Italian Microsoft Security News

Fatti e notizie dal Microsoft Security Response Center

April, 2013

  • Rilasciato EMET 4 Beta

    Oggi è stato rilasciato l’Enhanced Mitigation Experience Toolkit (EMET) 4.0 Beta. Per chi non conoscesse EMET, è un software gratuito che aiuta a prevenire lo sfruttamento di vulnerabilità che cercano di eseguire codice arbitrario tramite memory corruption. EMET fornisce questa funzionalità aggiungendo ulteriori mitigation, oltre a quelle già presenti nel sistema operativo, alle applicazioni per il quale è configurato. Il risultato è che queste applicazioni diventano più resistenti agli attacchi, anche quelli che cercano di sfruttare vulnerabilità 0day e vulnerabilità per le quali non è stata ancora applicata una patch.

    EMET è cresciuto molto negli ultimi mesi, ed è ora uno dei software obbligatori sui desktop Windows 8 del Department of Defense americano. È infatti parte della Security Technical Implementation Guide (STIG), una metodologia sviluppata dalla Defense Information Systems Agency per standardizzare l’installazione sicura del software, relativa a Windows 8.

    Come ho già scritto in alcuni post precedenti, lavoro su questo progetto da diversi mesi, quindi questa release mi sta particolarmente a cuore :)

    Questa nuova versione di EMET include nuove feature e mitigation che lo rendono più efficace e facile da usare e gestire.

    Certificate Trust

    In EMET 4.0 viene introdotta una funzionalità che permette di configurare un set di regole per rendere la validazione dei certificati SSL e TLS più robusta mentre si naviga con Internet Explorer. È infatti possibile specificare una lista di siti web ed associare il loro certificato SSL ad una o più Root Certificate Authority (Root CA). Se EMET rileva che il certificato analizzato non è stato emesso dalla Root CA pre-configurata riporterà l’incongruenza, in quanto è possibile che sia in corso un attacco di tipo Man in the Middle. Una volta installato EMET, una lista predefinita di siti web verrà configurata automaticamente. Le regole predefinite coprono i principali servizi Microsoft: i portali d'autenticazione di Microsoft Account, di Office 365 e di Skype. Gli utenti possono comunque modificare ed ampliare questa lista a seconda delle proprie esigenze.

    Hardening delle mitigation correnti

    Durante la fase “Technical Previe" di EMET 3.5 – la precedente versione beta – molti ricercatori hanno individuato alcune tecniche che permettono di bypassare le mitigation anti-ROP di EMET. Con EMET 4.0 abbiamo migliorato queste mitigation e bloccato queste tecniche aggiungendo ulteriori controlli alle funzioni che venivano abusate per il bypass.

    Bugfix relative alla compatibilità con alcune applicazioni

    Chi ha usato EMET finora ha incontrato alcuni casi in cui specifiche mitigation di EMET generavano incompatibilità con alcune applicazioni. EMET 4.0 corregge tutte queste incompatibilità allo scopo di migliorare l’esperienza dell’utente e ridurre i falsi positivi.

    Early Warning Program

    Quando un tentativo di attacco viene rilevato e bloccato da EMET, vengono collezionate una serie di informazioni e trasmesse a Microsoft tramite la funzionalità di Microsoft Error Reporting (MER). Queste informazioni saranno utilizzate per individuare nuovi 0day e ci permetteranno di rispondere in tempi rapidi, cominciando a lavorare su una patch prima che gli exploit diventino pubblici o utilizzati su larga scala.

    In ambienti enterprise che utilizzano funzionalità come Microsoft Desktop Optimization Package o Client Monitoring di System Center Operations Manager, queste informazioni verranno trasmesse sistemi on-premise all'interno della rete, e potranno essere utilizzate dagli amministratori per individuare potenziali attacchi ai sistemi monitorati.

    Questa feature è abilitata di default in questa versione beta di EMET, è sarà possibile disabilitarla sia tramite l’interfaccia grafica di configurazione sia tramite l’utility a riga di comando. L’EMET Privacy Statement fornisce maggiori informazioni sul tipo di dati che vengono raccolti e come questi dati vengono trattati.

