Italian Microsoft Security News

Fatti e notizie dal Microsoft Security Response Center

Italian Microsoft Security News

  • Fine del supporto per Windows XP e gli aggiornamenti di Aprile 2013

    Windows XP è stato rilasciato il 24 Agosto 2001. In quel periodo, internet ad alta velocità e le connessioni wireless erano una rarità. Ora sono la normalità. Gli utenti di internet di Internet sono cresciuti da circa 360 milioni  a quasi due miliardi e mezzo. Grazie a programmi come Skype, ora possiamo videochiamare facilmente e i social network dall'essere solo una curiosità per pochi sono diventati uno strumento d'uso quotidiano. Nonostante ciò, Windows XP è stato sempre presente, ed è tuttora vivo e in buona salute. Con la sua longevità e bacino d'utenza, Windows XP ha fedelmente servito i suoi utenti nel corso degli anni. Purtroppo tutte le cose belle finiscono e Windows XP non fa eccezione.

    Tra sole 52 settimane il supporto per Windows XP terminerà. Non mi soffermerò a sottolineare i vantaggi di passare ad un sistema operativo più recente, mi limiterò ad evidenziare che a partire da Aprile 2014 non ci saranno più aggiornamenti di sicurezza per Windows XP. Il fatto che Windows XP non sarà più supportato non fermerà i "bad guys" a cercare di attaccarlo; il problema è che la mancanza di aggiornamenti di sicurezza renderà gli attacchi molto più facili e duraturi. Parliamo spesso di come mitigare i rischi tramite gli aggiornamenti di sicurezza, e con Windows XP a breve in pensione la miglior mitigation è quella di passare ad un sistema Windows più moderno.

    Dato che abbiamo cominciato con il parlare di "vintage", passiamo ora a parlare delle novità di oggi. Sono stati rilasciati nove aggiornamenti, due Critici e sette Importanti, che correggono 14 vulnerabilità in Microsoft Windows, Internet Explorer, Microsoft Antimalware Client, Office e Server Software. Gli aggiornamenti che suggeriamo di prioritizzare sono i MS13-028 e MS13-029. Il primo è relativo a Microsoft Internet Explorer, mentre il secondo è per Windows Remote Desktop Client. L'impatto ed il vettore d'attacco per le vulnerabilità risolte nei due aggiornamenti sono gli stessi: MS13-029 corregge una vulnerabilità che affligge il controllo ActiveX utilizzato dal Remote Desktop Client. In entrambi i casi, quindi, per sfruttare le vulnerabilità un attaccante deve convincere una vittima a visitare una pagina web con contenuto malevolo. Tutte le vulnerabilità sono state riportate privatamente e non ci sono evidenze di attacchi che cercano di sfruttarle.

    In ogni caso, raccomandiamo come sempre di installare tutti gli aggiornamenti il prima possibile.

    La seguente è la tabella che descrive le priorità di deployment consigliate:

    Mentre la seguente è la tabella con l'aggregato di rischio ed exploitability index:

    Per maggiori informazioni su tutti gli aggiornamenti di questo mese visitare la pagina di Riepilogo dei bollettini Microsoft sulla sicurezza - aprile 2013.

    Non esitate a commentare o a contattarmi direttamente in caso di domande. Alla prossima!

    Gerardo Di Giacomo
    Security Program Manager - MSRC

     

     

     

     

     

     

     

     

     

     
  • Rilasciato il Security Advisory 2718704

    Siamo venuti a conoscenza del malware "Flame" e abbiamo immediatamente cominciato le analisi di questo malware. Come riportato in diversi articoli, Flame è stato usato in attacchi mirati ed altamente sofisticati e, di conseguenza, la maggior parte degli utenti non sono a rischio. Inoltre, la maggioranza dei software antivirus forniscono protezioni capaci di identificare e rimuovere il malware. Detto ciò, la nostra analisi ha evidenziato alcune tecniche usate da questo malware che possono essere sfruttate anche in attacchi più ampi e meno sofisticati. Per proteggere gli utenti abbiamo deciso di condividere le nostre analisi e prendere provvedimenti per mitigare il rischio.

    Abbiamo scoperto che alcuni componenti di Flame sono firmati da certificati che permettono al malware di essere identificato come se fosse rilasciato da Microsoft. Abbiamo rilevato che un algoritmo di crittografia debole può essere utilizzato per generare certificati per firmare eseguibili. Nello specifico, il Terminal Server Licensing Service, che permette gli utenti di autorizzare servizi Remote Desktop, usava certificati con questo algoritmo.

    Per mitigare questo rischio abbiamo deciso di prendere i seguenti provvedimenti:

    • Abbiamo rilasciato un Security Advisory che documenta come gli utenti possono bloccare software firmato da questi certificati non autorizzati.
    • Abbiamo rilasciato un aggiornamento che protegge automaticamente gli utenti.
    • Il Terminal Server Licensing Server non produce più certificati che permettono code signing.

    Questi provvedimenti fanno sì che i componenti del malware che utilizzano questo metodo non appaiano firmati da Microsoft. Stiamo attivamente continuando l'analisi e, in caso, prenderemo ulteriori provvedimenti per proteggere gli utenti.

    Per maggiori informazioni tecniche, fare riferimento a questo SRD blog.

    Rimango a disposizione per ulteriori domande o chiarimenti.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Rilasciato EMET 4 Beta

    Oggi è stato rilasciato l’Enhanced Mitigation Experience Toolkit (EMET) 4.0 Beta. Per chi non conoscesse EMET, è un software gratuito che aiuta a prevenire lo sfruttamento di vulnerabilità che cercano di eseguire codice arbitrario tramite memory corruption. EMET fornisce questa funzionalità aggiungendo ulteriori mitigation, oltre a quelle già presenti nel sistema operativo, alle applicazioni per il quale è configurato. Il risultato è che queste applicazioni diventano più resistenti agli attacchi, anche quelli che cercano di sfruttare vulnerabilità 0day e vulnerabilità per le quali non è stata ancora applicata una patch.

    EMET è cresciuto molto negli ultimi mesi, ed è ora uno dei software obbligatori sui desktop Windows 8 del Department of Defense americano. È infatti parte della Security Technical Implementation Guide (STIG), una metodologia sviluppata dalla Defense Information Systems Agency per standardizzare l’installazione sicura del software, relativa a Windows 8.

    Come ho già scritto in alcuni post precedenti, lavoro su questo progetto da diversi mesi, quindi questa release mi sta particolarmente a cuore :)

    Questa nuova versione di EMET include nuove feature e mitigation che lo rendono più efficace e facile da usare e gestire.

    Certificate Trust

    In EMET 4.0 viene introdotta una funzionalità che permette di configurare un set di regole per rendere la validazione dei certificati SSL e TLS più robusta mentre si naviga con Internet Explorer. È infatti possibile specificare una lista di siti web ed associare il loro certificato SSL ad una o più Root Certificate Authority (Root CA). Se EMET rileva che il certificato analizzato non è stato emesso dalla Root CA pre-configurata riporterà l’incongruenza, in quanto è possibile che sia in corso un attacco di tipo Man in the Middle. Una volta installato EMET, una lista predefinita di siti web verrà configurata automaticamente. Le regole predefinite coprono i principali servizi Microsoft: i portali d'autenticazione di Microsoft Account, di Office 365 e di Skype. Gli utenti possono comunque modificare ed ampliare questa lista a seconda delle proprie esigenze.

    Hardening delle mitigation correnti

    Durante la fase “Technical Previe" di EMET 3.5 – la precedente versione beta – molti ricercatori hanno individuato alcune tecniche che permettono di bypassare le mitigation anti-ROP di EMET. Con EMET 4.0 abbiamo migliorato queste mitigation e bloccato queste tecniche aggiungendo ulteriori controlli alle funzioni che venivano abusate per il bypass.

    Bugfix relative alla compatibilità con alcune applicazioni

    Chi ha usato EMET finora ha incontrato alcuni casi in cui specifiche mitigation di EMET generavano incompatibilità con alcune applicazioni. EMET 4.0 corregge tutte queste incompatibilità allo scopo di migliorare l’esperienza dell’utente e ridurre i falsi positivi.

    Early Warning Program

    Quando un tentativo di attacco viene rilevato e bloccato da EMET, vengono collezionate una serie di informazioni e trasmesse a Microsoft tramite la funzionalità di Microsoft Error Reporting (MER). Queste informazioni saranno utilizzate per individuare nuovi 0day e ci permetteranno di rispondere in tempi rapidi, cominciando a lavorare su una patch prima che gli exploit diventino pubblici o utilizzati su larga scala.

    In ambienti enterprise che utilizzano funzionalità come Microsoft Desktop Optimization Package o Client Monitoring di System Center Operations Manager, queste informazioni verranno trasmesse sistemi on-premise all'interno della rete, e potranno essere utilizzate dagli amministratori per individuare potenziali attacchi ai sistemi monitorati.

    Questa feature è abilitata di default in questa versione beta di EMET, è sarà possibile disabilitarla sia tramite l’interfaccia grafica di configurazione sia tramite l’utility a riga di comando. L’EMET Privacy Statement fornisce maggiori informazioni sul tipo di dati che vengono raccolti e come questi dati vengono trattati.

    Audit Mode

    Questa nuova feature permette di configurare EMET in “Audit Mode”. In genere, quando EMET identifica e blocca un attacco, l’applicazione che sta subendo l’attacco è terminata. Se l'Audit Mode è abilitato, EMET identificherà l’attacco ma non forzerà l’arresto dell’applicazione. L’Audit Mode è utile nei casi in cui si stia testando EMET su sistemi in produzione con lo scopo di monitorare il suo funzionamento e verificare che non ci siano problemi di compatibilità. Questa modalità non è compatibile con tutte le mitigation, ma è disponibile laddove possibile.

    Una volta installato EMET 4.0 beta verrà configurato automaticamente per monitorare e proteggere Internet Explorer – e i vari controlli ActiveX che vengono utilizzati, Microsoft Office, Adobe Acrobat/Reader, e Java. Inoltre, come già detto in precedenza, verranno applicate regole di SSL/TLS certificate pinning per i principali servizi Microsoft.

    Maggiori dettagli su come configurare EMET e su tutte le nuove feature sono disponibili nella User Guide disponibile all’interno del pacchetto d’installazione.

