata e oggi abbiamo fatto mooolto!)

    Buon lavoro e grazie per le info. Mi sono iscritto sul canale Twitter da te citato.

  • @Patrick: nel mondo reale i virus colpiscono solo uindous... get the facts!

  • @RealENNECI: non sono PER NIENTE d'accordo, i virus non sono solo per uindous (sinceramente ci ho messo un paio di secondi per capire), ma colpiscono tutti gli UTONTI... dagli in mano anche una tavoletta grafica e trovano il modo di prendersi virus o fare casino anche lì.

  • @Patrick: Sono d'accordo in parte, è vero quello che dici, ma cmq il sistema che ci sta sotto non offre abbastanza sicurezza, e questo è un dato di fatto.

    Avrà sicuramente dei vantaggi, ma da quel punto di vista non ci siamo proprio... d'altronde.. come farebbero le software house che producono antivirus? a buon intenditore...

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment