hit counter
Microsoft Security Advisory 2963983 su Internet Explorer (0day): prestate attenzione! - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Microsoft Security Advisory 2963983 su Internet Explorer (0day): prestate attenzione!

Microsoft Security Advisory 2963983 su Internet Explorer (0day): prestate attenzione!

  • Comments 5
  • Likes

[English readers: you can find English [EN] links in this post for your convenience]

[Questo post è stato aggiornato, dettagli in rosso nel post e riepilogati in fondo]

------------------------------

Aggiornamento del 1° maggio 2014: è stato da poco pubblicato (ore 19:00) il bollettino di sicurezza straordinario (Out-of-Band) MS14-021 che risolve la vulnerabilità in oggetto:

Microsoft Security Bulletin MS14-021 - Security Update for Internet Explorer (2965111)

Nota importante: è stata presa la decisione di fornire anche l’aggiornamento per i sistemi Windows XP SP3, nonostante la ben nota situazione di fine supporto avvenuta lo scorso 8 aprile 2014.

Questo il mio post sul bollettino straordinario, con ulteriori risorse di approfondimento:

Pubblicato il bollettino straordinario MS14-021 su Internet Explorer relativo al Microsoft Security Advisory 2963983 (anche per Windows XP)

------------------------------

Credo siate già a conoscenza del rilascio del seguente Advisory che segnala la conoscenza di una vulnerabilità (la CVE-2014-1776) che interessa tutte le versioni di Internet Explorer (da IE6 a IE11) e che risulta essere già sfruttata da alcuni attacchi, anche se mirati:

Microsoft Security Advisory 2963983 - Vulnerability in Internet Explorer Could Allow Remote Code Execution

Oltre a segnalarvi le diverse risorse utili per l’approfondimento che vi riporto in fondo al post, volevo spendere due parole per provare a inquadrare lo scenario di rischio, anche visto il livello di attenzione e clamore che vedo aumentare sui media.

Iniziamo con il chiarire che non si tratta di una vulnerabilità diversa da altre che hanno afflitto in passato Internet Explorer: è una classica vulnerabilità di tipo Remote Code Execution, ossia che permetterebbe, se sfruttata, di far eseguire del codice non autorizzato nel contesto di sicurezza dell’utente loggato, ed è, quindi, tanto più pericolosa quanto più elevati sono i privilegi dell’utente >> ne deriva una prima raccomandazione su una best practice di protezione poco seguita, quella di utilizzare un utente normale non-Administrator per l’utilizzo ordinario del PC, in particolare per la navigazione su Internet, e di lasciare nel cassetto l’utenza amministrativa per recuperarla laddove serva installare nuovi programmi.

Conosco fior di grandi aziende italiane che concedono ancora questo pericoloso benefit ai propri utenti, rimanere Administrator dei propri PC. Ancor più ampio è l’impatto per noi utenti finali nell’uso del PC a casa: dite la verità, quanti di voi hanno applicato questa best practice di creare un utente normale dopo aver comprato il PC, che nasce, necessariamente, con una utenza dotata di diritti amministrativi? Credo nessuno… Vi consiglio di farlo, non costa nulla!

Vista che si tratta di una vulnerabilità classica, cosa la rende così particolare?

L’aspetto più eclatante e che i media stanno ovviamente cavalcando è che si tratta della prima vulnerabilità nota la cui patch correttiva, quando sarà completata, non verrà resa pubblicamente disponibile per la piattaforma Windows XP, a meno di decisione straordinaria. Quest’ultima precisazione è doverosa perché Microsoft si riserva sempre la possibilità di rilasciare una patch correttiva per un prodotto fuori supporto se questo possa servire a proteggere gli utenti nel caso di minaccia critica e conclamata su scala mondiale: ma è questo il caso della vulnerabilità in oggetto? Direi proprio di no, almeno per il momento: si è a conoscenza di attacchi, ma sono limitati e mirati ad obiettivi specifici per ora, l’exploit noto sembra indirizzare solo le versioni di IE più recenti (da IE9 a IE11).

E’ proprio quest’ultimo aspetto che, a mio parere, rende questa vulnerabilità degna di attenzione: il fatto che interessi anche le più recenti versioni di IE e che richieda delle azioni per potersi proteggere in attesa che venga rilasciata la patch correttiva anche a coloro che si ritrovano con l’accoppiata Windows+IE più aggiornata, ossia Windows 8.1 (con Update) e IE11. Suggerisco quindi vivamente di seguire le raccomandazioni dei workaround di protezione segnalati nel Security Advisory e negli altri post che vi riporto, in particolare quello del Microsoft Security Research & Defense (Aggiornamento: preferibile il secondo post pubblicato dal Microsoft Security Research & Defense, più dettagliato) che è facile ed utilizzabile anche da utenti non tecnici: abilitate l“Enhanced Protected Mode (EPM)” (Aggiornamento: abilitare l’EPM protegge solo se la versione di Internet Explorer è a 64bit), che è disponibile in IE10 e IE11 nelle impostazioni di configurazione della versione desktop di IE alla voce “Internet Options” (dal menù Tools/Strumenti che vi appare cliccando il tasto ALT); purtroppo questa modalità è abilitata di default solo per la versione Modern di IE10/11 e va quindi abilitata esplicitamente per la versione desktop se, come me, la usate spesso: ricordate che serve riavviare il PC per rendere effettive le modifiche di questi parametri.