    In attesa della versione finale di EMET 4.0 prevista per il 14 Maggio, l’invito per tutti è quindi di installare EMET 4.0 Beta e provarlo. Nel caso aveste qualsiasi tipo di domanda o feedback, o trovaste incompatibilità o bug, potete contattare me direttamente o potete mandare una email all’indirizzo emet_feedback@microsoft.com.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Security Response in evoluzione e gli aggiornamenti di Marzo 2013

    Il mio collega Dustin Childs, Group Manager di TwC Response Communications, comincia il blog relativo agli aggiornamenti di questo mese con una citazione di Giuseppe Tomasi Di Lampedusa: "Se vogliamo che tutto rimanga come è, bisogna che tutto cambi". Ci sono cose che non vogliamo che cambino. In Microsoft, ci impegnamo a fornire protezione per gli utenti nel modo più trasparente ed autorevole possibile. Ovviamente, dato che la tecnologia cambia, anche noi dobbiamo cambiare per raggiungere lo stesso obiettivo.

    Una recente novità è stata la possibilità di ottenere applicazioni tramite il Windows Store. Come Mike Reavey cita nel suo blog post di oggi, la decisione su come fornire aggiornamenti di sicurezza per le app è stata presa dopo molte riflessioni. Alla fine, la nostra decisione permette agli utenti di ottenere  aggiornamenti di sicurezza in modo semplice e veloce, e allo stesso tempo ci permette di essere il più possibile trasparenti. Gli aggiornamenti di sicurezza saranno distribuiti in maniera identica a qualsiasi altro aggiornamento tramite il Windows Store. La differenza è che documenteremo le problematiche di sicurezza in un Security Advisory, e modificheremo questo advisory ogni qual volta sarà rilasciato un aggiornamento di sicurezza relativo ad una app Microsoft. La policy completa è disponibile a questa pagina.

    Un altro cambiamento riguarda le "10 Immutable Laws of Security". La legge numero 3 dice:

    "Se un utente malintenzionato ha accesso fisico illimitato al tuo computer, non è più il tuo computer."

    Questa legge è ancora valida oggi. Non esiste aggiornamento che può proteggere contro un attacco Denial of Service effettuato con un martello. In ogni caso, sappiamo che c'è una differenza tra accesso fisico casuale e accesso fisico illimitato. Questo mese, risolviamo un problema nei Kernel-Mode Drivers dove un utente malintenzionato potrebbe compromettere un sistema solo inserendo una periferica USB in un sistema. Sebbene questa non sia la prima problematica che riguarda accesso fisico e le periferiche USB, è diversa dalle altre perchè non richiede autenticazione al sistema. Inoltre permette di eseguire codice in kernel-mode, mentre gli attacchi precedenti permettevano solo esecuzione di codice con privilegi dell'utente in uso. Con queste premesse, chiunque abbia un accesso casuale ad un sistema, come per esempio una guardia notturna od un custode, potrebbe semplicemente utilizzare una periferica USB per compromettere un sistema ed avere privilegi di elevati.

    Questo tipo di accesso fisico non è illimitato: in questo caso, un utente malintenzionato avrebbe la possibilità di rubare un sistema, effettuare un boot da una periferica esterna ed estrarre i file dal disco fisso. Un accesso fisico casuale insieme alla possibilità di eseguire code in kernel-mode rappresenta un rischio sufficiente da giustificare un aggiornamento di sicurezza.

    Ovviamente, nessuno di questi cambiamenti è rivoluzionario, ma riconosciamo che per stare al passo con l'evoluzione della sicurezza informatica e della tecnologia in genere dobbiamo continuare a migliorare ed evolvere i nostri processi. In linea di massima, ci poniamo continuamente la domanda "è questo il modo migliore per proteggere gli utenti?". Se la risposta ad un certo punto da sì diventa no, apportiamo cambiamenti affinchè quella risposta sia nuovamente sì.

    Passiamo gli aggiornamenti di questo mese.

    Sono stati rilasciati 7 aggiornamenti, quattro Critici e tre Importanti, che risolvono 20 vulnerabilità in Microsoft Windows, Office, Internet Explorer, Server Tools e Silverlight. Consigliamo di prioritizzare i seguenti aggiornamenti:

    MS13-021 Microsoft Internet Explorer

    Questo aggiornamento risolve nove vulnerabilità in Internet Explorer. La vulnerabilità più critica permetterebbe ad un utente malintenzionato di eseguire codice da remoto con i privilegi dell'utente in uso facendo visualizzare alla vittima una pagina web malevola con Internet Explorer. Otto delle 9 vulnerabilità risolte sono state riportate privatamente. Ad oggi non abbiamo rilevato attacchi.

    MS13-022 Microsoft Silverlight

    Questo aggiornamento risolve una vulnerabilità in Microsoft Silverlight. La vulnerabilità  permetterebbe ad un utente malintenzionato di eseguire codice da remoto con i privilegi dell'utente in uso facendo visualizzare alla vittima una pagina web contenente un'applicazione Silverlight malevola. Questa vulneraiblità è stata riportata privatamente e ad oggi non abbiamo rilevato attacchi.

    MS13-027 Kernel Mode Drivers

    Questo aggiornamento risolve tre vulnerabilità in Microsoft Windows. Queste vulnerabilità permetterebbero di elevare i propri privilegi in un sistema. In una configurazione di default, un utente non autenticato potrebbe sfruttare questa vulnerabilità solo avendo accesso fisico al sistema. Anche in questo caso, queste vulnerabilità sono state riportate privatamente e ad oggi non abbiamo rilevato attacchi.

    Come sempre raccomandiamo di installare tutti gli aggiornamenti il prima possibile.

    Di seguito è disponibile la tabella relativa alla priorità di tutti gli aggiornamenti:

    Mentre la seguente è la pagina con l'aggregato di rischio ed Expoitability Index:

    Maggiori informazioni sugli aggiornamenti di questo mese sono disponibili alla pagina Riepilogo dei bollettini Microsoft sulla sicurezza - marzo 2013.

    Gerardo Di Giacomo
    Security Program Manager - MSRC 

  • Rilasciato il Security Advisory 2737111

    Pochi minuti fa è stato rilasciato il Security Advisory 2737111 che fornisce dei workaround per proteggere gli utenti da una vulnerabilità in una delle librerie di Oracle Outside In, aggiornate qualche giorno fa. Microsoft utilizza, tramite una collaborazione con Oracle, queste librerie in Microsoft Exchange 2007, Microsoft Exchange 2010 e FAST Search Server 2010 per SharePoint. Non siamo a conoscenza di attacchi che cercano di sfruttare questa vulnerabilità, ma raccomandiamo di utilizzare i workaround descritti nell'Advisory per mitigare l'impatto sulle piattaforme sopra riportate.

    Stiamo lavorando ad un aggiornamento per risolvere il problema. Nel frattempo, il Security Research & Defense team ha pubblicato un articolo che fornisce maggiori informazioni riguardo la vulnerabilità, descrivendo dettagli sui workaround descritti nell'Advisory. Pubblicheremo maggiori informazioni non appena saranno disponibili.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Fix it per Internet Explorer disponibile, Security Update previsto per venerdì

    Oggi è stato rilasciato un pacchetto Fix it che permette di mitigare la vulnerabilità di Internet Explorer descritta nel Security Advisory 2757760. Una volta installato il pacchetto, il sistema sarà protetto automaticamente e senza dover riavviare. Maggiori informazioni tecniche relative alla vulnerabilità e al pacchetto Fix it sono disponibili in questo articolo sull'SRD blog.

    Il prossimo venerdì inoltre rilasceremo un aggiornamento per Internet Explorer tramite Windows Update e tutti gli altri canali di distribuzione standard. Suggeriamo agli utenti di installare questo aggiornamento il prima possibile. Ovviamente, se si utilizza Automatic Update, non sarà necessaria nessuna azione, e l'aggiornamento sarà installato automaticamente. Non solo questo aggiornamento correggerà in maniera definitiva la vulnerabilità, ma risolverà anche altre 4 vulnerabilità, tutte remote code execution. L'aggiornamento (MS12-063) sarà Critico.

    Maggiori informazioni sono disponibili nell'Advance Notification Service (ANS) di oggi.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Rilasciati gli aggiornamenti di Gennaio 2012

    Ciao a tutti. Come anticipato nel blog post riguardo l'Advance Notification Service lo scorso giovedì, oggi verranno rilasciati sette bollettini di sicurezza, uno Critico e sei Importanti.

    Gli aggiornamenti rilasciati oggi correggono otto vulnerabilità in prodotti Microsoft. Al solito, si consiglia di installare gli aggiornamenti il prima possibile. Nel caso non fosse possibile, raccomandiamo di prioritizzare l'aggiornamento valutato Critico:

    • MS12-004 (Windows Media Player): Questo aggiornamento, l'unico di questo mese che risolve più di una vulnerabilità, corregge due problematiche che coinvolgono file MIDI o DirectShow. Entrambe le vulnerabilità sono state segnalate privatamente a Microsoft, ed ad oggi non sono stati rilevati attacchi. Consigliamo gli utenti di rivedere il bollettino per avere maggiori dettagli ed installare l'aggiornamento il prima possibile.

    Di seguito la tabella con i suggerimenti sulla prioritizzazione degli aggiornamenti.

    Deployment Priority

    Mentre il seguente grafico mostra i valori aggregati di rischio ed Exploitability Index per ogni aggiornamento.

    Exploitability Index

    Maggiori informazioni e i link ai singoli bollettini sono disponibili alla pagina Riepilogo dei bollettini Microsoft sulla sicurezza di Gennaio 2012.

    Il mese scorso abbiamo annunciato un bollettino riguardante la vulnerabilità in SSL descritta nel Security Advisory 2588513. Pochi giorni prima del rilascio, abbiamo riscontrato un problema di compatibilità riguardante alcuni prodotti di terze parti, e abbiamo deciso di rimandare il rilascio fin quando tali problemi non fossero risolti. L'aggiornamento in questione è stato rilasciato oggi come MS12-006. Il corrispondente articolo Knowledge Base fornisce maggiori informazioni e pacchetti Fix It, utili in caso di problemi con quest'aggiornamento.

    Come ogni mese, il team Security Research and Defense ha preparato due articoli con approfondimenti tecnici riguardo gli aggiornamenti di questo mese. Sono disponibili infatti dettagli riguardo MS12-001, che corregge una vulnerabilità valutata Importante che affligge la tecnologia SafeSEH, ed una panoramica riguardo il già citato MS12-004.

