Da membro dell’Industry Consortium for Advancement of Security on the Internet (ICASI), Microsoft è lieta di presentare un set iniziale di aggiornamenti mensili – rilasciati originariamente l’8 Maggio – nel nuovo formato Common Vulnerability Reporting Framework (CVRF). Venerdì 18 Maggio ICASI ha rilasciato la versione 1.1 del suo CVRF – un sistema di markup progettato per rendere i bollettini e gli advisory di sicurezza machine-readable e in formato standard.
Sebbene molti vendor hanno seguito Microsoft nel rilasciare aggiornamenti di sicurezza in maniera estremamente dettagliata, i formati utilizzati sono svariati. CVRF fornisce un modo di condividere e presentare i dati in modo coordinato e strutturato.
CVRF è un formato gratuito L’obiettivo è di costruire un framework data-markup che può essere utilizzato da chi pubblica o esamina aggiornamenti di sicurezza su Internet.
CVRF è un progetto in continuo sviluppo. Per molti utenti, un framework machine-readable per gli aggiornamenti di sicurezza può non essere una necessità. Per esempio, gli utenti home o small business, in genere, scelgono di installare gli aggiornamenti di sicurezza in maniera automatica. Molti utenti business, però, copiano manualmente il contenuto dei nostri aggiornamenti di sicurezza nei loro sistemi di risk management, in fogli di calcolo e in email di notifica come parte del loro processo di sicurezza. Questo nuovo formato può automatizzare e rendere più efficiente questi processi, velocizzando il processo di protezione degli utenti, che è da sempre il nostro obiettivo.
Per gli utenti che non hanno bisogno di automazione, contiuneremo ad offrire i bollettini nel formato tradizionale. Per gli utenti, invece, che vogliono automatizzare e ottimizzare il loro processo di gestione della sicurezza, o per i semplici curiosi, è possibile visitare il portale Connect per avere maggiori informazioni su CVRF ed esaminare i bollettini di Maggio in questo formato. Il link per accedere al portale è https://connect.microsoft.com/ (é necessario un Windows Live ID per effettuare il login). Una volta effettuato l’accesso, utilizzare il codice d’invito cvrf-9BK8-6W2T per accedere al programma, o visitare direttamente questo sito.
Il vostro feedback verrà reindirizzato al working group di ICASI, di cui Microsoft è membro. Il nostro scopo è rendere CVRF uno standard robusto e collaborativo.
Gerardo Di GiacomoSecurity Program Manager - MSRC
Pochi minuti fa è stata rilasciata una nuova versione dell'Enhanced Mitigation Experience Toolkit (EMET), EMET 3.0. EMET è un'utility gratuita che aiuta a mitigare lo sfruttamento di vulnerabilità software che risultano nell'esecuzione di codice arbitrario, dando agli utenti la possibilità di includere le ultime tecnologie difensive in specifiche applicazioni. Il risultato è che il software protetto da EMET è reso nettamente più resistente ad eventuali attacchi, anche in caso di vulnerabilità 0day e per le quali non esiste una patch.
Questa nuova versione introduce nuove funzionalità, risultato di feedback ricevuti dagli utenti:
In aggiunta, EMET 3.0 introduce ulteriori miglioramenti e bugfix. Uno di questi, è la possibilità di utilizzare EMET in Windows 8. I test effettuati su Windows 8 Consumer Preview rendono EMET adatto a tutte le versioni supportate di Windows. È inoltre possibile aggiornare EMET dalla versione 2.1 senza ulteriori configurazioni: le regole valide per EMET 2.1 sono compatibilit con la versione 3.0. Infine, EMET è un tool Microsoft supportato ufficialmente: il Microsoft's Customer Service & Support team offre un forum di supporto disponibile a questo indirizzo.
Maggiori informazioni tecniche sono disponibili nel blog post scritto da Suha Can del MSRC Engineering team e nella Guida Utente distribuita nel pacchetto d'installazione.
Vi siete mai chiesti perché i bollettini raggruppano più di un problema? Oppure un set di prodotti e non un altro? Oggi Jonathan Ness ha postato un interessante articolo sul Security Research & Defense (SRD) blog che fornisce dettagli sulle decisioni fatte dietro il bollettino MS12-034. Si tratta di un caso particolarmente interessante e particolare, che vale la pena di descrivere, e che dà ai lettori maggiori dettagli su come i bollettini vengono gestiti qui in Microsoft.
Poco fa sono stati rilasciati sette aggiornamenti, tre Critici e quattro Importanti, che correggono 23 vulnerabilità in Microsoft Windows, Office, Silverlight e .NET Framework. Se non vi è possibile installare tutti gli aggiornamenti, cosa che incoraggiamo come ogni mese, vi suggeriamo di prioritizzare due dei tre aggiornamenti Critici:
Di seguito, la tabella che mostra la nostra priorità degli aggiornamenti:
Mentre la tabella con l'aggregato di rischio, impatto ed exploitability index è la seguente:
Maggiori informazioni sono disponibili alla pagina Riepilogo dei bollettini Microsoft sulla sicurezza.
Durante l'investigazione riguardo il leak di dati confidenziali condivisi con i nostri partner del Microsoft Active Protection Program (MAPP), abbiamo riscontrato che un membro del programma, Hangzhou DPTech Technologies Co., Ltd., ha violato il nostro non-disclosure agreement (NDA). A conseguenza di ciò, questo partner non è più membro del programma MAPP.
