Italian Microsoft Security News

Fatti e notizie dal Microsoft Security Response Center

December, 2011

  • Novità per MAPP e Advanced Notification Service per gli aggiornamenti di Dicembre 2011

    Ciao a tutti. Prima di parlare degli aggiornamenti della prossima settimana, vorrei parlre di un aggiornamento del Microsoft Active Protections Program (MAPP) che dà visibilità agli utenti riguardo come i partner di questo programma usano le informazioni relative agli advisory di sicurezza.

    MSRC lavora in maniera costante con i partner MAPP, condividendo informazioni relative a vulnerabilità e rischi. Lo scopo di questa condivisione di informazioni è di estendere le protezioni relative a questi rischi in maniera rapida, raggiungendo più utenti possibile. In seguito all'ultimo Security Advisory, è stata pubblicata, su una pagina web dedicata, la lista dei partner che hanno confermato di aver rilasciato un aggiornamento per i loro prodotti di security entro 96 ore dal rilascio dell'advisory. Naturalmente, non tutti gli advisory sono validi per tutti i partner, quindi alcuni di essi potrebbero non rilasciare protezioni per determinate vulnerabilità.

    Oggi è stato rilasciato l'Advance Notification per i bollettini di Dicembre, che saranno rilasciati martedì 13 Dicembre. Gli aggiornamenti di questo mese comprendono 14 bollettini, che risolvono 21 vulnerabilità in Microsoft Windows, Office, Internet Explorer, Microsoft Publisher e Windows Media Player. Saranno anche rilasciati aggiornamenti relativi ai Security Advisory 2639658 e 2588513. Come detto, tutti i 14 bollettini saranno rilasciati martedì prossimo, alle ore 19:00 circa. Maggiori informazioni riguardo l'analisi del rischio, del security impact e suggerimenti sulla prioritizzazione degli aggiornamenti saranno disponibili martedì sera. Saranno anche analizzate statistiche annuali riguardanti gli aggiornamenti e i bollettini, accompagnate dai commenti del Senior Director di MSRC, Mike Reavey.

    Come sempre, raccomandiamo agli utenti di visionare l'ANS per avere ulteriori informazioni su cosa aspettarsi la settimana prossima, in modo da essere preparati al test e al deployment degli aggiornamenti il prima possibile.

    Infine, se volete partecipare al webcast di Jonathan Ness e Jerry Bryant, che avverrà mercoledì 14 Dicembre, dove verrano esposti dettagli riguardo i bolletini e sarà possibile fare domande "live", registratevi tramite questa pagina web. L'appuntamento è mercoledì 14 Dicembre alle ore 20:00.

    Alla prossima!

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Cosa è successo nel 2011 - Mike Reavey

    Ad accompagnare gli aggiornamenti di questo mese, c'è un intervento di Mike Reavey, Senior Director di MSRC, che fa una sintesi di cosa è successo durante l'arco del 2011.

    Decremento degli aggiornamenti e dei CVE Critici

    Il numero totale dei bollettini per il 2011 è 99, includendo i 13 rilasciati oggi. Di questi, 10 sono stati valutati Importanti mentre solo 3 sono Critici. Questo rispecchia un trend che abbiamo visto negli ultimi anni: un decremento in percentuale degli aggiornamenti Critici. Nel 2011, gli aggiornamenti Critici hanno rappresentato solo il 32% del totale, la più bassa percentuale da quando sono stati introdotti gli aggiornamenti mensili nel 2004. Un altro dato interessante è il fatto che negli ultimi sei mesi questa percentuale è addirittura minore; infatti meno del 20% degli aggiornamenti sono stati Critici.

    Riguardo il numero delle vulnerabilità di per se, i CVE Critici per il 2011 sono stati meno di un terzo del totale. Parlando per assoluti, i CVE e gli aggiornamenti Critici sono ai livelli minimi dal 2005 ad oggi. Il fatto che stiamo vedendo sempre meno aggiornamenti Critici dimostra il progresso fatto dai vari team nel creare software sempre più sicuro.

    Anche se ci sono meno aggiornamenti Critici anno dopo anno, sappiamo che ogni update può generare dei problemi per gli utenti. Per evitare ciò, facciamo il nostro meglio per rendere il processo d'aggiornamento il più indolore e trasparente possibile. Con questo obiettivo, nel 2011 non sono stati rilasciati aggiornamenti "Out of Cycle", cioè aggiornamenti rilasciati al di fuori del regolare ciclo mensile. Sappiamo che questi aggiornamenti fuori dal normale ciclo mensile prevedono un'interruzione della regolare attività, specialmente per le realtà aziendali, quindi ogni decisione di rilasciare un aggiornamento "Out of Cycle" viene adeguatamente ponderata. Un'efficace collaborazione con i vari team, miglioramenti nella telemetria dei rischi, l'abilità di rilasciare workaround effettivi e la possibilità di collaborare con i partner del programma MAPP hanno fatto sì che nel 2011 tutti gli aggiornamenti sono stati rilasciati durante il regolare ciclo mensile. Un altro fattore è il continuo lavoro con la comunità di ricercatori di sicurezza che riporta vulnerabilità nei nostri prodotti. Nel 2011, oltre l'80% delle vulnerabilità risolte sono state riportate privatamente e rilasciate seguendo la Coordinated Responsible Disclosure. Negli ultimi sei mesi questa percentuale sale a oltre l'85%. Nonostante questi numeri rassicuranti, continuamo a lavorare la community di ricercatori, e l'apice di questa collaborazione è l'annuncio del primo Blue Hat Prize la scorsa estate, che premierà con oltre $250000 i ricercatori che proporranno le migliori tecnologie difensive. Ci saranno novità riguardo il Blue Hat Prize durante il corso del 2012, ma non vogliamo anticiparvi nulla.