    Audit Mode

    Questa nuova feature permette di configurare EMET in “Audit Mode”. In genere, quando EMET identifica e blocca un attacco, l’applicazione che sta subendo l’attacco è terminata. Se l'Audit Mode è abilitato, EMET identificherà l’attacco ma non forzerà l’arresto dell’applicazione. L’Audit Mode è utile nei casi in cui si stia testando EMET su sistemi in produzione con lo scopo di monitorare il suo funzionamento e verificare che non ci siano problemi di compatibilità. Questa modalità non è compatibile con tutte le mitigation, ma è disponibile laddove possibile.

    Una volta installato EMET 4.0 beta verrà configurato automaticamente per monitorare e proteggere Internet Explorer – e i vari controlli ActiveX che vengono utilizzati, Microsoft Office, Adobe Acrobat/Reader, e Java. Inoltre, come già detto in precedenza, verranno applicate regole di SSL/TLS certificate pinning per i principali servizi Microsoft.

    Maggiori dettagli su come configurare EMET e su tutte le nuove feature sono disponibili nella User Guide disponibile all’interno del pacchetto d’installazione.

    In attesa della versione finale di EMET 4.0 prevista per il 14 Maggio, l’invito per tutti è quindi di installare EMET 4.0 Beta e provarlo. Nel caso aveste qualsiasi tipo di domanda o feedback, o trovaste incompatibilità o bug, potete contattare me direttamente o potete mandare una email all’indirizzo emet_feedback@microsoft.com.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Rilasciato il SIR 14 - situazione italiana

    Oggi è stata rilasciata una nuova edizione del Microsoft Security Intelligence Report che contiene un'analisi relativa a nuovi dati sul panorama di rischio. L'edizione numero 14 copre la seconda metà del 2012 ed include dati relativi ai semestri precedenti. Questa edizione del report contiene:

    • Trend ed analisi delle vulnerabilità scoperte
    • Analisi delle attività di exploitation globali
    • Trend ed analisi del malware
    • Analisi del rischio per più di 100 nazioni
    • Dati su come gli attacker utilizzano la posta elettronica come vettore d'attacco
    • Dati aggiornati relativi a siti malevoli, come siti di phishing, siti che servono malware e siti usati per attacchi drive-by

    Inoltre è presente una sezione che si focalizza su come l'utilizzo di software anti-malware aggiornato influisca sulla protezione generale dei sistemi.

    In quest'articolo vorrei analizzare i dati relativi all'Italia e fare un confronto con i dati analizzati nella scorsa edizione.

    Cominciamo ad analizzare il numero di sistemi infetti. In media, sono stati rilevati 3,2 sistemi infetti su 1000, ben sotto la media mondiale che è 6/1000. Come potete vedere dal grafico sottostante, questo trend è in discesa rispetto ai periodi precedenti.

    Per quanto riguarda il tipo di malware identificato, ci sono stati un paio di scambi nelle prime posizioni. I Trojan non sono più diffusi come nel periodo precedente: si passa dal 28.7% al 23.8. Stesso trend per la categoria degli Adware, che ora coprono il 25.6% delle infezioni rispetto al 29.3% del periodo precedente. Crescono invece le infezioni relative al software potenzialmente non voluto, che vanno dal 27.5% del periodo precedente al 32.2%. Una curiosità interessante è che guardando i dati globali i Trojan sono al primo posto, in netto distacco dalla media italiana. Dato inverso invece per quanto riguarda gli Exploit. Che gli italiani stiano diventando più malware-aware e gli attacker debbano ricorrere ad exploit per infettare le macchine?

    Riguardo alle famiglie di malware individuate, in cima alla lista con il 13.7% (rispetto al 4.3% dello scorso periodo) vediamo il malware "Win32/Pdfjsc", categorizzato come "Exploits" perchè sfrutta diverse vulnerabilità di Adobe Acrobat ed Adobe Reader per insinuarsi sui sistemi. Questa ascesa è probabilmente uno dei fattori che ha fatto registrare così tante detection nella famiglia "Exploits". Il 13.3% delle infezioni sono relative all'adware "Win32/DealPly", una new entry, che utilizza la cronologia di navigazione della vittima per proporre offerte pubblicitarie mirate. I Keygen sono sempre nella "hit parade", e salgono dall'8.4% dello scorso periodo al 13.2%.