    Infine voglio ricordare che Mercoledì sarà tenuto il webcast relativo agli aggiornamenti di questo mese, con Pete Voss e Dustin Childs. L'appuntamento è per domani, Mercoledì 11 Gennaio 2012, alle ore 20:00 ora italiana. Per registrarsi, consultare questa pagina.

    Rimango a disposizione per ulteriori chiarimenti o informazioni.

    Alla prossima!

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Update Tuesday di Settembre 2013

    È già Settembre, ed è un mese ricco di aggiornamenti. Oggi infatti ne sono stati rilasciati 13, quattro Critici e nove Importanti, che correggono 47 vulnerabilità in Microsoft Windows, Office, Internet Explorer e SharePoint. Gli aggiornamenti che consigliamo di priorizzare questo mese sono MS13-067, MS13-068 e MS13-069.

    MS13-068 | Vulnerability in Microsoft Outlook Could Allow Remote Code Execution

    Questo aggiornamento risolve una vulnerabilità, riportata privatamente, che permette l'esecuzione di codice arbitrario da remoto se un'email che contiene un certificato S/MIME malevolo è visualizzata o ne viene fatta la preview. Come descritto nell'SRD Blog,creare certificati S/MIME è piuttosto semplice, ma crearne uno che permette di sfruttare questa vulnerabilità per eseguire codice è decisamente più complicato. Nonostante ciò, il rischio esiste ed è per questo che l'aggiornamento è in cima alla lista per quanto riguarda le priorità d'installazione.

    MS13-069 | Cumulative Security Update for Internet Explorer

    Aggiornamento Critico per Internet Explorer che risolve 10 vulnerabilità, tutte riportate privatamente e per le quali non sono stati rilevati attacchi. Tutte le vulnerabilità sono di tipo memory corruption e permettono di eseguire codice arbitrario da remoto, con gli stessi privilegi dell'utente in uso, quando viene visualizzata una pagina web con contenuto malevolo.

    MS13-067 | Vulnerabilities in Microsoft SharePoint Server Could Allow Remote Code Execution

    Questo aggiornamento per SharePoint risolve 10 vulnerabilità, di cui solo una Critica e che permette l'esecuzione di codice arbitrario con i privilegi dell'account di servizio W3WP. Un'altra vulnerabilità da segnalare è Importante ed identificata con il CVE-2013-3180. Questa vulnerabilità è stata divulgata pubblicamente, ma non sono stati rilevati attacchi.

    Di seguito la tabella completa che mostra informazioni relative alle priorità di tutti gli aggiornamenti:

    Mentre di seguito la tabella con l'aggregato dei valori di Severity ed Exploitability Index:

    Infine, oggi viene inoltre rilasciato un nuovo aggiornamento per Adobe Flash per Internet Explorer. Maggiori informazioni sono disponibili tramite il solito Security Advisory 2755801.

    Come ogni mese, informazioni su tutti gli aggiornamenti sono disponibili alla pagina di Riepilogo dei bollettini Microsoft sulla sicurezza - settembre 2013.

    Alla prossima!

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Microsoft rilascia il Security Advisory 2887505

    Oggi rilasciamo il Security Advisory 2887505 relativo ad una vulnerabilità in Internet Explorer. È stato riportato solo un numero limitato di attacchi mirati diretti principalmente ad Internet Explorer 8 e 9. Questa vulnerabilità permette di eseguire codice da remoto se viene visitato un sito web con contenuto malevolo. Gli utenti che utilizzano versioni recenti di Windows e Internet Explorer beneficiano di ulteriori feature di sicurezza che aiutano a limitare l'exploitation di questa vulnerabilità.

    Stiamo lavorando ad un security update che risolve la vulnerabilità in maniera definitiva. Nel frattempo, incoraggiamo gli utenti che utilizzano Internet Explorer e che pensano siano maggiormente a rischio, di applicare almeno uno dei workaround suggeriti nell'advisory ed elencati in seguito:

    • Applicare il Microsoft Fix It "CVE-2013-3893 MSHTML Shim Workaround", che impedisce l'exploitation della vulnerabilità
      La pagina Micorosft Knowledge Base 2887505 contiene informazioni su come installare o disinstallare questo workaround.
    • Installare EMET
      EMET 4 è efficace contro gli exploit noti che cercano di sfruttare questa vulnerabilità.
    • Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" per bloccare i controlli ActiveX e script attivo in queste aree
      Questo workaround previene l'exploitation ma limita l'usabilità, quindi suggeriamo di aggiungere i siti affidabili nella lista dei "Siti attendibili".
    • Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale
      Come nel caso precedente, questo workaround previene l'exploitation ma limita l'usabilità, quindi suggeriamo di aggiungere i siti affidabili nella lista dei "Siti attendibili".

    Stiamo monitorando il panorama di rischio e continueremo ad intraprendere le azioni necessarie per proteggere gli utenti.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Gli aggiornamenti di Ottobre 2013

    Questo mese Microsoft rilascia otto aggiornamenti, quattro Critici e quattro Importanit, che risolvono 26 vulnerabilità in Microsoft Windows, Internet Explorer, SharePoint, .NET Framework, Office e Silverlight. Per coloro i quali debbano priorizzare gli aggiornamenti, consigliamo di cominciare con MS13-080, MS13-081 e MS13-083.

    MS13-080 | Cumulative Security Update for Internet Explorer
    Questo aggiornamento risolve 10 vulnerabilità in Internet Explorer. La vulnerabilità più severa permette l'esecuzione di codice arbitrario quando una pagina web con contenuto malevola viene visitata con Internet Explorer. Questo aggiornamento contiene anche un fix per la vulnerabilità descritta nel Security Advisory 2887505. Tutte le vulnerabilità, con eccezione di quella descritta nel Security Advisory, sono state riportate privatamente.

    MS13-081 | Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Remote Code Execution
    Questo aggiornamento risolve sette vulnerabilità in Microsoft Windows. La vulnerabilità più severa permette l'esecuzione di codice arbitrario quando una pagina web contenente un font malevolo di tipo OpenType viene visitata. Questo aggiornamento risolve anche vulnerabiltà che possono essere sfruttate per elevare i propri privilegi una volta che un sistema viene compromesso. Queste vulnerabilità sono state tutte riportate privatamente e non sono stati rilevati attacchi.

    MS13-083 | Vulnerability in Windows Common Control Library Could Allow Remote Code Execution
    Questo aggiornamento risolve una vulnerabilità in Microsoft Windows. La vulnerabilità permette l'esecuzione di codice arbitrario se un sistema vulnerabile utilizza un'applicazione ASP.NET e può ricevere determinati tipi di richieste. La vulnerabilità è stata riportata privatamente e non sono stati rilevati attacchi.

    Di seguito la tabella delle priorità consigliate per tutti gli aggiornamenti.

     

    Mentre la seguente è la tabella con l'aggregato di rischio ed Exploitability Index.

    Ulteriori informazioni sono disponibili alla pagina di Riepilogo dei bollettini Microsoft sulla sicurezza - ottobre 2013.

    Alla prossima!

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Rilasciato il SIR 14 - situazione italiana

    Oggi è stata rilasciata una nuova edizione del Microsoft Security Intelligence Report che contiene un'analisi relativa a nuovi dati sul panorama di rischio. L'edizione numero 14 copre la seconda metà del 2012 ed include dati relativi ai semestri precedenti. Questa edizione del report contiene:

    • Trend ed analisi delle vulnerabilità scoperte
    • Analisi delle attività di exploitation globali
    • Trend ed analisi del malware
    • Analisi del rischio per più di 100 nazioni
    • Dati su come gli attacker utilizzano la posta elettronica come vettore d'attacco
    • Dati aggiornati relativi a siti malevoli, come siti di phishing, siti che servono malware e siti usati per attacchi drive-by

    Inoltre è presente una sezione che si focalizza su come l'utilizzo di software anti-malware aggiornato influisca sulla protezione generale dei sistemi.

    In quest'articolo vorrei analizzare i dati relativi all'Italia e fare un confronto con i dati analizzati nella scorsa edizione.

    Cominciamo ad analizzare il numero di sistemi infetti. In media, sono stati rilevati 3,2 sistemi infetti su 1000, ben sotto la media mondiale che è 6/1000. Come potete vedere dal grafico sottostante, questo trend è in discesa rispetto ai periodi precedenti.

    Per quanto riguarda il tipo di malware identificato, ci sono stati un paio di scambi nelle prime posizioni. I Trojan non sono più diffusi come nel periodo precedente: si passa dal 28.7% al 23.8. Stesso trend per la categoria degli Adware, che ora coprono il 25.6% delle infezioni rispetto al 29.3% del periodo precedente. Crescono invece le infezioni relative al software potenzialmente non voluto, che vanno dal 27.5% del periodo precedente al 32.2%. Una curiosità interessante è che guardando i dati globali i Trojan sono al primo posto, in netto distacco dalla media italiana. Dato inverso invece per quanto riguarda gli Exploit. Che gli italiani stiano diventando più malware-aware e gli attacker debbano ricorrere ad exploit per infettare le macchine?

    Riguardo alle famiglie di malware individuate, in cima alla lista con il 13.7% (rispetto al 4.3% dello scorso periodo) vediamo il malware "Win32/Pdfjsc", categorizzato come "Exploits" perchè sfrutta diverse vulnerabilità di Adobe Acrobat ed Adobe Reader per insinuarsi sui sistemi. Questa ascesa è probabilmente uno dei fattori che ha fatto registrare così tante detection nella famiglia "Exploits". Il 13.3% delle infezioni sono relative all'adware "Win32/DealPly", una new entry, che utilizza la cronologia di navigazione della vittima per proporre offerte pubblicitarie mirate. I Keygen sono sempre nella "hit parade", e salgono dall'8.4% dello scorso periodo al 13.2%.

    Quest'ultima tabella fa riferimento al numero di siti web malevoli, che generalmente contengono pagine di phishing o che servono malware. In molti casi questi siti sono inizialmente legittimi, ma sono stati successivamente compromiessi ed utilizzati per attività malevole. I valori sono in base 1000. Anche in questo caso, l'Italia è leggermente sotto la media mondiale. Il metodo con cui è calcolato questo valore è cambiato rispetto ai report precedenti quindi non è possibile fare un paragone.

    Il report completo relativo ai dati italiani è disponibile qui.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

     

  • Security Advisory 2718704: Strategia di Difesa a Fasi

    Il nostro obiettivo in Microsoft è di fornire agli utenti un'esperienza affidabile e sicura con la tecnologia ed internet. Questo è sempre stato lo scopo del Trustworthy Computing, e l'obiettivo principale è quello di provvedere alla protezione degli utenti.

