Italian Microsoft Security News

Fatti e notizie dal Microsoft Security Response Center

Security Response in evoluzione e gli aggiornamenti di Marzo 2013

Security Response in evoluzione e gli aggiornamenti di Marzo 2013

  • Comments 2
  • Likes

Il mio collega Dustin Childs, Group Manager di TwC Response Communications, comincia il blog relativo agli aggiornamenti di questo mese con una citazione di Giuseppe Tomasi Di Lampedusa: "Se vogliamo che tutto rimanga come è, bisogna che tutto cambi". Ci sono cose che non vogliamo che cambino. In Microsoft, ci impegnamo a fornire protezione per gli utenti nel modo più trasparente ed autorevole possibile. Ovviamente, dato che la tecnologia cambia, anche noi dobbiamo cambiare per raggiungere lo stesso obiettivo.

Una recente novità è stata la possibilità di ottenere applicazioni tramite il Windows Store. Come Mike Reavey cita nel suo blog post di oggi, la decisione su come fornire aggiornamenti di sicurezza per le app è stata presa dopo molte riflessioni. Alla fine, la nostra decisione permette agli utenti di ottenere  aggiornamenti di sicurezza in modo semplice e veloce, e allo stesso tempo ci permette di essere il più possibile trasparenti. Gli aggiornamenti di sicurezza saranno distribuiti in maniera identica a qualsiasi altro aggiornamento tramite il Windows Store. La differenza è che documenteremo le problematiche di sicurezza in un Security Advisory, e modificheremo questo advisory ogni qual volta sarà rilasciato un aggiornamento di sicurezza relativo ad una app Microsoft. La policy completa è disponibile a questa pagina.

Un altro cambiamento riguarda le "10 Immutable Laws of Security". La legge numero 3 dice:

"Se un utente malintenzionato ha accesso fisico illimitato al tuo computer, non è più il tuo computer."

Questa legge è ancora valida oggi. Non esiste aggiornamento che può proteggere contro un attacco Denial of Service effettuato con un martello. In ogni caso, sappiamo che c'è una differenza tra accesso fisico casuale e accesso fisico illimitato. Questo mese, risolviamo un problema nei Kernel-Mode Drivers dove un utente malintenzionato potrebbe compromettere un sistema solo inserendo una periferica USB in un sistema. Sebbene questa non sia la prima problematica che riguarda accesso fisico e le periferiche USB, è diversa dalle altre perchè non richiede autenticazione al sistema. Inoltre permette di eseguire codice in kernel-mode, mentre gli attacchi precedenti permettevano solo esecuzione di codice con privilegi dell'utente in uso. Con queste premesse, chiunque abbia un accesso casuale ad un sistema, come per esempio una guardia notturna od un custode, potrebbe semplicemente utilizzare una periferica USB per compromettere un sistema ed avere privilegi di elevati.

Questo tipo di accesso fisico non è illimitato: in questo caso, un utente malintenzionato avrebbe la possibilità di rubare un sistema, effettuare un boot da una periferica esterna ed estrarre i file dal disco fisso. Un accesso fisico casuale insieme alla possibilità di eseguire code in kernel-mode rappresenta un rischio sufficiente da giustificare un aggiornamento di sicurezza.

Ovviamente, nessuno di questi cambiamenti è rivoluzionario, ma riconosciamo che per stare al passo con l'evoluzione della sicurezza informatica e della tecnologia in genere dobbiamo continuare a migliorare ed evolvere i nostri processi. In linea di massima, ci poniamo continuamente la domanda "è questo il modo migliore per proteggere gli utenti?". Se la risposta ad un certo punto da sì diventa no, apportiamo cambiamenti affinchè quella risposta sia nuovamente sì.

Passiamo gli aggiornamenti di questo mese.

Sono stati rilasciati 7 aggiornamenti, quattro Critici e tre Importanti, che risolvono 20 vulnerabilità in Microsoft Windows, Office, Internet Explorer, Server Tools e Silverlight. Consigliamo di prioritizzare i seguenti aggiornamenti:

MS13-021 Microsoft Internet Explorer

Questo aggiornamento risolve nove vulnerabilità in Internet Explorer. La vulnerabilità più critica permetterebbe ad un utente malintenzionato di eseguire codice da remoto con i privilegi dell'utente in uso facendo visualizzare alla vittima una pagina web malevola con Internet Explorer. Otto delle 9 vulnerabilità risolte sono state riportate privatamente. Ad oggi non abbiamo rilevato attacchi.

MS13-022 Microsoft Silverlight

Questo aggiornamento risolve una vulnerabilità in Microsoft Silverlight. La vulnerabilità  permetterebbe ad un utente malintenzionato di eseguire codice da remoto con i privilegi dell'utente in uso facendo visualizzare alla vittima una pagina web contenente un'applicazione Silverlight malevola. Questa vulneraiblità è stata riportata privatamente e ad oggi non abbiamo rilevato attacchi.

MS13-027 Kernel Mode Drivers

Questo aggiornamento risolve tre vulnerabilità in Microsoft Windows. Queste vulnerabilità permetterebbero di elevare i propri privilegi in un sistema. In una configurazione di default, un utente non autenticato potrebbe sfruttare questa vulnerabilità solo avendo accesso fisico al sistema. Anche in questo caso, queste vulnerabilità sono state riportate privatamente e ad oggi non abbiamo rilevato attacchi.

Come sempre raccomandiamo di installare tutti gli aggiornamenti il prima possibile.

Di seguito è disponibile la tabella relativa alla priorità di tutti gli aggiornamenti:

Mentre la seguente è la pagina con l'aggregato di rischio ed Expoitability Index:

Maggiori informazioni sugli aggiornamenti di questo mese sono disponibili alla pagina Riepilogo dei bollettini Microsoft sulla sicurezza - marzo 2013.

Gerardo Di Giacomo
Security Program Manager - MSRC 

Comments
  • Non c'è nessuno in Microsoft Italia in grado di tradurre nella nostra lingua il riepilogo dei bollettini nel momento dell'uscita dei medesimi? Grazie.

  • Gian Luca,

    Il riepilogo dei bollettini e' disponibile in italiano ma solo un paio di giorni dopo la pubblicazione di quello inglese. Per esempio, qui (technet.microsoft.com/.../ms13-feb) puoi trovare il riepilogo dei bollettini di febbraio 2013. A breve sara' disponibile anche quello di marzo.

    Saluti,

    Gerardo

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment