Analisi di rischio dei bollettini di sicurezza di Settembre e nuovo security advisory

re: Analisi di rischio dei bollettini di sicurezza di Settembre e nuovo security advisory

Roberto — Tue, 11 May 2010 16:09:17 GMT

Ciao Feliciano,

Leggendo la MS09-037 non si capisce bene se aggiorni solo le componenti core di Windows. Mi spiego. Ammettiamo di aver passato già in azienda la MS09-034 e MS09-035, e che tutto funzioni, passando la MS09-037 devo temere che COM sviluppate da terze parti e che utilizzando le ATL non funzionino più bene?

Leggendo infatti i componenti che aggiorna la MS09-037 c'è anche la libreria "atl.dll"....e quindi non vorrei che ci fossero problemi?

Ti risulta? Dobbiamo controllare tutte le applicazioni prima di passare questa patch? Oppure andiamo tranquilli?

grazie

re: Analisi di rischio dei bollettini di sicurezza di Settembre e nuovo security advisory

Microsoft Italy PCfSV2 Team — Wed, 16 Sep 2009 00:07:25 GMT

@Microsoft Security:

Il commento che ho scritto in risposta a Fabio si riferiva al bollettino MS09-048, non al security advisory su SMBv2.

Ricordo che 2008 R2 e Windows 7 RTM non sono vulnerabili, mentre lo è Windows 7 Release Candidate.

Infine, non consiglierei di disabilitare il servizio Server su un server (salvo casi particolari, come quelli di un Web Server esposto su Internet).

Andrea

re: Analisi di rischio dei bollettini di sicurezza di Settembre e nuovo security advisory

Fabio Donninelli — Fri, 11 Sep 2009 16:09:21 GMT

Grazie, nel frattempo avevo visto che il bollettino era stato aggiornato. E meno male che la vulnerabilità che permette l'esecuzione di codice su XP non c'è, le altre due sono diciamo meno gravi.

re: Analisi di rischio dei bollettini di sicurezza di Settembre e nuovo security advisory

Microsoft Security — Fri, 11 Sep 2009 12:23:46 GMT

La vulnerabilità interessa il protocollo Microsoft SMBv2, presente sui sistemi Windows Vista e le versioni superiori (Vista, Win7, 2008, 2008 R2). Windows XP/2003/2000 utilizza SMBv1 che non è vulnerabile a questo tipo di attacco. Quindi con o senza firewall sui sistemi precedenti a Vista la vulnerabilità non si applica!

Il driver SRV2.SYS manderebbe la macchina addirittura in dump quando la vittima riceve nel header SMB una richiesta di negoziazione NEGOTIATE PROTOCOL REQUEST malformata. Nella schermata blu BSOD, esce il seguente errore:

PAGE_FAULT_IN_NONPAGED_AREA error

Se il client (Vista o superiore) ha il firewall attivo senza eccezioni al File Sharing allora non sei vulnerabile, se invece il tuo Firewall è disattivato molto probabilmente sei vulnerabile. C'è un modo per disattivare SMB completamente anche se hai il firewall spento! Services -> Stop il servizio SERVER

re: Analisi di rischio dei bollettini di sicurezza di Settembre e nuovo security advisory

Microsoft Italy PCfSV2 Team — Fri, 11 Sep 2009 11:16:35 GMT

Ciao Fabio, ho risposto alla tua domanda nell'aggiornamento del blog di ieri sera. Windows XP è potenzialmente vulnerabile nel momento in cui presenta un servizio in listening. Se il firewall è disattivo, il sistema è vulnerabile. Se il firewall è attivo, il sistema è vulnerabile solo se è stata configurata un eccezione per quel servizio.

Spero di aver chiarito il dubbio.

Andrea

re: Analisi di rischio dei bollettini di sicurezza di Settembre e nuovo security advisory

Fabio Donninelli — Thu, 10 Sep 2009 11:54:32 GMT

Una domanda: relativamente al bollettino MS09-048, non ho capito se XP è vulnerabile o no. Leggendo, si parla del fatto che XP non è vulnerabile nella configurazione di default, che se non ho capito male è quella con il firewall attivo e senza servizi in ascolto. Ma se il firewall è disattivato e ci sono servizi in ascolto è vulnerabile? Questo punto non è chiaro, e non è chiarito neanche nel post sul Security Research & Defense blog.