    Tecnologie Difensive

    I due cambiamenti principali, riguardanti l'estensione di tecnologie difensive, durante il 2011 sono avvenuti in Microsoft Office e Microsoft Windows. Nel mese di Aprile, dopo il suo annuncio nel Dicembre 2010, è stata rilasciata la tecnologia Office File Validation (OFV). L'OFV estende la tecnologia "Gatekeeper", che cerca di rilevare e bloccare l'apertura di file dannosi in Office 2010, alle edizioni 2007 e 2003 di Microsoft Office. Dal suo rilascio, questa tecnologia è stata adottata da oltre 200 milioni di sistemi. A Febbraio, invece, è cambiato il comportamento dell'Autorun tramite USB su sistemi Windows XP e Vista. Questo cambio ha ridotto il numero di infezioni indotte dall'Autorun del 59% su sistemi Windows XP e di 74% su Vista, rispetto al 2010, con un decremento globale del 68%.

    Nel 2012 continueremo a rilasciare aggiornamenti di qualità, affrontando le sfide che incontreremo durante l'arcod dell'anno. Continueremo a lavorare con i vari team, i ricercatori e i partner per migliorarci, avendo sempre come priorità assoluta la protezione degli utenti.

    Grazie!

    Mike Reavey
    Senior Director - MSRC

  • Rilasciati gli aggiornamenti di Dicembre 2011

    Eccoci di nuovo al secondo martedì del mese con il solito appuntamento con gli aggiornamenti di sicurezza. Oggi sono stati rilasciati rilasciati 13 aggiornamenti, di cui 3 Critici e 10 Importanti.

    Gli aggiornamenti di oggi risolvono 19 vulnerabilità in prodotti Microsoft. Come al solito, il suggerimento è di installare tutti gli aggiornamenti il prima possibile, ma in caso di prioritizzazione questi sono i nostri suggerimenti:

    • MS11-092 – Windows Media: Vulnerability In Windows Media Could Allow Remote Code Execution
    • MS11-087 – Windows: Vulnerability in Windows Kernel-Mode Drivers Could Allow Remote Code Execution

    Di seguito la tabella con i suggerimenti sulla prioritizzazione relativi a tutti gli aggiornamenti rilasciati oggi:

    Deployment Priority

    Mentre il seguente è il grafico che sintetizza la combinazione di Security Impact ed Exploitability Index:

    Exploitability Index

    Come ogni mese, il prossimo mercoledì (14 Dicembre) sarà tenuto il webcast relativo agli aggiornamenti di questo mese, con Jerry Bryant e Jonathan Ness. Se volete partecipare non dovete far altro che accedere a questa pagina e registrarvi.

    Oltre ai bollettini mensili, disponibili a questa pagina, il Security Research & Defense ha pubblicato due approfondimenti tecnici relativi a due aggiornamenti di questo mese. Il primo relativo a MS11-087: Vulnerability in Windows Kernel-Mode Drivers Could Allow Remote Code Execution, il secondo, invece, relativo a MS11-090: Cumulative Security Update of ActiveX Kill Bits. Questi articoli forniscono maggiori dettagli sui workaround e sugli scenari d'attacco relativi alle vulnerabilità risolte dai rispettivi aggiornamenti.

    Se avete domande o volete maggiori informazioni riguardo gli aggiornamenti di questo mese, non esitate a contattarmi.

    A presto!

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Microsoft rilascia MS11-100 per il Security Advisory 2659883

    Ciao a tutti e buone feste! Ieri Microsoft ha rilasciato il Security Update MS11-100 per risolvere la vulnerabilià descritta nel Security Advisory 2659883, che sfortunatamente non ho avuto tempo di recensire (a differenza dei miei colleghi di Redmond, sono in ferie in Italia :).

    Questo aggiornamento è classificato Critico e risolve una vulnerabilità pubblica che permette ad un utente malintenzionato di effettuare degli attacchi Denial of Service verso server che supportano ASP.NET 1.1, abbracciando tutte le versioni supportate di .NET Framework. C'è da notare che la nuova tecnica di hash collision attack usata per sfruttare questa vulnerabilità non è efficace solo contro prodotti Microsoft ma è industry-wide e colpisce diverse piattaforme Web, ASP.NET incluso.

    Sebbene non abbiamo rilevato nessun tentativo d'attacco, incoraggiamo gli utenti ad installare l'aggiornamento il prima possibile. Ricordiamo che gli utenti maggiormente esposti a tale problematica sono quelli che ospitano un server Web che supporta la tecnologia ASP.NET. Maggiori dettagli (in inglese) sono disponibili in un blog post pubblicato sul Security Research & Defense Blog.

    Ovviamente se avete bisogno di maggiori informazioni o avete domande, non esitate a contattarmi.

    Approfitto di questo blog post per augurare buon anno a tutti i lettori, e per darvi appuntamento al 10 Gennaio con il primo aggiornamento del 2012.

    Gerardo Di Giacomo
    Security Program Manager - MSRC