    Ieri abbiamo rilasciato il Security Advisory 2718704, documentando i passi da intraprenere per essere protetti da attacchi che utilizzano certificati non autorizzati. Questa è stata la prima di una serie di azioni in una strategia di difesa a fasi, dove come prima mossa abbiamo neutralizzato i certificati non autorizzati usati negli attacchi relativi al malware Flame e ad altri rischi che tali certificati possono causare. Dato che eliminare questi certificati è stata un'azione immediata e diretta, crediamo che questa sia stata la mossa più rapida ed efficace per proteggere gli utenti.

    Da ieri, stiamo lavorando al supporto degli utenti sulla prioritizzazione dell'aggiornamento discusso nell'Advisory. Alcuni hanno chiesto entro quando l’aggiornamento debba essere installato. La nostra raccomandazione è, come per gli aggiornamenti di sicurezza, di installarlo il prima possibile, per un semplice motivo: il fatto che un malware può essere creato ed essere distribuito come se fosse un prodotto Microsoft. Rimuovere il trust a questi certificati non autorizzati è il primo passo per essere certi che questi non vengano utilizzati per attaccare sistemi Windows.

    Chi ha creato Flame, ha utilizzato un collision attack, in combinazione con i certificati del Terminal Server Licensing Service, per firmare codice. C'è da dire, comunque, che questi certificati danno la possibilità di firmare codice senza effettuare nessun attacco crittografico, e questa è una possibilità che può suscitare interesse per eventuali ulteriori attacker. In ogni caso, Windows Update può essere impersonificato utilizzando un certificato non autorizzato, in combinazione con un attacco man-in-the-middle.

    Per offrire maggiore protezione per gli utenti, il nostro prossimo passo è quello di rafforzare ulteriormente Windows Update. Cominceremo questo processo di hardening dopo aver verificato che l'aggiornamento relativo al Security Advisory 2718704 abbia raggiunto un adeguato numero di utenti, per non inteferire con la sua diffusione. Forniremo a breve maggiori informazioni su cosa verrà migliorato in Windows Update.

    Il rischio è sotto continuo monitoraggio e l’analisi della situazione è continua. Forniremo aggiornamenti tempestivi appena ci saranno ulteriori sviluppi.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Security Advisory 2718704: Dettagli sul Collision Attack e hardening di WU

    Oggi, come annunciato in precedenza, abbiamo cominciato il processo di hardening di Windows Update. Abbiamo anche preparato un SRD blog post con maggiori informazioni sugli attacchi hash collision contro MD5 usati dal malware Flame. L'SRD blog dovrebbe rispondere a tutte le domande relative al collision attack.

    Per attaccare i sistemi che utilizzano Windows Vista e versioni più recenti, un attacker avrebbe dovuto ottenere un certificato, ora invalido, del Terminal Server Licensing Service ed effettuare un sofisticato attacco MD5 hash collision. Su sistemi antecedenti a Vista, è possibile effettuare l'attacco senza hash collision. In entrambi i casi, ovviamente, un attacker deve far eseguire al sistema vittima il software firmato. Questo è possibile se la vittima riceve, tramite gli aggiornamenti automatici, il file firmato, dato che la firma utilizzata era considerata valida. Windows Update può essere impersonificato solo con un certificato non autorizzato in combinazione con un attacco Man in the Middle. Per risolvere questo problema, stiamo prendendo provvedimenti per rendere più sicuro Windows Update.

    Quando accadono eventi come questo, per noi è importante prendere provvedimenti il più velocemente possibile, e proteggere gli utenti in maniera tempestiva. Questo è il motivo per il quale il nostro primo passo è stato quello di invalidare l'intera gerarchia di certificati appartenente al sistema di licenze di Terminal Server. Non ci siamo limitati a bloccare i certificati non autorizzati utilizzati da Flame, ma tutti quelli appartenenti a questa gerarchia. Abbiamo temporeggiato nel fornire maggiori informazioni sul  collision attack utilizzato per permettere agli utenti di installare l'aggiornamento pubblicato la scorsa domenica ed essere protetti.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Certificate Trust List e i bollettini di Giugno 2012

    Oggi vengono rilasciati sette aggiornamenti, tre Critici e quattro Importanti, che correggono 26 vulnerabilità che affliggono Microsoft Windows, Internet Explorer, Dynamics AX, Microsoft Lync e Microsoft .NET Framework. Oltre agli aggiornamenti è stato anche rilasciato un sistema per aggiornare automaticamente l'Untrusted Certificate Store in Windows Vista e Windows 7.

    Questa nuova feature permette automaticamente di contrassegnare certificati come non validi. Windows, infatti, controllerà giornaliermente la presenza di nuovi certificati da invalidare. Fino ad oggi, l'inserimento di certificati nell'Untrusted Certificate Store richiedeva un aggiornamento manuale. Questo nuovo meccanismo automatico, che si avvale di una lista di certificati non validi denominata Disallowed Certificate Trust List (CTL), è documentato nel Windows PKI Blog. Incoraggiamo gli utenti ad installare questa nuova feature il prima possibile.

