Italian Microsoft Security News

Fatti e notizie dal Microsoft Security Response Center

June, 2013

  • Rilasciata la versione finale di EMET 4

    La versione 4.0 dell'Enhanced Mitigation Experience Toolkit, conosciuto come EMET, è ora disponibile per il download.

    Ho già menzionato alcune delle nuove feature introdotte in EMET 4: Certificate Trust, miglioramento ed hardening delle mitigation e l'Early Warning Program. Durante la beta, abbiamo aggiunto nuove funzionalità e risolto le varie problematiche di compatibilità che sono state riportate. Di seguito la lista dei cambi e dei miglioramenti:

    Nuova interfaccia grafica: Ci siamo resi conto che con l'introduzione delle nuove feature di EMET 4.0 Beta, la vecchia interfaccia grafica non era molto efficace. Per questo motivo abbiamo deciso di ridisegnare EMET GUI per facilitare le varie operazioni di configurazione. Abbiamo anche introdotto la possibilità di cambiare la skin di EMET GUI, che inoltre cambierà automaticamente quando il sistema operativo è configurato con le opzioni di Accessibilità. Di seguito uno screenshot della nuova interfaccia:

     

    Configuration Wizard: Sappiamo che la prima configurazione di EMET può risultare complicata. In EMET 3.0 abbiamo introdotto i "Protection Profiles" con lo scopo di facilitare la configurazione iniziale delle applicazioni da proteggere. Con EMET 4.0 abbiamo introdotto un Configuration Wizard che configura EMET in maniera automatica con un set di regole per il Certificate Trust e con una lista di applicazioni standard da proteggere. Il wizard inoltre permette di importare i settaggi di EMET 3.0, e dà la possibilità di impostare le configurazioni delle nuove feature. Il Configuration Wizard si avvierà automaticamente durante l'installazione di EMET e può essere lanciato da EMET GUI. Gli utenti avanzati possono scegliere di iniziare con la configurazione standard messa a disposizione dal Configuration Wizard per poi andare a personalizzare manualmente EMET nel modo desiderato.

    Cambi del Certificate Trust: Abbiamo fatto un paio di cambiamenti alla feature Certificate Trust. Abbiamo aggiunto una nuova eccezione per le regole di SSL certificate pinning che se abilitata farà controllare la Public Key delle Root CA presenti nella regola, ignorando il subject name ed il serial number. Inoltre, il Certificate Trust è ora disponibile per le versioni a 64 bit di Internet Explorer. Infine, abbiamo aggiornato il set di regole standard aggiungendo regole predefinite per Twitter, Facebook e Yahoo!.

    Aggiornati i profili Group Policy: Gli utenti enterprise noteranno che abbiamo aggiornato i profili Group Policy, ed abbiamo incluso la possibilità di configurare i meccanismi di reporting, le configurazioni avanzate delle mitigation, e l'azione da effettuare quando un exploit viene rilevato.

    Maggiori informazioni su questa release sono disponibili nel blog post pubblicato poco fa sul Security Research & Defense blog.

    Non esitate a contattarmi in caso di domande. Alla prossima!

    Gerardo Di Giacomo
    Security Program Manager - MSRC 

  • Miglioramento alla infrastruttura crittografica e gli aggiornamenti di Giugno 2013

    A Giugno del 2012, è stata introdotta una nuova feature per aggiornare automaticamente la Certificate Trust List (CTL) che permette di spostare velocemente certificati non affidabili o compromessi nella CTL in maniera automatica. Poichè questa feature controlla periodicamente nuovi aggiornamenti tramite internet, gli utenti enterprise che bloccano questo tipo di traffico non sono in grado di utilizzarla a pieno.

    Oggi rilasciamo un aggiornamento, documentato nel Security Advisory 2854544, che aggiorna e migliora questa feature e fornisce agli utenti enterprise ulteriori strumenti per gestire la propria Public Key Infrastructure (PKI). Questa funzionalità, disponibile inizialmente per Windows 8, Windows Server 2012 e Windows RT, è ora disponibile anche per Windows Vista e Windows 7. Nei prossimi mesi aggiorneremo il security advisory con lo scopo di migliorare l'infrastruttura che gestisce la crittografia e la gestione dei certificati in Windows. I nostri sforzi non sono in risposta ad un incidente specifico, ma sono frutto della continua evoluzione di come i certificati digitali vengono gestiti, in modo da aumentare la sicurezza dei sistemi.

    Andiamo ad analizzare ora i cinque aggiornamenti rilasciati oggi, uno Critico e quattro Importanti, che correggono 23 vulnerabilità in Microsoft Windows, Office e Internet Explorer. Per coloro i quali debbano prioritizzare l'installazione di questi aggiornamenti, raccomandiamo di prioritizzare MS13-047 e MS13-051. Come sempre, raccomandiamo di installare tutti gli aggiornamenti il prima possibile.

    MS13-047 | Aggiornamento cumulativo per la protezione di Internet Explorer
    Questo aggiornamento risolve 18 vulnerabilità in Internet Explorer che se sfruttate permettono l'esecuzione di codice arbitrario, con gli stessi privilegi dell'utente correntemente in uso, quando una vittima naviga su un sito con contenuto malevolo. Questo aggiornamento è Critico per tutte le versioni di Internet Explorer su tutte le versioni supportate di Microsoft Windows. Tutte le vulnerabilità sono state riportate privatamente e non ci sono evidenze di attacchi.

    MS13-051 | Una vulnerabilità in Microsoft Office può consentire l'esecuzione di codice in modalità remota
    Questo aggiornamento risolve una vulnerabilità in Microsoft Office. La vulnerabilità se sfruttata permette l'esecuzione di codice arbitrario se un utente apre un documento Office malevolo con una versione vulnerabile di Microsoft Office, o apre o fa l'anteprima tramite Outlook di un messaggio di posta malevolo quando Microsoft Word è utilizzato per visualizzare il messaggio. Questo aggiornamento è Importante per Microsoft Office 2003 ed Office per Mac 2011. Sebbene i dettagli di questa vulnerabilità non sono pubblici, siamo a conoscenza di un limitato numero di attacchi mirati che cercano di sfruttare questa vulnerabilità.

    La seguente è la tabella completa per le priorità degli aggiornamenti di questo mese: 

    Mentre la seguente è la tabella che contiene l'aggregato di rischio ed exploitability index:

     

    Per maggiori informazioni sugli aggiornamenti di questo mese, consiglio di visitare la pagina di Riepilogo dei bollettini Microsoft sulla sicurezza - giugno 2013.

    In caso di domande o chiarimenti non esitate a conttattarmi.

    Alla prossima!

    Gerardo Di Giacomo
    Security Program Manager - MSRC