    Quest'ultima tabella fa riferimento al numero di siti web malevoli, che generalmente contengono pagine di phishing o che servono malware. In molti casi questi siti sono inizialmente legittimi, ma sono stati successivamente compromiessi ed utilizzati per attività malevole. I valori sono in base 1000. Anche in questo caso, l'Italia è leggermente sotto la media mondiale. Il metodo con cui è calcolato questo valore è cambiato rispetto ai report precedenti quindi non è possibile fare un paragone.

    Il report completo relativo ai dati italiani è disponibile qui.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

     

  • Fine del supporto per Windows XP e gli aggiornamenti di Aprile 2013

    Windows XP è stato rilasciato il 24 Agosto 2001. In quel periodo, internet ad alta velocità e le connessioni wireless erano una rarità. Ora sono la normalità. Gli utenti di internet di Internet sono cresciuti da circa 360 milioni  a quasi due miliardi e mezzo. Grazie a programmi come Skype, ora possiamo videochiamare facilmente e i social network dall'essere solo una curiosità per pochi sono diventati uno strumento d'uso quotidiano. Nonostante ciò, Windows XP è stato sempre presente, ed è tuttora vivo e in buona salute. Con la sua longevità e bacino d'utenza, Windows XP ha fedelmente servito i suoi utenti nel corso degli anni. Purtroppo tutte le cose belle finiscono e Windows XP non fa eccezione.

    Tra sole 52 settimane il supporto per Windows XP terminerà. Non mi soffermerò a sottolineare i vantaggi di passare ad un sistema operativo più recente, mi limiterò ad evidenziare che a partire da Aprile 2014 non ci saranno più aggiornamenti di sicurezza per Windows XP. Il fatto che Windows XP non sarà più supportato non fermerà i "bad guys" a cercare di attaccarlo; il problema è che la mancanza di aggiornamenti di sicurezza renderà gli attacchi molto più facili e duraturi. Parliamo spesso di come mitigare i rischi tramite gli aggiornamenti di sicurezza, e con Windows XP a breve in pensione la miglior mitigation è quella di passare ad un sistema Windows più moderno.

    Dato che abbiamo cominciato con il parlare di "vintage", passiamo ora a parlare delle novità di oggi. Sono stati rilasciati nove aggiornamenti, due Critici e sette Importanti, che correggono 14 vulnerabilità in Microsoft Windows, Internet Explorer, Microsoft Antimalware Client, Office e Server Software. Gli aggiornamenti che suggeriamo di prioritizzare sono i MS13-028 e MS13-029. Il primo è relativo a Microsoft Internet Explorer, mentre il secondo è per Windows Remote Desktop Client. L'impatto ed il vettore d'attacco per le vulnerabilità risolte nei due aggiornamenti sono gli stessi: MS13-029 corregge una vulnerabilità che affligge il controllo ActiveX utilizzato dal Remote Desktop Client. In entrambi i casi, quindi, per sfruttare le vulnerabilità un attaccante deve convincere una vittima a visitare una pagina web con contenuto malevolo. Tutte le vulnerabilità sono state riportate privatamente e non ci sono evidenze di attacchi che cercano di sfruttarle.

    In ogni caso, raccomandiamo come sempre di installare tutti gli aggiornamenti il prima possibile.

    La seguente è la tabella che descrive le priorità di deployment consigliate:

    Mentre la seguente è la tabella con l'aggregato di rischio ed exploitability index:

    Per maggiori informazioni su tutti gli aggiornamenti di questo mese visitare la pagina di Riepilogo dei bollettini Microsoft sulla sicurezza - aprile 2013.

    Non esitate a commentare o a contattarmi direttamente in caso di domande. Alla prossima!

    Gerardo Di Giacomo
    Security Program Manager - MSRC