Inoltre, a cominciare da questo mese, abbiamo incrementato i controlli attuali e preso provvedimenti per proteggere ulteriormente le nostre informazioni. Crediamo che questi miglioramenti aiuteranno a proteggere le nostre informazioni in maniera più efficace, e allo stesso tempo non lederanno la protezione degli utenti finali. Per maggiori dettagli su come MAPP fornisce informazioni fondamentali per chi sviluppa tecnologie di difesa, fare riferimento a questo articolo scritto dal team dietro MAPP.
Pochi minuti fa abbiamo pubblicato l'advance notification per i bollettini di Maggio 2012, in programma per il rilascio martedì 8. La release di questo mese è composta da 7 aggiornamenti, che correggono 23 vulnerabilità in Microsoft Windows, Office, Silverlight e .NET Framework. Come al solito, gli aggiornamenti e i relativi bollettini verranno rilasciati intorno alle 19.
Raccomandiamo di visionare l'ANS per avere maggiori informazioni e per prepararsi a testare e installare gli aggiornamenti il prima possibile.
Inoltre, il solito Webcast del mercoledì avverrà il 9 Maggio alle ore 20, presentato da Dustin Childs e Pete Voss. Verranno descritti tutti gli aggiornamenti e sarà possibile avere risposte in real time. Ecco i dettagli:
Data: Mercoledì, 9 Maggio 2010, 19:00 CETLink di registrazione
Ciao a tutti. E' di nuovo il secondo martedì del mese e come da rituale oggi vengono rilasciati nuovi aggiornamenti di sicurezza.
Prima di entrare nello specifico con i bollettini, volevo ricordare che Windows XP e Office 2003 andranno ufficialmente fuori supporto tra due anni esatti, ad Aprile 2014. Per molte aziende, migrare ad una nuova major release è dispendioso in termini di tempo e risorse, ma allo stesso tempo apporta grandi benefici in termini di sicurezza. Windows 7, Windows Server 2008 R2 e Office 2010, infatti, introducono nuove tecnologie difensive che rendono i sistemi meno proni ad attacchi.
Passiamo ai bollettini. Gli utenti che utilizzano gli aggiornamenti automatici, probabilmente hanno già ricevuto le notifiche di aggiornamento e sono già protetti dalle vulnerabilità risolte con gli aggiornamenti di questo mese. Gli utenti che invece devono testare e programmare l'instsallazione gli aggiornamenti, troveranno di seguito informazioni utili su quali riteniamo siano gli aggiornamenti più importanti.
Oggi sono stati rilasciati sei aggiornamenti di sicurezza, quattro Critici e due Importanti, che risolvono un totale di 11 vulnerabilità. Gli aggiornamenti che suggeriamo di prioritizzare sono i seguenti:
MS12-027 - Windows Common Controls: Questo aggiornamento risolve una vulnerabilità nel controllo ActiveX MSCOMCTL.OCX, vulnerabilità che permette l'esecuzione di codice arbitrario da remoto se un utente visita un sito malevolo.
MS12-023 - Internet Explorer: Questo aggiornamento risolve cinque vulnerabilità in Internet Explorer, che permette ad un utente malintenzionato di sfruttare queste vulnerabilità per eseguire codice arbitrario, nel contesto dell'utente che visita un sito malevolo.
Come sempre incoraggiamo gli utenti ad installare gli aggiornamenti di sicurezza il prima possibile.
Di seguito la tabella che mostra i nostri suggerimenti sulla prioritizzazione degli aggiornamenti:
Mentre la seguente è la tabella che mostra l'aggregato di rischio ed Exploitability Index:
I dettagli di tutti gli aggiornamenti sono disponibili alla pagina Riepilogo dei bollettini Microsoft sulla sicurezza di Aprile 2012.
Jonathan Ness e Pete Voss terranno il consueto webcast Mercoledì, 11 Aprile alle ore 20:00 italiane. Per seguirlo, è necessario registrarsi seguendo le istruzioni su questa pagina.
Gli approndimenti tecnici di questo mese sono relativi ai bollettini MS12-025 e MS12-027. Il primo articolo, parla dell'aggiornamento di .NET Framework, che tra le altre risolve una vulnerabilità relativa alle applicazioni XBAP. MS11-044, rilasciato a Giugno 2011, introduce un ulteriore avviso quando si cerca di eseguire applicazioni di questo tipo, quindi questo vettore d'attacco è reso meno appetibile. Il secondo articolo, invece, è relativo a MS12-027, uno dei due aggiornamenti che suggeriamo di prioritizzare. L'articolo fa una panoramica su varie tematiche relative al controllo ActiveX vulnerabile, MSCOMCTL.OCX: come le recenti versioni di Office mitigano l'attacco, come disabilitare gli ActiveX in nei documenti Office e come utilizzare le funzionalità di °kill bit° in Office 2010.
Rinnovo l'invito a contattarmi se avete bisogno di ulteriori informazioni o avete domande relative agli aggiornamenti di questo mese, e a tutto il resto :)
Il 15 Marzo siamo venuti a conoscenza di un proof-of-concept pubblico che permetterebbe di effettuare attacchi Denial of Service sfruttando una delle vulnerabilità descritte e corrette in MS12-020, bollettino rilasciato lo scorso Martedì.
Stiamo continuando a monitorare il panorama di rischio e non siamo a conoscenza di proof-of-concept pubblici che permettono remote code execution.
Raccomandiamo gli utenti di installare MS12-020 il prima possibile, poiché questo aggiornamento protegge contro tentativi di attacco che sfruttano la vulnerabilità CVE-2012-0002.
I dettagli del proof-of-concept coincidono con le quelli rilasciati attraverso il Microsoft Active Protections Program (MAPP). Microsoft sta investigando in che modo sono stati diffusi questi dettagli e prenderà i necessari provvedimenti per proteggere gli utenti e per assicurarsi che le informazioni vengano distribuite in maniera adeguata, rispettando i contratti e i requisiti del programma.
Come già detto, gli utenti che hanno installato l'aggiornamento MS12-020 sono protetti dai tentativi di attacco che cercano di sfruttare la vulnerabilità CVE-2012.0002.
Rispettando le condizioni del programma MAPP, abbiamo rilasciato i dettagli relativi alle vulnerabilità corrette in MS12-020 ai partner sotto Non-Disclosure Agreement, prima di rilasciare il bollettino di sicurezza. I partner usano queste informazioni per creare protezioni personalizzate, ed in molti casi tali protezioni vengono valutate dagli utenti enterprise per prioritizzare gli aggiornamenti da installare. Maggiori informazioni sul programma MAPP sono disponibili qui: http://www.microsoft.com/security/msrc/whatwedo/securitycollaboration.aspx.
Ciao a tutti. Questo mese non ho avuto modo di introdurre gli aggiornamenti di Marzo dato che la settimana scorsa ho avuto il piacere di essere a Vancouver al CanSecWest. Per chi non conoscesse l'evento, il CanSecWest è una delle più importanti conferenze di Sicurezza, dove viene organizzato ogni anno il Pwn2own. Immagino che se avuto modo di seguire le ultime notizie, avete già sentito questo nome :-).
Dato che non ho avuto la possibilità di commentare l'ANS, passiamo direttamente agli aggiornamenti di Marzo! Oggi sono stati rilasciati sei aggiornamenti, uno Critico, quattro Importanti e un Moderato, che correggono un totale di sette vulnerabilità in Microsoft Windows, Visual Studio ed Expression Design. Suggeriamo gli utenti di prioritizzare MS12-020, l'unico aggiornamento Critico. Qualche informazione riguardo MS12-020:
Sappiamo che a volte è necessario del tempo per valutare e testare gli aggiornamenti prima di installarli su sistemi in produzione. Per questo motivo, abbiamo preparato un pacchetto Fix It che abilita il Network-Level Authentication, installabile senza effettuare reboot, e che mitiga l'attacco. Il pacchetto è installabile su Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Sfortunatamente, NLA è una tecnologia introdotta con Windows Vista e Windows Server 2008, e non è disponibile per Windows XP e Windows Server 2003. Maggiori informazioni sulla vulnerabilità e i link di download del Fix It sono disponibili nel relativo SRD blog.
Come ogni mese, di seguito è riportata la tabella delle priorità degli aggiornamenti:
Mentre la seguente è la tabella che mostra l'aggregato di Exploitability Index e Criticità di ogni aggiornamento:
Come sempre è possibile avere maggiori informazioni sui singoli aggiornamenti alla pagina Microsoft Security Bulletin Summary.
Alla prossima!
Vi siete mai chiesti da dove vengono gli aggiornamenti del martedì, o cosa succede quando accade un incidente di sicurezza in Microsoft? O sapere chi sono le persone dietro tutto ciò?
L'Update Tuesday, che ci porta qui oggi, è uno dei risultati più importanti della famosa mail di 10 anni fa di Bill Gates, che ha messo la sicurezza al centro dello sviluppo e del supporto dei prodotti Microsoft. Qui al Trustworthy Computing cerchiamo di guardare al futuro più che al passato, ma al decimo anniversario alcuni di noi hanno pensato di parlare dell’incident response, del security ecosystem e come Microsoft collabora con i vari attori dell’industria della sicurezza:
PS: Tra i vari spezzoni di video nelle interviste compaio anche io ;)
Nel frattempo, come preannunciato nel blog post relativo all’Advance Notification Service lo scorso Giovedì, oggi abbiamo rilasciato nove aggiornamenti di sicurezza, sette di Critici, e due Importanti. Gli aggiornamenti correggono 21 vulnerabilità in prodotti Microsoft. Per chi dovesse prioritizzare gli aggiornamenti, questi sono i nostri suggerimenti:
Per entrambi gli aggiornamenti, raccomandiamo gli utenti di leggere il relativo bollettino ed applicare l’aggiornamento il prima possibile.
Di seguito la tabella relativa alla priorità degli aggiornamenti:
Mentre la seguente è il grafico che mostra la severità e l’exploitability index dei vari aggiornamenti:
Per una lista completa degli aggiornamenti e maggiori dettagli, è possibile consultare la pagina relativa.
Come al solito, i nostri colleghi del Security Research and Defense team hanno preparato diversi blog post che forniscono maggiori dettagli relativi agli aggiornamenti di questo mese. Oltre a dettagli tecnici relativi a MS12-013, c’è un articolo riguardante MS12-014, che riguarda una vulnerabilità in Indeo, un codec multimediale che esiste da un bel po’ di tempo.
Come ogni mese, Mercoledì sarà tenuto il Webcast mensile, con Pete Voss e Jonathan Ness. Insieme faranno una panoramica degli aggiornamenti, discuteranno di alcuni futuri cambiamenti di Technet, e risponderanno ad alcune domande relative al supporto di Windows Vista. Il webcast è in programma per domani, 15 Febbraio 2012, alle 20:00 ora italiana. Clicca qui per registrarti.
A presto!
Ciao a tutti. Poco fa è stato rilasciato l’advance notification per i bollettini di sicurezza di Febbraio, previsti per Martedì 14. Gli aggiornamenti di questo mese sono nove, e correggono 21 vulnerabilità in Microsoft Windows, Office, Internet Explorer e .NET/Silverlight. Come sempre, raccomandiamo di rivedere l’ANS per maggiori informazioni e prepararsi per il test e l’installazione di questi aggiornamenti.
Come ogni mese, gli aggiornamenti verranno rilasciati intorno alle 19, quindi tornate a trovarmi la settimana prossima per avere maggiori dettagli.
Durante il corso degli anni, abbiamo constatato che le informazioni riguardo il Security Development Lifecycle hanno ottenuto oltre 850.000 download. I nostri amici del team SDL hanno chiesto a Steve Lipner, Senior Director del team Security Engineering Strategy, come la famosa email di Bill Gates di dieci anni fa è diventata “legge” in Microsoft. Ovviamente, l’SDL è un processo molto attivo e continua a cambiare e crescere. Per maggiori informazioni su quello che succederà in futuro, come per esempio la nuova Security Development Conference, date un’occhiata al post scritto da Tim Rains sul suo blog. Come ogni Mercoledì post-release, Jonathan Ness e Pete Voss terranno un webcast dove verranno discussi gli aggiornamenti di questo mese, e sarà possibile porre domande in diretta. Ecco i dettagli sull’evento:
Data: Mercoledì, 15 FebbraioOra: 20:00 (ora italiana) Link di registrazione
Ciao a tutti. Come anticipato nel blog post riguardo l'Advance Notification Service lo scorso giovedì, oggi verranno rilasciati sette bollettini di sicurezza, uno Critico e sei Importanti.
Gli aggiornamenti rilasciati oggi correggono otto vulnerabilità in prodotti Microsoft. Al solito, si consiglia di installare gli aggiornamenti il prima possibile. Nel caso non fosse possibile, raccomandiamo di prioritizzare l'aggiornamento valutato Critico:
Di seguito la tabella con i suggerimenti sulla prioritizzazione degli aggiornamenti.
Mentre il seguente grafico mostra i valori aggregati di rischio ed Exploitability Index per ogni aggiornamento.
Maggiori informazioni e i link ai singoli bollettini sono disponibili alla pagina Riepilogo dei bollettini Microsoft sulla sicurezza di Gennaio 2012.
Il mese scorso abbiamo annunciato un bollettino riguardante la vulnerabilità in SSL descritta nel Security Advisory 2588513. Pochi giorni prima del rilascio, abbiamo riscontrato un problema di compatibilità riguardante alcuni prodotti di terze parti, e abbiamo deciso di rimandare il rilascio fin quando tali problemi non fossero risolti. L'aggiornamento in questione è stato rilasciato oggi come MS12-006. Il corrispondente articolo Knowledge Base fornisce maggiori informazioni e pacchetti Fix It, utili in caso di problemi con quest'aggiornamento.
Come ogni mese, il team Security Research and Defense ha preparato due articoli con approfondimenti tecnici riguardo gli aggiornamenti di questo mese. Sono disponibili infatti dettagli riguardo MS12-001, che corregge una vulnerabilità valutata Importante che affligge la tecnologia SafeSEH, ed una panoramica riguardo il già citato MS12-004.
Infine voglio ricordare che Mercoledì sarà tenuto il webcast relativo agli aggiornamenti di questo mese, con Pete Voss e Dustin Childs. L'appuntamento è per domani, Mercoledì 11 Gennaio 2012, alle ore 20:00 ora italiana. Per registrarsi, consultare questa pagina.
Rimango a disposizione per ulteriori chiarimenti o informazioni.
Buon anno e ben ritrovati con il nostro appuntamento mensile con gli aggiornamenti di sicurezza. Pochi minuti fa è stato rilasciato l'ANS riguardante gli aggiornamenti di Gennaio 2012, in programma Martedì 10. Gli aggiornamenti di Gennaio prevedono 7 bollettini, che andranno a correggere otto vulnerabilità in Microsoft Windows e Microsoft Developer Tools And Software. Come sempre, raccomandiamo di visionare l'ANS per avere maggiori informazioni e per essere preparati con il test e il deployment di questi aggiornamenti il prima possibile.
Come detto, gli aggiornamenti saranno rilasciati Martedì 10 Gennaio alle 19 circa ora italiana. Saranno disponibili su questo blog maggiori informazioni riguardo la release di questo mese.
I lettori più attenti noteranno nella pagina di sommario una nuova classe di vulnerabilità, "Security Feature Bypass", per uno degli aggiornamenti importanti. Le vulnerabilità appartenenti a questa classe non possono essere sfruttate direttamente da un attacker, ma possono essere utilizzate per facilitare lo sfruttamento di altre vulnerabilità. Per chi volesse approfondire l'argomento, il prossimo Martedì è previsto un SRD blog post con maggiori dettagli.
Al solito, se volete partecipare al webcast di Mercoledì 11 Gennaio tenuto da Dustin Childs e Pete Voss, dove verranno discussi gli aggiornamenti del mese e verrà effettuata un sessione live di domande e risposte, questa è la pagina di registrazione. L'appuntamento è per le 20 (ora italiana) di Mercoledì 11 Gennaio.
Ovviamente, se avete domande non esitate a contattarmi. Appuntamento al prossimo Martedì con gli aggiornamenti!
Ciao e di nuovo auguri a tutti!
Ciao a tutti e buone feste! Ieri Microsoft ha rilasciato il Security Update MS11-100 per risolvere la vulnerabilià descritta nel Security Advisory 2659883, che sfortunatamente non ho avuto tempo di recensire (a differenza dei miei colleghi di Redmond, sono in ferie in Italia :).
Questo aggiornamento è classificato Critico e risolve una vulnerabilità pubblica che permette ad un utente malintenzionato di effettuare degli attacchi Denial of Service verso server che supportano ASP.NET 1.1, abbracciando tutte le versioni supportate di .NET Framework. C'è da notare che la nuova tecnica di hash collision attack usata per sfruttare questa vulnerabilità non è efficace solo contro prodotti Microsoft ma è industry-wide e colpisce diverse piattaforme Web, ASP.NET incluso.
Sebbene non abbiamo rilevato nessun tentativo d'attacco, incoraggiamo gli utenti ad installare l'aggiornamento il prima possibile. Ricordiamo che gli utenti maggiormente esposti a tale problematica sono quelli che ospitano un server Web che supporta la tecnologia ASP.NET. Maggiori dettagli (in inglese) sono disponibili in un blog post pubblicato sul Security Research & Defense Blog.
Ovviamente se avete bisogno di maggiori informazioni o avete domande, non esitate a contattarmi.
Approfitto di questo blog post per augurare buon anno a tutti i lettori, e per darvi appuntamento al 10 Gennaio con il primo aggiornamento del 2012.
Ad accompagnare gli aggiornamenti di questo mese, c'è un intervento di Mike Reavey, Senior Director di MSRC, che fa una sintesi di cosa è successo durante l'arco del 2011.
Il numero totale dei bollettini per il 2011 è 99, includendo i 13 rilasciati oggi. Di questi, 10 sono stati valutati Importanti mentre solo 3 sono Critici. Questo rispecchia un trend che abbiamo visto negli ultimi anni: un decremento in percentuale degli aggiornamenti Critici. Nel 2011, gli aggiornamenti Critici hanno rappresentato solo il 32% del totale, la più bassa percentuale da quando sono stati introdotti gli aggiornamenti mensili nel 2004. Un altro dato interessante è il fatto che negli ultimi sei mesi questa percentuale è addirittura minore; infatti meno del 20% degli aggiornamenti sono stati Critici.
Riguardo il numero delle vulnerabilità di per se, i CVE Critici per il 2011 sono stati meno di un terzo del totale. Parlando per assoluti, i CVE e gli aggiornamenti Critici sono ai livelli minimi dal 2005 ad oggi. Il fatto che stiamo vedendo sempre meno aggiornamenti Critici dimostra il progresso fatto dai vari team nel creare software sempre più sicuro.
Anche se ci sono meno aggiornamenti Critici anno dopo anno, sappiamo che ogni update può generare dei problemi per gli utenti. Per evitare ciò, facciamo il nostro meglio per rendere il processo d'aggiornamento il più indolore e trasparente possibile. Con questo obiettivo, nel 2011 non sono stati rilasciati aggiornamenti "Out of Cycle", cioè aggiornamenti rilasciati al di fuori del regolare ciclo mensile. Sappiamo che questi aggiornamenti fuori dal normale ciclo mensile prevedono un'interruzione della regolare attività, specialmente per le realtà aziendali, quindi ogni decisione di rilasciare un aggiornamento "Out of Cycle" viene adeguatamente ponderata. Un'efficace collaborazione con i vari team, miglioramenti nella telemetria dei rischi, l'abilità di rilasciare workaround effettivi e la possibilità di collaborare con i partner del programma MAPP hanno fatto sì che nel 2011 tutti gli aggiornamenti sono stati rilasciati durante il regolare ciclo mensile. Un altro fattore è il continuo lavoro con la comunità di ricercatori di sicurezza che riporta vulnerabilità nei nostri prodotti. Nel 2011, oltre l'80% delle vulnerabilità risolte sono state riportate privatamente e rilasciate seguendo la Coordinated Responsible Disclosure. Negli ultimi sei mesi questa percentuale sale a oltre l'85%. Nonostante questi numeri rassicuranti, continuamo a lavorare la community di ricercatori, e l'apice di questa collaborazione è l'annuncio del primo Blue Hat Prize la scorsa estate, che premierà con oltre $250000 i ricercatori che proporranno le migliori tecnologie difensive. Ci saranno novità riguardo il Blue Hat Prize durante il corso del 2012, ma non vogliamo anticiparvi nulla.
I due cambiamenti principali, riguardanti l'estensione di tecnologie difensive, durante il 2011 sono avvenuti in Microsoft Office e Microsoft Windows. Nel mese di Aprile, dopo il suo annuncio nel Dicembre 2010, è stata rilasciata la tecnologia Office File Validation (OFV). L'OFV estende la tecnologia "Gatekeeper", che cerca di rilevare e bloccare l'apertura di file dannosi in Office 2010, alle edizioni 2007 e 2003 di Microsoft Office. Dal suo rilascio, questa tecnologia è stata adottata da oltre 200 milioni di sistemi. A Febbraio, invece, è cambiato il comportamento dell'Autorun tramite USB su sistemi Windows XP e Vista. Questo cambio ha ridotto il numero di infezioni indotte dall'Autorun del 59% su sistemi Windows XP e di 74% su Vista, rispetto al 2010, con un decremento globale del 68%.
Nel 2012 continueremo a rilasciare aggiornamenti di qualità, affrontando le sfide che incontreremo durante l'arcod dell'anno. Continueremo a lavorare con i vari team, i ricercatori e i partner per migliorarci, avendo sempre come priorità assoluta la protezione degli utenti.
Grazie!
Mike ReaveySenior Director - MSRC
Eccoci di nuovo al secondo martedì del mese con il solito appuntamento con gli aggiornamenti di sicurezza. Oggi sono stati rilasciati rilasciati 13 aggiornamenti, di cui 3 Critici e 10 Importanti.
Gli aggiornamenti di oggi risolvono 19 vulnerabilità in prodotti Microsoft. Come al solito, il suggerimento è di installare tutti gli aggiornamenti il prima possibile, ma in caso di prioritizzazione questi sono i nostri suggerimenti:
Di seguito la tabella con i suggerimenti sulla prioritizzazione relativi a tutti gli aggiornamenti rilasciati oggi:
Mentre il seguente è il grafico che sintetizza la combinazione di Security Impact ed Exploitability Index:
Come ogni mese, il prossimo mercoledì (14 Dicembre) sarà tenuto il webcast relativo agli aggiornamenti di questo mese, con Jerry Bryant e Jonathan Ness. Se volete partecipare non dovete far altro che accedere a questa pagina e registrarvi.
Oltre ai bollettini mensili, disponibili a questa pagina, il Security Research & Defense ha pubblicato due approfondimenti tecnici relativi a due aggiornamenti di questo mese. Il primo relativo a MS11-087: Vulnerability in Windows Kernel-Mode Drivers Could Allow Remote Code Execution, il secondo, invece, relativo a MS11-090: Cumulative Security Update of ActiveX Kill Bits. Questi articoli forniscono maggiori dettagli sui workaround e sugli scenari d'attacco relativi alle vulnerabilità risolte dai rispettivi aggiornamenti.
Se avete domande o volete maggiori informazioni riguardo gli aggiornamenti di questo mese, non esitate a contattarmi.
Ciao a tutti. Prima di parlare degli aggiornamenti della prossima settimana, vorrei parlre di un aggiornamento del Microsoft Active Protections Program (MAPP) che dà visibilità agli utenti riguardo come i partner di questo programma usano le informazioni relative agli advisory di sicurezza.
MSRC lavora in maniera costante con i partner MAPP, condividendo informazioni relative a vulnerabilità e rischi. Lo scopo di questa condivisione di informazioni è di estendere le protezioni relative a questi rischi in maniera rapida, raggiungendo più utenti possibile. In seguito all'ultimo Security Advisory, è stata pubblicata, su una pagina web dedicata, la lista dei partner che hanno confermato di aver rilasciato un aggiornamento per i loro prodotti di security entro 96 ore dal rilascio dell'advisory. Naturalmente, non tutti gli advisory sono validi per tutti i partner, quindi alcuni di essi potrebbero non rilasciare protezioni per determinate vulnerabilità.
Oggi è stato rilasciato l'Advance Notification per i bollettini di Dicembre, che saranno rilasciati martedì 13 Dicembre. Gli aggiornamenti di questo mese comprendono 14 bollettini, che risolvono 21 vulnerabilità in Microsoft Windows, Office, Internet Explorer, Microsoft Publisher e Windows Media Player. Saranno anche rilasciati aggiornamenti relativi ai Security Advisory 2639658 e 2588513. Come detto, tutti i 14 bollettini saranno rilasciati martedì prossimo, alle ore 19:00 circa. Maggiori informazioni riguardo l'analisi del rischio, del security impact e suggerimenti sulla prioritizzazione degli aggiornamenti saranno disponibili martedì sera. Saranno anche analizzate statistiche annuali riguardanti gli aggiornamenti e i bollettini, accompagnate dai commenti del Senior Director di MSRC, Mike Reavey.
Come sempre, raccomandiamo agli utenti di visionare l'ANS per avere ulteriori informazioni su cosa aspettarsi la settimana prossima, in modo da essere preparati al test e al deployment degli aggiornamenti il prima possibile.
Infine, se volete partecipare al webcast di Jonathan Ness e Jerry Bryant, che avverrà mercoledì 14 Dicembre, dove verrano esposti dettagli riguardo i bolletini e sarà possibile fare domande "live", registratevi tramite questa pagina web. L'appuntamento è mercoledì 14 Dicembre alle ore 20:00.
Pochi minuti fa è stato rilasciato il Security Advisory 2641690 per comunicare la revoca del trust di DigiCert Sdn.Bhd, tramite un aggiornamento che sposta due certificati dall'Intermediate Certificate Authorities (CA) al Microsoft Untrusted Certificate Store.
Questa decisione è stata presa dopo che Entrust, Inc, una CA appartenente al Microsoft Root Certificate Program, ci ha notificato che una delle sue CA subordinate ha emesso 22 certificati con una chiave debole (512bit), non rispettando i requisiti minimi del Root Certificate Program di Microsoft. Non c'è evidenza che questi certificati siano stati generati in maniera fraudolenta; lo scopo di questo advisory è proteggere gli utenti in maniera proattiva.
Gli utenti che usufruiscono degli aggiornamenti automatici non devono compiere nessuna azione dato che l'aggiornamento, che è valido per tutte le versioni supportate di Microsoft Windows, verrà scaricato ed installato automaticamente. Se invece si vuole installare l'aggiornamento manualmente, è possibile scaricare il pacchetto relativo al proprio sistema operativo nel KB article relativo al security advisory.
I due certificati CA sono i seguenti:
Maggiori informazioni sono disponibili alla pagina del Security Advisory 2641690.
Oggi è il secondo martedì del mese e quindi è tempo di aggiornamenti! Sono stati rilasciati oggi quattro aggiornamenti.
Prima di parlare del ciclo di Novembre, volevo ricordare che la settimana scorsa Microsoft ha tenuto l'undicesima edizione della BlueHat conference, esattamente dal 2 al 4 Novembre. Durante queste due giornate si sono discussi i principali rischi di sicurezza attuali e quelli che si prevedono per il futuro. Gli speaker della conferenza sono stati principalmente ricercatori di sicurezza, sia esterni a Microsoft che interni. Ecco un breve video (in inglese) che riassume le opinioni dei presenti:
Tornando agli aggiornamenti, come detto nella prima parte di questo post sono stati rilasciati 4 aggiornamenti di sicurezza, che risolvono 4 vulnerabilità, riportante privatamente, in Microsoft Windows. Come al solito, si consiglia di installare tutti e quattro gli aggiornamenti il prima possibile. C'è comunque un aggiornamento che si consiglia di prioritizzare, in caso non sia possibile installare tutti gli aggiornamenti contemporaneamente. Si tratta di MS11-083, che risolve una vulnerabilità nello stack TCP/IP che permette l'esecuzione di codice arbitrario da remoto se un attaccante manda un flusso di pacchetti UDP verso una porta chiusa sul sistema.
Di seguito la tabella con la prioritizzazione consigliata dei quattro aggiornamenti:
Mentre di seguito viene riportata la tabella con le varie severity, considerando la potenziale gravità dell'aggiornamento e l'Exploitability Index:
Maggiori dettagli in inglese sugli aggiornamenti rilasciati questo mese sono disponibili alla pagina Microsoft Security Bulletin Summary, mentre per maggiori dettagli sulla vulnerabilità sullo stack TCP/IP è disponibile un blog post sul Security Research & Defense blog.
Al solito, se avete qualsiasi tipo di domanda non esitate a contattarmi. Alla prossima!
Ieri Microsoft ha rilasciato il Security Advisory 2639568 allo scopo di fornire indicazioni e contromisure per la vulnerabilità nel motore di rendering dei font TrueType del kernel di Windows, relativa al malware Duqu. Tale malware viene diffuso tramite un file Microsoft Word contenente codice malevolo che sfrutta tale vulnerabilità per infettare il sistema vittima.
L'advisory fornisce un workaround che può essere applicato su tutti i sistemi Windows supportati. Tale workaround consiste nel disabilitare l'accesso al file t2embed.dll, la libreria che gestisce gli Embedded Fonts in Windows. C'è da ricordare che bloccare l'accesso a questo file può provocare problemi di visualizzazione dei documenti, perché appunto la renderizzazione degli Embedded Fonts non sarà possibile. Per applicare e disattivare questo workaround sono disponibili dei pacchetti automatici Microsoft Fix It, scaricabili dal Microsoft Knowledge Base Article 2639658, oppure cliccando direttamente qui per il pacchetto di abilitazione del workaround, oppure qui per il pacchetto di disattivazione. Se invece si vuole applicare il workaround manualmente, di seguito sono disponibili i comandi da utilizzare nelle varie versioni di Windows, sia 32 che 64 bit.
Per applicare il workaround su Windows XP e Windows Server 2003, eseguire i seguenti comandi da una console amministrativa:
Per versioni a 32 bitEcho y| cacls "%windir%\system32\t2embed.dll" /E /P "tutti gli utenti":N
Echo y| cacls "%windir%\system32\t2embed.dll" /E /P "tutti gli utenti":N
Per versioni a 64 bitEcho y| cacls "%windir%\system32\t2embed.dll" /E /P "tutti gli utenti":NEcho y| cacls "%windir%\syswow64\t2embed.dll" /E /P "tutti gli utenti":N
Echo y| cacls "%windir%\system32\t2embed.dll" /E /P "tutti gli utenti":NEcho y| cacls "%windir%\syswow64\t2embed.dll" /E /P "tutti gli utenti":N
Per disattivare il workaround, eseguire i seguenti comandi:
Per versioni a 32 bitcacls "%windir%\system32\t2embed.dll" /E /R "tutti gli utenti"
cacls "%windir%\system32\t2embed.dll" /E /R "tutti gli utenti"
Per versioni a 64 bitcacls "%windir%\system32\t2embed.dll" /E /R "tutti gli utenti"cacls "%windir%\syswow64\t2embed.dll" /E /R "tutti gli utenti"
cacls "%windir%\system32\t2embed.dll" /E /R "tutti gli utenti"cacls "%windir%\syswow64\t2embed.dll" /E /R "tutti gli utenti"
Su Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2, i comandi da eseguire in una console amministrativa sono i seguenti:
Per versioni a 32 bitTakeown.exe /f "%windir%\system32\t2embed.dll"Icacls.exe "%windir%\system32\t2embed.dll" /deny *S-1-1-0:(F)
Takeown.exe /f "%windir%\system32\t2embed.dll"Icacls.exe "%windir%\system32\t2embed.dll" /deny *S-1-1-0:(F)
Per versioni a 64 bitTakeown.exe /f "%windir%\system32\t2embed.dll"Icacls.exe "%windir%\system32\t2embed.dll" /deny *S-1-1-0:(F)Takeown.exe /f "%windir%\syswow64\t2embed.dll"Icacls.exe "%windir%\syswow64\t2embed.dll" /deny *S-1-1-0:(F)
Takeown.exe /f "%windir%\system32\t2embed.dll"Icacls.exe "%windir%\system32\t2embed.dll" /deny *S-1-1-0:(F)Takeown.exe /f "%windir%\syswow64\t2embed.dll"Icacls.exe "%windir%\syswow64\t2embed.dll" /deny *S-1-1-0:(F)
Per disattivare il workaround, invece, eseguire i seguenti comandi:
Per versioni a 32 bitIcacls.exe %WINDIR%\system32\t2embed.DLL /remove:d *S-1-1-0
Icacls.exe %WINDIR%\system32\t2embed.DLL /remove:d *S-1-1-0
Per versioni a 64 bitIcacls.exe %WINDIR%\system32\t2embed.DLL /remove:d *S-1-1-0Icacls.exe %WINDIR%\syswow64\t2embed.DLL /remove:d *S-1-1-0
Icacls.exe %WINDIR%\system32\t2embed.DLL /remove:d *S-1-1-0Icacls.exe %WINDIR%\syswow64\t2embed.DLL /remove:d *S-1-1-0
I comando per Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2 sono validi per tutte le localizzazioni di Microsoft Windows, mentre quelli per Windows XP e Windows Server 2003 sono validi solo per l'edizione italiana e potrebbero aver bisogno di qualche ritocco ritocco in altre lingue (Inglese, Tedesco, Francese, ecc).
Oltre all'advisory, sono stati rilasciate informazioni ai partner tramite il programma Microsoft Active Protections Program (MAPP) su come costruire signature per i loro prodotti di sicurezza. Ciò significa che a breve, e probabilmente già da adesso, i vendor di prodotti anti-malware avranno a disposizione un aggiornamento delle signature per rilevare e bloccare i tentativi di exploit di questa vulnerabilità.
Inoltre il nostro team interno di sviluppo ha determinato la causa della vulnerabilità ed è già a lavoro su un aggiornamento, che verrà rilasciato probabilmente durante il normale ciclo di update, ma non sarà disponibil per il mese di Novembre.
Infine, data la possibilità di rilevare i tentativi di exploit di questa vulnerabilità, Microsoft sta monitorando la situazione di rischio. Allo stato attuale, i tentativi di exploit non sono un numerosi, ma è possibile che questa situazione cambi. Incoraggiamo quindi di applicare il workaround suggerito e di assicurarsi che il proprio fornitore di software anti-malware ha a disposizione le signature per rilevare questi tentativi.
Se avete domande di qualsiasi tipo, non esitate a lasciare un commento qui in basso oppure a contattarmi direttamente.
Primo post per questo nuovo blog, ed è un post pieno di contenuti. Oggi infatti è il secondo martedì del mese, quindi è tempo di aggiornamenti! Inoltre poche ore fa è stato rilasciato il volume 11 del Security Intelligence Report, disponibile in italiano a questo indirizzo.
Cominciando dal SIR, si può notare che utilizzando un nuovo metodo di distribuzione del malware, nel primo semestre del 2011 le infezioni dovute a vulnerabilità 0day, cioè vulnerabilità per cui non esiste una risoluzione, risultano essere una minuscola percentuale, inferiore all'1%. Difatti nessuna delle principali famiglie di malware conosciute è stata diffusa sfruttando vulnerabilità 0day. I principali metodi di infezione sono social engineering, abuso dell'Autorun, file con contenuto malevolo, exploit di vulnerabilità note (e di cui esiste un rimedio) e attacchi bruteforce a password. Come si può intuire, tutti questi attacchi sono facilmente evitabili seguendo le best practice di sicurezza, come per esempio tenere i propri sistemi aggiornati (non solo i prodotti Microsoft!), seguire le disposizioni del Garante della Privacy per quanto riguarda la gestione delle credenziali d'accesso e formare il personale contro attacchi di social engineering.
A proposito di tenere aggiornati i propri sistemi, come detto in precedenza oggi è "Update Tuesday", il giorno in cui Microsoft rilascia gli aggiornamenti di sicurezza dei propri prodotti. Questo mese sono stati rilasciati 8 bollettini, due valutati Critici e sei Importanti. Il conteggio totale delle vulnerabilità (CVE) risolte è 23. Sebbene il nostro suggerimento è di installare gli aggiornamenti il prima possibile, questi due bollettini meritano un'attenzione particolare e suggeriamo di prioritizzarli:
La tabella seguente mostra il rischio aggregato per ogni aggiornamento, tenendo conto della gravità (Severity) e dell'Exploitability Index (quanto una vulnerabilità è prona ad essere sfruttata nell'immediato futuro):
Per avere maggiori dettagli sull'Exploitability Index per ogni singolo aggiornamento è disponibile il blog post redatto (in inglese) dai colleghi del Microsoft Security Response Center Engineering team. Come si può notare, l'Exploitability Index per sette aggiornamenti su otto è 1; ciò significa che exploit per sfruttare le vulnerabilità corrette da quegli aggiornamenti saranno probabilmente rilasciati a breve.
Qui è possibile reperire il blog post di MSRC relativo all'Update Tuesday di Ottobre e al SIR 11, mentre qui è possibile trovare il summary dei bolletini rilasciati oggi.