    In aggiunta, ad Agosto rilasceremo un aggiornamento relativo a come Windows gestisce certificati che hanno chiavi RSA minori di 1024 bit. Quando questo aggiornamento verrà rilasciato, tutti i certificati con questa caratteristica verranno trattati come non validi, anche se non sono scaduti e sono firmati da una Certification Authority riconosciuta. Questo cambiamento viene annunciato oggi per permettere agli utenti di apportare i cambiamenti necessari. Anche in questo caso, maggiori informazioni sono disponibili nel Windows PKI Blog.

    Tornando agli aggiornamenti di oggi, i seguenti sono quelli che suggeriamo di prioritizzare, nel caso non fosse possibile installarli tutti:

    MS12-037 - Internet Explorer Questo aggiornamento risolve 13 vulnerabilità, che affliggono tutte le versioni supportate di Internet Explorer. Le vulnerabilità più gravi sono Critiche e, se sfruttate, permettono di eseguire codice arbitrario da remoto.

    MS12-036 - RDP Questo aggiornamento risolve una vulnerabilità Critica che affligge tutte le versioni supportate di Microsoft Windows, e anch'essa, se sfruttata, permette di eseguire codice da remoto.

    La seguente è la tabella completa riguardante la prioritizzazione degli aggiornamenti:

    Mentre la seguente è la tabella che rappresenta l'aggregato di rischio ed Exploitability Index:

    Maggiori informazioni sui bollettini sono disponibili nella pagina di Riepilogo dei bollettini Microsoft sulla sicurezza di giugno.

    In aggiunta ai bollettini, oggi viene anche rilasciato il Security Advisory 2719615. L'advisory documenta una vulnerabilità pubblica in MSXML Core Services, parte di Windows ed altri prodotti, che se sfruttata permette l'esecuzione di codice da remoto. La nostra analisi è ancora in corso, ma abbiamo già sviluppato un workaround che blocca eventuali attacchi che cercano di sfruttare questa vulnerabilità tramite Internet Explorer. L'advisory è infatti accompagnato da un pacchetto Fix It, facile da installare e senza la necessità di un riavvio, per gli utenti che dopo aver letto l'advisory, credono di essere a rischio.

    Come di consueto, domani, Mercoledì 13 Giugno 2012, alle 20:00 sarà tenuto un webcast con Jonathan Ness e Dustin Childs, in cui verranno descritti i bollettini e le altre novità di questo mese. Durante il webcast sarà possibile effettuare domande in tempo reale. Il link per registrarsi è il seguente: http://aka.ms/June2012Webcast.

    Gerardo Di Giacomo
    Security Program Manager - MSRC
     

  • Maggiori dettagli sul Security Advisory 2719615

    Lo scorso martedì abbiamo rilasciato il Security Advisory 2719615 che fornisce suggerimenti su come mitigare una vulnerabilità dei MSXML Code Services che, se sfruttata, permette l'esecuzione di codice remoto. Insieme all'advisory, è stato rilasciato un Fix It che blocca l'attacco in Internet Explorer. I Fix It sono pacchetti che aiutano gli utenti a proteggersi da problemi prima che sia disponibile un regolare aggiornamento. Ecco qualche dettaglio in più sulla vulnerabilità e sul pacchetto Fix It.

    La vulnerabilità affligge Microsoft XML Core Services 3.0, 4.0, 5.0 e 6.0. Come detto, può essere sfruttata tramite una pagina web visitata con Internet Explorer, e permette l'esecuzione di codice arbitrario da remoto. Dato che la vulnerabilità, per essere sfruttata, richiede Active Scripting, i soliti workaround rimangono efficaci:

    • Impostare le aree di sicurezza Internet e Intranet Locale ad "Alto"
    • Inserire la lista dei siti consentiti nei Siti Attendibili

    Questi workaround, però, sono troppo invasivi e limitano l'esperienza dell'utente, ma, nello stesso tempo, sappiamo che questa vulnerabilità è utilizzata in attacchi mirati.

    Per offrire protezione e non limitare gli utenti, abbiamo creato un nuovo workaround sottoforma di un pacchetto Fix It, che gli utilizza l'application compatibility toolkit per effettuare un piccolo cambiamento, runtime, ai file alle librerie relative ai MSXML Core Services ogni volta che vengono caricate da Internet Explorer. Questo cambiamento permette di correggere la vulnerabilità in tempo reale.

    La tabella sottostante contiene i link per scaricare i pacchetti Fix It ed applicare il workaround. Per distribuire questi pacchetti in una rete aziendale, in questa pagina sono disponibili le istruzioni.

    Applicare il workaroundDisabilitare il workaround

    Questo workaround non interferirà con l'installazione dell'eventuale aggiornamento che andrà a correggere la vulnerabilità. L'unica controindicazione è che esso ridurrà leggermente il tempo d'avvio di Internet Explorer, quindi suggeriamo di disinstallarlo una volta che l'aggiornamento sarà disponibile.

    Un altro workaround che è possibile utilizzare è l'utilizzo di EMET, L'Enhanced Mitigation Toolkit (EMET) è uno strumento che aiuta a mitigare lo sfruttamento di vulnerabilità software che risultano nell'esecuzione di codice arbitrario.

    Maggiori dettagli tecnici sono disponibili in questo SRD blog.

    Gerardo Di Giacomo
    Security Program Manager - MSRC