Italian Microsoft Security News

Fatti e notizie dal Microsoft Security Response Center

November, 2011

  • Rilasciato il Security Advisory 2641690, con aggiornamenti all'Untrusted Certificate Store

    Pochi minuti fa è stato rilasciato il Security Advisory 2641690 per comunicare la revoca del trust di DigiCert Sdn.Bhd, tramite un aggiornamento che sposta due certificati dall'Intermediate Certificate Authorities (CA) al Microsoft Untrusted Certificate Store.

    Questa decisione è stata presa dopo che Entrust, Inc, una CA appartenente al Microsoft Root Certificate Program, ci ha notificato che una delle sue CA subordinate ha emesso 22 certificati con una chiave debole (512bit), non rispettando i requisiti minimi del Root Certificate Program di Microsoft. Non c'è evidenza che questi certificati siano stati generati in maniera fraudolenta; lo scopo di questo advisory è proteggere gli utenti in maniera proattiva.

    Gli utenti che usufruiscono degli aggiornamenti automatici non devono compiere nessuna azione dato che l'aggiornamento, che è valido per tutte le versioni supportate di Microsoft Windows, verrà scaricato ed installato automaticamente. Se invece si vuole installare l'aggiornamento manualmente, è possibile scaricare il pacchetto relativo al proprio sistema operativo nel KB article relativo al security advisory.

    I due certificati CA sono i seguenti:

    • Digisign Server ID – (Enrich) emesso da Entrust.net Certification Authority (2048)
    • Digisign Server ID – (Enrich) emesso da GTE CyberTrust Global Root

    Maggiori informazioni sono disponibili alla pagina del Security Advisory 2641690.

    Gerardo Di Giacomo
    Security Program Manager - MSRC 

  • Microsoft rilascia il Security Advisory 2639658

    Ieri Microsoft ha rilasciato il Security Advisory 2639568 allo scopo di fornire indicazioni e contromisure per la vulnerabilità nel motore di rendering dei font TrueType del kernel di Windows, relativa al malware Duqu. Tale malware viene diffuso tramite un file Microsoft Word contenente codice malevolo che sfrutta tale vulnerabilità per infettare il sistema vittima.

    L'advisory fornisce un workaround che può essere applicato su tutti i sistemi Windows supportati. Tale workaround consiste nel disabilitare l'accesso al file t2embed.dll, la libreria che gestisce gli Embedded Fonts in Windows. C'è da ricordare che bloccare l'accesso a questo file può provocare problemi di visualizzazione dei documenti, perché appunto la renderizzazione degli Embedded Fonts non sarà possibile. Per applicare e disattivare questo workaround sono disponibili dei pacchetti automatici Microsoft Fix It, scaricabili dal Microsoft Knowledge Base Article 2639658, oppure cliccando direttamente qui per il pacchetto di abilitazione del workaround, oppure qui per il pacchetto di disattivazione. Se invece si vuole applicare il workaround manualmente, di seguito sono disponibili i comandi da utilizzare nelle varie versioni di Windows, sia 32 che 64 bit.

    Per applicare il workaround su Windows XP e Windows Server 2003, eseguire i seguenti comandi da una console amministrativa:

    Per versioni a 32 bit
    Echo y| cacls "%windir%\system32\t2embed.dll" /E /P "tutti gli utenti":N

    Per versioni a 64 bit
    Echo y| cacls "%windir%\system32\t2embed.dll" /E /P "tutti gli utenti":N
    Echo y| cacls "%windir%\syswow64\t2embed.dll" /E /P "tutti gli utenti":N

    Per disattivare il workaround, eseguire i seguenti comandi:

    Per versioni a 32 bit
    cacls "%windir%\system32\t2embed.dll" /E /R "tutti gli utenti"

    Per versioni a 64 bit
    cacls "%windir%\system32\t2embed.dll" /E /R "tutti gli utenti"
    cacls "%windir%\syswow64\t2embed.dll" /E /R "tutti gli utenti"

    Su Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2, i comandi da eseguire in una console amministrativa sono i seguenti:

    Per versioni a 32 bit
    Takeown.exe /f "%windir%\system32\t2embed.dll"
    Icacls.exe "%windir%\system32\t2embed.dll" /deny *S-1-1-0:(F)

    Per versioni a 64 bit
    Takeown.exe /f "%windir%\system32\t2embed.dll"
    Icacls.exe "%windir%\system32\t2embed.dll" /deny *S-1-1-0:(F)
    Takeown.exe /f "%windir%\syswow64\t2embed.dll"
    Icacls.exe "%windir%\syswow64\t2embed.dll" /deny *S-1-1-0:(F)

    Per disattivare il workaround, invece, eseguire i seguenti comandi:

    Per versioni a 32 bit
    Icacls.exe %WINDIR%\system32\t2embed.DLL /remove:d  *S-1-1-0

    Per versioni a 64 bit
    Icacls.exe %WINDIR%\system32\t2embed.DLL /remove:d  *S-1-1-0
    Icacls.exe %WINDIR%\syswow64\t2embed.DLL /remove:d  *S-1-1-0

    I comando per Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2 sono validi per tutte le localizzazioni di Microsoft Windows, mentre quelli per Windows XP e Windows Server 2003 sono validi solo per l'edizione italiana e potrebbero aver bisogno di qualche ritocco ritocco in altre lingue (Inglese, Tedesco, Francese, ecc).

    Oltre all'advisory, sono stati rilasciate informazioni ai partner tramite il programma Microsoft Active Protections Program (MAPP) su come costruire signature per i loro prodotti di sicurezza. Ciò significa che a breve, e probabilmente già da adesso, i vendor di prodotti anti-malware avranno a disposizione un aggiornamento delle signature per rilevare e bloccare i tentativi di exploit di questa vulnerabilità.

    Inoltre il nostro team interno di sviluppo ha determinato la causa della vulnerabilità ed è già a lavoro su un aggiornamento, che verrà rilasciato probabilmente durante il normale ciclo di update, ma non sarà disponibil per il mese di Novembre.

    Infine, data la possibilità di rilevare i tentativi di exploit di questa vulnerabilità, Microsoft sta monitorando la situazione di rischio. Allo stato attuale, i tentativi di exploit non sono un numerosi, ma è possibile che questa situazione cambi. Incoraggiamo quindi di applicare il workaround suggerito e di assicurarsi che il proprio fornitore di software anti-malware ha a disposizione le signature per rilevare questi tentativi.

    Se avete domande di qualsiasi tipo, non esitate a lasciare un commento qui in basso oppure a contattarmi direttamente.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Update Tuesday di Novembre e Bluehat v11

    Oggi è il secondo martedì del mese e quindi è tempo di aggiornamenti! Sono stati rilasciati oggi quattro aggiornamenti.

    Prima di parlare del ciclo di Novembre, volevo ricordare che la settimana scorsa Microsoft ha tenuto l'undicesima edizione della BlueHat conference, esattamente dal 2 al 4 Novembre. Durante queste due giornate si sono discussi i principali rischi di sicurezza attuali e quelli che si prevedono per il futuro. Gli speaker della conferenza sono stati principalmente ricercatori di sicurezza, sia esterni a Microsoft che interni. Ecco un breve video (in inglese) che riassume le opinioni dei presenti:

    Get Microsoft Silverlight

     

    Tornando agli aggiornamenti, come detto nella prima parte di questo post sono stati rilasciati 4 aggiornamenti di sicurezza, che risolvono 4 vulnerabilità, riportante privatamente, in Microsoft Windows. Come al solito, si consiglia di installare tutti e quattro gli aggiornamenti il prima possibile. C'è comunque un aggiornamento che si consiglia di prioritizzare, in caso non sia possibile installare tutti gli aggiornamenti contemporaneamente. Si tratta di MS11-083, che risolve una vulnerabilità nello stack TCP/IP che permette l'esecuzione di codice arbitrario da remoto se un attaccante manda un flusso di pacchetti UDP verso una porta chiusa sul sistema.

    Di seguito la tabella con la prioritizzazione consigliata dei quattro aggiornamenti:

    Deployment Priority

    Mentre di seguito viene riportata la tabella con le varie severity, considerando la potenziale gravità dell'aggiornamento e l'Exploitability Index:

    Exploitability Index

    Maggiori dettagli in inglese sugli aggiornamenti rilasciati questo mese sono disponibili alla pagina Microsoft Security Bulletin Summary, mentre per maggiori dettagli sulla vulnerabilità sullo stack TCP/IP è disponibile un blog post sul Security Research & Defense blog.

    Al solito, se avete qualsiasi tipo di domanda non esitate a contattarmi. Alla prossima!

    Gerardo Di Giacomo
    Security Program Manager - MSRC