(Aggiornamento: per lo snapshot delle due viste diverse in IE10 e IE11 raccomando la consultazione del secondo post pubblicato dal Microsoft Security Research & Defense)

In ambito aziendale, per i client su versioni più datate di IE, ed in particolare per quelli ancora su Windows XP SP3 che, come dicevamo, non potranno purtroppo contare su una patch correttiva, si suggerisce l’installazione dell’ Enhanced Mitigation Experience Toolkit (EMET). (Aggiornamento: come spiegato dal collega Andrea Piazza [MSFT] nei commenti del post, è bene seguire le nuove indicazioni del post SRD per le versioni EMET utili alla protezione (4.0, 4.1 e 5.0 TP), e alla relativa modalità di implementazione. Aggiornamento:  per una lista completa dei workaround a disposizione, e la scelta migliore per il proprio ambiente, raccomando la consultazione del secondo post pubblicato dal Microsoft Security Research & Defense)

Un commento rispetto alla raccomandazione, che ritengo pretestuosa, di chi sta suggerendo l’uso di un browser alternativo per proteggersi: forse potrebbe essere comprensibile se ci limitassimo a considerare solo il rischio di questa singola specifica vulnerabilità per utenti su sistemi datati che non fossero in grado di implementare i workaround proposti, ma non se considerassimo, più correttamente, l’approccio completo di protezione rispetto alle diverse minacce a cui gli utenti sono esposti. A questo riguardo è ben documentato come Internet Explorer sia di gran lunga il browser più sicuro (vedasi, ad esempio, l’ultimo report di NSS Labs “Browser Security Comparative Analysis Report - Socially Engineered Malware”). 

Eccovi i link alle principali risorse di approfondimento:

Risorse ufficiali Microsoft:

Risorse non Microsoft

------------------------------

Aggiornamento del 29 aprile 2014: il Security Advisory 2963983 è stato aggiornato per chiarire meglio i workaround di protezione disponibili e in particolare per spiegare che sono tutti alternativi:
V1.1 (April 29, 2014): Updated advisory to clarify workarounds to help prevent exploitation of the vulnerability described in this advisory. See Advisory FAQ for details. 

------------------------------

Aggiornamento del 30 aprile 2014: pubblicato un nuovo post SRD con maggiori dettagli sulle modalità di protezione:

Security Research & Defense » Protection strategies for the Security Advisory 2963983 IE 0day

------------------------------

Aggiornamento del 1° maggio 2014: è stato da poco pubblicato (ore 19:00) il bollettino di sicurezza straordinario (Out-of-Band) MS14-021 che risolve la vulnerabilità in oggetto:

Microsoft Security Bulletin MS14-021 - Security Update for Internet Explorer (2965111)

Nota importante: è stata presa la decisione di fornire anche l’aggiornamento per i sistemi Windows XP SP3, nonostante la ben nota situazione di fine supporto avvenuta lo scorso 8 aprile 2014.

Questo il mio post sul bollettino straordinario, con ulteriori risorse di approfondimento:

Pubblicato il bollettino straordinario MS14-021 su Internet Explorer relativo al Microsoft Security Advisory 2963983 (anche per Windows XP)

------------------------------

Feliciano

@felicianointini (mostly in Italian – technical & non technical tweets)

@NonSoloSecurity (English only – technical only)

Other related posts/resources:

Comments
  • L'uso di EMET 4.1 è alternativo all'EPM o sono necessari entrambi?

  • Come indicato nel blog SRD, sono due workaround alternativi per la protezione. Sono ovviamente diversi per l'impatto che possono avere sulle applicazioni e la navigazione, e disponibili in modo diverso (EPM solo IE10/IE11).

  • Un chiarimento su EMET:
    - le versioni di EMET efficaci nel mitigare l'attacco sono le versioni 4.0, 4.1, 5.0 Technical Preview
    - EMET va opportunamente configurato per essere efficace. in questa situazione rispetto alla configurazione di default. In particolare devono essere attive tutte le misure di mitigazione di EMET sul processo Internet Explorer, e deve essere abilitato Deep Hooks

  • Grazie Andrea, ho aggiornato il post con la tua precisazione

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment