Italian Microsoft Security News

Fatti e notizie dal Microsoft Security Response Center

Italian Microsoft Security News

  • Fine del supporto per Windows XP e gli aggiornamenti di Aprile 2013

    Windows XP è stato rilasciato il 24 Agosto 2001. In quel periodo, internet ad alta velocità e le connessioni wireless erano una rarità. Ora sono la normalità. Gli utenti di internet di Internet sono cresciuti da circa 360 milioni  a quasi due miliardi e mezzo. Grazie a programmi come Skype, ora possiamo videochiamare facilmente e i social network dall'essere solo una curiosità per pochi sono diventati uno strumento d'uso quotidiano. Nonostante ciò, Windows XP è stato sempre presente, ed è tuttora vivo e in buona salute. Con la sua longevità e bacino d'utenza, Windows XP ha fedelmente servito i suoi utenti nel corso degli anni. Purtroppo tutte le cose belle finiscono e Windows XP non fa eccezione.

    Tra sole 52 settimane il supporto per Windows XP terminerà. Non mi soffermerò a sottolineare i vantaggi di passare ad un sistema operativo più recente, mi limiterò ad evidenziare che a partire da Aprile 2014 non ci saranno più aggiornamenti di sicurezza per Windows XP. Il fatto che Windows XP non sarà più supportato non fermerà i "bad guys" a cercare di attaccarlo; il problema è che la mancanza di aggiornamenti di sicurezza renderà gli attacchi molto più facili e duraturi. Parliamo spesso di come mitigare i rischi tramite gli aggiornamenti di sicurezza, e con Windows XP a breve in pensione la miglior mitigation è quella di passare ad un sistema Windows più moderno.

    Dato che abbiamo cominciato con il parlare di "vintage", passiamo ora a parlare delle novità di oggi. Sono stati rilasciati nove aggiornamenti, due Critici e sette Importanti, che correggono 14 vulnerabilità in Microsoft Windows, Internet Explorer, Microsoft Antimalware Client, Office e Server Software. Gli aggiornamenti che suggeriamo di prioritizzare sono i MS13-028 e MS13-029. Il primo è relativo a Microsoft Internet Explorer, mentre il secondo è per Windows Remote Desktop Client. L'impatto ed il vettore d'attacco per le vulnerabilità risolte nei due aggiornamenti sono gli stessi: MS13-029 corregge una vulnerabilità che affligge il controllo ActiveX utilizzato dal Remote Desktop Client. In entrambi i casi, quindi, per sfruttare le vulnerabilità un attaccante deve convincere una vittima a visitare una pagina web con contenuto malevolo. Tutte le vulnerabilità sono state riportate privatamente e non ci sono evidenze di attacchi che cercano di sfruttarle.

    In ogni caso, raccomandiamo come sempre di installare tutti gli aggiornamenti il prima possibile.

    La seguente è la tabella che descrive le priorità di deployment consigliate:

    Mentre la seguente è la tabella con l'aggregato di rischio ed exploitability index:

    Per maggiori informazioni su tutti gli aggiornamenti di questo mese visitare la pagina di Riepilogo dei bollettini Microsoft sulla sicurezza - aprile 2013.

    Non esitate a commentare o a contattarmi direttamente in caso di domande. Alla prossima!

    Gerardo Di Giacomo
    Security Program Manager - MSRC

     

     

     

     

     

     

     

     

     

     
  • Rilasciata la versione finale di EMET 4

    La versione 4.0 dell'Enhanced Mitigation Experience Toolkit, conosciuto come EMET, è ora disponibile per il download.

    Ho già menzionato alcune delle nuove feature introdotte in EMET 4: Certificate Trust, miglioramento ed hardening delle mitigation e l'Early Warning Program. Durante la beta, abbiamo aggiunto nuove funzionalità e risolto le varie problematiche di compatibilità che sono state riportate. Di seguito la lista dei cambi e dei miglioramenti:

    Nuova interfaccia grafica: Ci siamo resi conto che con l'introduzione delle nuove feature di EMET 4.0 Beta, la vecchia interfaccia grafica non era molto efficace. Per questo motivo abbiamo deciso di ridisegnare EMET GUI per facilitare le varie operazioni di configurazione. Abbiamo anche introdotto la possibilità di cambiare la skin di EMET GUI, che inoltre cambierà automaticamente quando il sistema operativo è configurato con le opzioni di Accessibilità. Di seguito uno screenshot della nuova interfaccia:

     

    Configuration Wizard: Sappiamo che la prima configurazione di EMET può risultare complicata. In EMET 3.0 abbiamo introdotto i "Protection Profiles" con lo scopo di facilitare la configurazione iniziale delle applicazioni da proteggere. Con EMET 4.0 abbiamo introdotto un Configuration Wizard che configura EMET in maniera automatica con un set di regole per il Certificate Trust e con una lista di applicazioni standard da proteggere. Il wizard inoltre permette di importare i settaggi di EMET 3.0, e dà la possibilità di impostare le configurazioni delle nuove feature. Il Configuration Wizard si avvierà automaticamente durante l'installazione di EMET e può essere lanciato da EMET GUI. Gli utenti avanzati possono scegliere di iniziare con la configurazione standard messa a disposizione dal Configuration Wizard per poi andare a personalizzare manualmente EMET nel modo desiderato.

    Cambi del Certificate Trust: Abbiamo fatto un paio di cambiamenti alla feature Certificate Trust. Abbiamo aggiunto una nuova eccezione per le regole di SSL certificate pinning che se abilitata farà controllare la Public Key delle Root CA presenti nella regola, ignorando il subject name ed il serial number. Inoltre, il Certificate Trust è ora disponibile per le versioni a 64 bit di Internet Explorer. Infine, abbiamo aggiornato il set di regole standard aggiungendo regole predefinite per Twitter, Facebook e Yahoo!.

    Aggiornati i profili Group Policy: Gli utenti enterprise noteranno che abbiamo aggiornato i profili Group Policy, ed abbiamo incluso la possibilità di configurare i meccanismi di reporting, le configurazioni avanzate delle mitigation, e l'azione da effettuare quando un exploit viene rilevato.

    Maggiori informazioni su questa release sono disponibili nel blog post pubblicato poco fa sul Security Research & Defense blog.

    Non esitate a contattarmi in caso di domande. Alla prossima!

    Gerardo Di Giacomo
    Security Program Manager - MSRC 

  • Microsoft rilascia il Security Advisory 2887505

    Oggi rilasciamo il Security Advisory 2887505 relativo ad una vulnerabilità in Internet Explorer. È stato riportato solo un numero limitato di attacchi mirati diretti principalmente ad Internet Explorer 8 e 9. Questa vulnerabilità permette di eseguire codice da remoto se viene visitato un sito web con contenuto malevolo. Gli utenti che utilizzano versioni recenti di Windows e Internet Explorer beneficiano di ulteriori feature di sicurezza che aiutano a limitare l'exploitation di questa vulnerabilità.

    Stiamo lavorando ad un security update che risolve la vulnerabilità in maniera definitiva. Nel frattempo, incoraggiamo gli utenti che utilizzano Internet Explorer e che pensano siano maggiormente a rischio, di applicare almeno uno dei workaround suggeriti nell'advisory ed elencati in seguito:

    • Applicare il Microsoft Fix It "CVE-2013-3893 MSHTML Shim Workaround", che impedisce l'exploitation della vulnerabilità
      La pagina Micorosft Knowledge Base 2887505 contiene informazioni su come installare o disinstallare questo workaround.
    • Installare EMET
      EMET 4 è efficace contro gli exploit noti che cercano di sfruttare questa vulnerabilità.
    • Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" per bloccare i controlli ActiveX e script attivo in queste aree
      Questo workaround previene l'exploitation ma limita l'usabilità, quindi suggeriamo di aggiungere i siti affidabili nella lista dei "Siti attendibili".
    • Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script attivo oppure disattivare tali script nell'area di protezione Internet e Intranet locale
      Come nel caso precedente, questo workaround previene l'exploitation ma limita l'usabilità, quindi suggeriamo di aggiungere i siti affidabili nella lista dei "Siti attendibili".

    Stiamo monitorando il panorama di rischio e continueremo ad intraprendere le azioni necessarie per proteggere gli utenti.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Update Tuesday di Settembre 2013

    È già Settembre, ed è un mese ricco di aggiornamenti. Oggi infatti ne sono stati rilasciati 13, quattro Critici e nove Importanti, che correggono 47 vulnerabilità in Microsoft Windows, Office, Internet Explorer e SharePoint. Gli aggiornamenti che consigliamo di priorizzare questo mese sono MS13-067, MS13-068 e MS13-069.

    MS13-068 | Vulnerability in Microsoft Outlook Could Allow Remote Code Execution

    Questo aggiornamento risolve una vulnerabilità, riportata privatamente, che permette l'esecuzione di codice arbitrario da remoto se un'email che contiene un certificato S/MIME malevolo è visualizzata o ne viene fatta la preview. Come descritto nell'SRD Blog,creare certificati S/MIME è piuttosto semplice, ma crearne uno che permette di sfruttare questa vulnerabilità per eseguire codice è decisamente più complicato. Nonostante ciò, il rischio esiste ed è per questo che l'aggiornamento è in cima alla lista per quanto riguarda le priorità d'installazione.

    MS13-069 | Cumulative Security Update for Internet Explorer

    Aggiornamento Critico per Internet Explorer che risolve 10 vulnerabilità, tutte riportate privatamente e per le quali non sono stati rilevati attacchi. Tutte le vulnerabilità sono di tipo memory corruption e permettono di eseguire codice arbitrario da remoto, con gli stessi privilegi dell'utente in uso, quando viene visualizzata una pagina web con contenuto malevolo.

    MS13-067 | Vulnerabilities in Microsoft SharePoint Server Could Allow Remote Code Execution

    Questo aggiornamento per SharePoint risolve 10 vulnerabilità, di cui solo una Critica e che permette l'esecuzione di codice arbitrario con i privilegi dell'account di servizio W3WP. Un'altra vulnerabilità da segnalare è Importante ed identificata con il CVE-2013-3180. Questa vulnerabilità è stata divulgata pubblicamente, ma non sono stati rilevati attacchi.

    Di seguito la tabella completa che mostra informazioni relative alle priorità di tutti gli aggiornamenti:

    Mentre di seguito la tabella con l'aggregato dei valori di Severity ed Exploitability Index:

    Infine, oggi viene inoltre rilasciato un nuovo aggiornamento per Adobe Flash per Internet Explorer. Maggiori informazioni sono disponibili tramite il solito Security Advisory 2755801.

    Come ogni mese, informazioni su tutti gli aggiornamenti sono disponibili alla pagina di Riepilogo dei bollettini Microsoft sulla sicurezza - settembre 2013.

    Alla prossima!

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Gli aggiornamenti di Ottobre 2013

    Questo mese Microsoft rilascia otto aggiornamenti, quattro Critici e quattro Importanit, che risolvono 26 vulnerabilità in Microsoft Windows, Internet Explorer, SharePoint, .NET Framework, Office e Silverlight. Per coloro i quali debbano priorizzare gli aggiornamenti, consigliamo di cominciare con MS13-080, MS13-081 e MS13-083.

    MS13-080 | Cumulative Security Update for Internet Explorer
    Questo aggiornamento risolve 10 vulnerabilità in Internet Explorer. La vulnerabilità più severa permette l'esecuzione di codice arbitrario quando una pagina web con contenuto malevola viene visitata con Internet Explorer. Questo aggiornamento contiene anche un fix per la vulnerabilità descritta nel Security Advisory 2887505. Tutte le vulnerabilità, con eccezione di quella descritta nel Security Advisory, sono state riportate privatamente.

    MS13-081 | Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Remote Code Execution
    Questo aggiornamento risolve sette vulnerabilità in Microsoft Windows. La vulnerabilità più severa permette l'esecuzione di codice arbitrario quando una pagina web contenente un font malevolo di tipo OpenType viene visitata. Questo aggiornamento risolve anche vulnerabiltà che possono essere sfruttate per elevare i propri privilegi una volta che un sistema viene compromesso. Queste vulnerabilità sono state tutte riportate privatamente e non sono stati rilevati attacchi.

    MS13-083 | Vulnerability in Windows Common Control Library Could Allow Remote Code Execution
    Questo aggiornamento risolve una vulnerabilità in Microsoft Windows. La vulnerabilità permette l'esecuzione di codice arbitrario se un sistema vulnerabile utilizza un'applicazione ASP.NET e può ricevere determinati tipi di richieste. La vulnerabilità è stata riportata privatamente e non sono stati rilevati attacchi.

    Di seguito la tabella delle priorità consigliate per tutti gli aggiornamenti.

     

    Mentre la seguente è la tabella con l'aggregato di rischio ed Exploitability Index.

    Ulteriori informazioni sono disponibili alla pagina di Riepilogo dei bollettini Microsoft sulla sicurezza - ottobre 2013.

    Alla prossima!

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Rilasciato EMET 4 Beta

    Oggi è stato rilasciato l’Enhanced Mitigation Experience Toolkit (EMET) 4.0 Beta. Per chi non conoscesse EMET, è un software gratuito che aiuta a prevenire lo sfruttamento di vulnerabilità che cercano di eseguire codice arbitrario tramite memory corruption. EMET fornisce questa funzionalità aggiungendo ulteriori mitigation, oltre a quelle già presenti nel sistema operativo, alle applicazioni per il quale è configurato. Il risultato è che queste applicazioni diventano più resistenti agli attacchi, anche quelli che cercano di sfruttare vulnerabilità 0day e vulnerabilità per le quali non è stata ancora applicata una patch.

    EMET è cresciuto molto negli ultimi mesi, ed è ora uno dei software obbligatori sui desktop Windows 8 del Department of Defense americano. È infatti parte della Security Technical Implementation Guide (STIG), una metodologia sviluppata dalla Defense Information Systems Agency per standardizzare l’installazione sicura del software, relativa a Windows 8.

    Come ho già scritto in alcuni post precedenti, lavoro su questo progetto da diversi mesi, quindi questa release mi sta particolarmente a cuore :)

    Questa nuova versione di EMET include nuove feature e mitigation che lo rendono più efficace e facile da usare e gestire.

    Certificate Trust

    In EMET 4.0 viene introdotta una funzionalità che permette di configurare un set di regole per rendere la validazione dei certificati SSL e TLS più robusta mentre si naviga con Internet Explorer. È infatti possibile specificare una lista di siti web ed associare il loro certificato SSL ad una o più Root Certificate Authority (Root CA). Se EMET rileva che il certificato analizzato non è stato emesso dalla Root CA pre-configurata riporterà l’incongruenza, in quanto è possibile che sia in corso un attacco di tipo Man in the Middle. Una volta installato EMET, una lista predefinita di siti web verrà configurata automaticamente. Le regole predefinite coprono i principali servizi Microsoft: i portali d'autenticazione di Microsoft Account, di Office 365 e di Skype. Gli utenti possono comunque modificare ed ampliare questa lista a seconda delle proprie esigenze.

    Hardening delle mitigation correnti

    Durante la fase “Technical Previe" di EMET 3.5 – la precedente versione beta – molti ricercatori hanno individuato alcune tecniche che permettono di bypassare le mitigation anti-ROP di EMET. Con EMET 4.0 abbiamo migliorato queste mitigation e bloccato queste tecniche aggiungendo ulteriori controlli alle funzioni che venivano abusate per il bypass.

    Bugfix relative alla compatibilità con alcune applicazioni

    Chi ha usato EMET finora ha incontrato alcuni casi in cui specifiche mitigation di EMET generavano incompatibilità con alcune applicazioni. EMET 4.0 corregge tutte queste incompatibilità allo scopo di migliorare l’esperienza dell’utente e ridurre i falsi positivi.

    Early Warning Program

    Quando un tentativo di attacco viene rilevato e bloccato da EMET, vengono collezionate una serie di informazioni e trasmesse a Microsoft tramite la funzionalità di Microsoft Error Reporting (MER). Queste informazioni saranno utilizzate per individuare nuovi 0day e ci permetteranno di rispondere in tempi rapidi, cominciando a lavorare su una patch prima che gli exploit diventino pubblici o utilizzati su larga scala.

    In ambienti enterprise che utilizzano funzionalità come Microsoft Desktop Optimization Package o Client Monitoring di System Center Operations Manager, queste informazioni verranno trasmesse sistemi on-premise all'interno della rete, e potranno essere utilizzate dagli amministratori per individuare potenziali attacchi ai sistemi monitorati.

    Questa feature è abilitata di default in questa versione beta di EMET, è sarà possibile disabilitarla sia tramite l’interfaccia grafica di configurazione sia tramite l’utility a riga di comando. L’EMET Privacy Statement fornisce maggiori informazioni sul tipo di dati che vengono raccolti e come questi dati vengono trattati.

    Audit Mode

    Questa nuova feature permette di configurare EMET in “Audit Mode”. In genere, quando EMET identifica e blocca un attacco, l’applicazione che sta subendo l’attacco è terminata. Se l'Audit Mode è abilitato, EMET identificherà l’attacco ma non forzerà l’arresto dell’applicazione. L’Audit Mode è utile nei casi in cui si stia testando EMET su sistemi in produzione con lo scopo di monitorare il suo funzionamento e verificare che non ci siano problemi di compatibilità. Questa modalità non è compatibile con tutte le mitigation, ma è disponibile laddove possibile.

    Una volta installato EMET 4.0 beta verrà configurato automaticamente per monitorare e proteggere Internet Explorer – e i vari controlli ActiveX che vengono utilizzati, Microsoft Office, Adobe Acrobat/Reader, e Java. Inoltre, come già detto in precedenza, verranno applicate regole di SSL/TLS certificate pinning per i principali servizi Microsoft.

    Maggiori dettagli su come configurare EMET e su tutte le nuove feature sono disponibili nella User Guide disponibile all’interno del pacchetto d’installazione.

    In attesa della versione finale di EMET 4.0 prevista per il 14 Maggio, l’invito per tutti è quindi di installare EMET 4.0 Beta e provarlo. Nel caso aveste qualsiasi tipo di domanda o feedback, o trovaste incompatibilità o bug, potete contattare me direttamente o potete mandare una email all’indirizzo emet_feedback@microsoft.com.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

  • Disponibile il Fix It per il Security Advisory 2847140

    Abbiamo aggiornato il Security Advisory 2847140 ed è ora disponibile un pacchetto Fix It per risolvere gli exploit conosciuti che cercano di sfruttare la vulnerabilità descritta nel security advisory. A differenza degli altri workaround, il Fix It non dovrebbe interferire con l'esperienza di navigazione. Una volta installato il Fix It non è necessario effettuare un riavvio del computer. Chi utilizza Internet Explorer 8 è invitato ad installare il Fix It per proteggere il proprio sistema. Ricordiamo che Internet Explorer 6, 7, 9 e 10 non sono affetti da questa vulnerabilità.

    Di seguito i link per scaricare sia il Fix It per installare il workaround sia quello per disinstallarlo:

    InstallazioneDisinstallazione

    Abbiamo sviluppato l'aggiornamento per risolvere la vulnerabilità in maniera definitiva, ed è in fase di testing. L'aggiornamento verrà rilasciato appena pronto.

    Gerardo Di Giacomo
    Security Program Manager - MSRC 

     

  • Security Response in evoluzione e gli aggiornamenti di Marzo 2013

    Il mio collega Dustin Childs, Group Manager di TwC Response Communications, comincia il blog relativo agli aggiornamenti di questo mese con una citazione di Giuseppe Tomasi Di Lampedusa: "Se vogliamo che tutto rimanga come è, bisogna che tutto cambi". Ci sono cose che non vogliamo che cambino. In Microsoft, ci impegnamo a fornire protezione per gli utenti nel modo più trasparente ed autorevole possibile. Ovviamente, dato che la tecnologia cambia, anche noi dobbiamo cambiare per raggiungere lo stesso obiettivo.

    Una recente novità è stata la possibilità di ottenere applicazioni tramite il Windows Store. Come Mike Reavey cita nel suo blog post di oggi, la decisione su come fornire aggiornamenti di sicurezza per le app è stata presa dopo molte riflessioni. Alla fine, la nostra decisione permette agli utenti di ottenere  aggiornamenti di sicurezza in modo semplice e veloce, e allo stesso tempo ci permette di essere il più possibile trasparenti. Gli aggiornamenti di sicurezza saranno distribuiti in maniera identica a qualsiasi altro aggiornamento tramite il Windows Store. La differenza è che documenteremo le problematiche di sicurezza in un Security Advisory, e modificheremo questo advisory ogni qual volta sarà rilasciato un aggiornamento di sicurezza relativo ad una app Microsoft. La policy completa è disponibile a questa pagina.

    Un altro cambiamento riguarda le "10 Immutable Laws of Security". La legge numero 3 dice:

    "Se un utente malintenzionato ha accesso fisico illimitato al tuo computer, non è più il tuo computer."

    Questa legge è ancora valida oggi. Non esiste aggiornamento che può proteggere contro un attacco Denial of Service effettuato con un martello. In ogni caso, sappiamo che c'è una differenza tra accesso fisico casuale e accesso fisico illimitato. Questo mese, risolviamo un problema nei Kernel-Mode Drivers dove un utente malintenzionato potrebbe compromettere un sistema solo inserendo una periferica USB in un sistema. Sebbene questa non sia la prima problematica che riguarda accesso fisico e le periferiche USB, è diversa dalle altre perchè non richiede autenticazione al sistema. Inoltre permette di eseguire codice in kernel-mode, mentre gli attacchi precedenti permettevano solo esecuzione di codice con privilegi dell'utente in uso. Con queste premesse, chiunque abbia un accesso casuale ad un sistema, come per esempio una guardia notturna od un custode, potrebbe semplicemente utilizzare una periferica USB per compromettere un sistema ed avere privilegi di elevati.

    Questo tipo di accesso fisico non è illimitato: in questo caso, un utente malintenzionato avrebbe la possibilità di rubare un sistema, effettuare un boot da una periferica esterna ed estrarre i file dal disco fisso. Un accesso fisico casuale insieme alla possibilità di eseguire code in kernel-mode rappresenta un rischio sufficiente da giustificare un aggiornamento di sicurezza.

    Ovviamente, nessuno di questi cambiamenti è rivoluzionario, ma riconosciamo che per stare al passo con l'evoluzione della sicurezza informatica e della tecnologia in genere dobbiamo continuare a migliorare ed evolvere i nostri processi. In linea di massima, ci poniamo continuamente la domanda "è questo il modo migliore per proteggere gli utenti?". Se la risposta ad un certo punto da sì diventa no, apportiamo cambiamenti affinchè quella risposta sia nuovamente sì.

    Passiamo gli aggiornamenti di questo mese.

    Sono stati rilasciati 7 aggiornamenti, quattro Critici e tre Importanti, che risolvono 20 vulnerabilità in Microsoft Windows, Office, Internet Explorer, Server Tools e Silverlight. Consigliamo di prioritizzare i seguenti aggiornamenti:

    MS13-021 Microsoft Internet Explorer

    Questo aggiornamento risolve nove vulnerabilità in Internet Explorer. La vulnerabilità più critica permetterebbe ad un utente malintenzionato di eseguire codice da remoto con i privilegi dell'utente in uso facendo visualizzare alla vittima una pagina web malevola con Internet Explorer. Otto delle 9 vulnerabilità risolte sono state riportate privatamente. Ad oggi non abbiamo rilevato attacchi.

    MS13-022 Microsoft Silverlight

    Questo aggiornamento risolve una vulnerabilità in Microsoft Silverlight. La vulnerabilità  permetterebbe ad un utente malintenzionato di eseguire codice da remoto con i privilegi dell'utente in uso facendo visualizzare alla vittima una pagina web contenente un'applicazione Silverlight malevola. Questa vulneraiblità è stata riportata privatamente e ad oggi non abbiamo rilevato attacchi.

    MS13-027 Kernel Mode Drivers

    Questo aggiornamento risolve tre vulnerabilità in Microsoft Windows. Queste vulnerabilità permetterebbero di elevare i propri privilegi in un sistema. In una configurazione di default, un utente non autenticato potrebbe sfruttare questa vulnerabilità solo avendo accesso fisico al sistema. Anche in questo caso, queste vulnerabilità sono state riportate privatamente e ad oggi non abbiamo rilevato attacchi.

    Come sempre raccomandiamo di installare tutti gli aggiornamenti il prima possibile.

    Di seguito è disponibile la tabella relativa alla priorità di tutti gli aggiornamenti:

    Mentre la seguente è la pagina con l'aggregato di rischio ed Expoitability Index:

    Maggiori informazioni sugli aggiornamenti di questo mese sono disponibili alla pagina Riepilogo dei bollettini Microsoft sulla sicurezza - marzo 2013.

    Gerardo Di Giacomo
    Security Program Manager - MSRC 

  • Rilasciato il SIR 14 - situazione italiana

    Oggi è stata rilasciata una nuova edizione del Microsoft Security Intelligence Report che contiene un'analisi relativa a nuovi dati sul panorama di rischio. L'edizione numero 14 copre la seconda metà del 2012 ed include dati relativi ai semestri precedenti. Questa edizione del report contiene:

    • Trend ed analisi delle vulnerabilità scoperte
    • Analisi delle attività di exploitation globali
    • Trend ed analisi del malware
    • Analisi del rischio per più di 100 nazioni
    • Dati su come gli attacker utilizzano la posta elettronica come vettore d'attacco
    • Dati aggiornati relativi a siti malevoli, come siti di phishing, siti che servono malware e siti usati per attacchi drive-by

    Inoltre è presente una sezione che si focalizza su come l'utilizzo di software anti-malware aggiornato influisca sulla protezione generale dei sistemi.

    In quest'articolo vorrei analizzare i dati relativi all'Italia e fare un confronto con i dati analizzati nella scorsa edizione.

    Cominciamo ad analizzare il numero di sistemi infetti. In media, sono stati rilevati 3,2 sistemi infetti su 1000, ben sotto la media mondiale che è 6/1000. Come potete vedere dal grafico sottostante, questo trend è in discesa rispetto ai periodi precedenti.

    Per quanto riguarda il tipo di malware identificato, ci sono stati un paio di scambi nelle prime posizioni. I Trojan non sono più diffusi come nel periodo precedente: si passa dal 28.7% al 23.8. Stesso trend per la categoria degli Adware, che ora coprono il 25.6% delle infezioni rispetto al 29.3% del periodo precedente. Crescono invece le infezioni relative al software potenzialmente non voluto, che vanno dal 27.5% del periodo precedente al 32.2%. Una curiosità interessante è che guardando i dati globali i Trojan sono al primo posto, in netto distacco dalla media italiana. Dato inverso invece per quanto riguarda gli Exploit. Che gli italiani stiano diventando più malware-aware e gli attacker debbano ricorrere ad exploit per infettare le macchine?

    Riguardo alle famiglie di malware individuate, in cima alla lista con il 13.7% (rispetto al 4.3% dello scorso periodo) vediamo il malware "Win32/Pdfjsc", categorizzato come "Exploits" perchè sfrutta diverse vulnerabilità di Adobe Acrobat ed Adobe Reader per insinuarsi sui sistemi. Questa ascesa è probabilmente uno dei fattori che ha fatto registrare così tante detection nella famiglia "Exploits". Il 13.3% delle infezioni sono relative all'adware "Win32/DealPly", una new entry, che utilizza la cronologia di navigazione della vittima per proporre offerte pubblicitarie mirate. I Keygen sono sempre nella "hit parade", e salgono dall'8.4% dello scorso periodo al 13.2%.

    Quest'ultima tabella fa riferimento al numero di siti web malevoli, che generalmente contengono pagine di phishing o che servono malware. In molti casi questi siti sono inizialmente legittimi, ma sono stati successivamente compromiessi ed utilizzati per attività malevole. I valori sono in base 1000. Anche in questo caso, l'Italia è leggermente sotto la media mondiale. Il metodo con cui è calcolato questo valore è cambiato rispetto ai report precedenti quindi non è possibile fare un paragone.

    Il report completo relativo ai dati italiani è disponibile qui.

    Gerardo Di Giacomo
    Security Program Manager - MSRC

     

  • Rilasciato il Security Advisory 2847140

    È stato appena rilasciato il Security Advisory 2847140 che avvisa di attacchi che cercano di sfruttare una vulnerabilità in Internet Explorer 8. Internet Explorer 6, 7, 9 e 10 non sono affetti. Questa vulnerabilità permette l'esecuzione di codice arbitrario se una potenziale vittima visita un sito malevolo con una versione vulnerabile di Internet Explorer.

    Come detto, Internet Explorer 9 e 10 non sono affetti da questa vulnerabilità, quindi una soluzione è, ove possibile, aggiornare il browser ad una di queste versioni.

    Mentre stiamo lavorando ad un aggiornamento per risolvere la vulnerabilità, raccomandiamo gli utenti che utilizzano Internet Explorer 8 di applicare i seguenti workaround:

    • Impostare il livello dell'area di protezione Internet e Intranet locale su "Alta" per bloccare i controlli ActiveX e script in queste aree
    • Configurare Internet Explorer in modo che venga richiesta conferma prima dell'esecuzione di script oppure disattivare tali script nell'area di protezione Internet e Intranet locale

    Entrambi i workaround aiuteranno a prevenire lo sfruttamento della vulnerabilità ma peggioreranno purtroppo l'esperienza di navigazione. È quindi consigliato di aggiungere siti affidabili tra i Siti Attendibili.

    Raccomandiamo infine di essere particolarmente prudenti durante la navigazione e di seguire i suggerimenti proposti nel Safety and Security Center.

    Stiamo monitorando attentamente il panorama di rischio e continueremo a lavorare per offrire agli utenti la massima protezione.

    Gerardo Di Giacomo
    Security Program Manager - MSRC 

  • Gli aggiornamenti di Maggio 2013

    La release di Maggio 2013 prevede 10 aggiornamenti che correggono 33 vulnerabilità in diversi prodotti Microsoft.

    Prima di entrare nel dettaglio della release di questo mese, vogliamo annunciare una novità che riguarda gli utenti enterprise. Da oggi è possibile identificare gli aggiornamenti di sicurezza all'interno di Security Advisory. I cambi permettono di:

    • Classificare in maniera più accurata gli aggiornamenti di sicurezza che non hanno una severity assegnata;
    • Classificare in maniera corretta gli aggiornamenti distribuiti tramite Security Advisory che non sono strettamente collegati ad una vunlerabilità ma che hanno implicazioni di sicurezza.

    Per questi aggiornamenti è possibile che il valore nel campo "Severity" sia "Non Assegnato". C'è da ricordare inoltre che i cambiamenti sono relativi agli aggiornamenti rilasciati a partire da Maggio 2013 e non verrà effettuato nessun cambiamento agli aggiornamenti precedenti. Maggiori informaizoni sono disponibili a questa pagina.

    Ma ora torniamo agli aggiornamenti di oggi. Come già detto, gli aggiornamenti di oggi sono dieci, due Critici ed otto Importanti, che correggono 33 vulnerabilità in Internet Explorer, Microsoft Windows, Microsoft Office, Server and Tools e .NET Framework. Suggeriamo di prioritizzare gli aggiornamenti MS13-037, MS13-038 e MS13-039.

    MS13-037 - Cumulative Security Update for Internet Explorer (Critico)

    Questo aggiornamento risolve 11 vulnerabilità in Internet Explorer che permettono l'esecuzione di codice da remoto se un utente visita una pagina web con contenuto malevolo. Questo aggiornamento è applicabile a tutte le versioni supportate di Internet Explorer. Tutte le vulnerabilità corrette sono state riportate privatamente e non sono stati rilevati attacchi che tentano di sfruttarle.

    MS13-038 - Security Update for Internet Explorer (Critico)

    Questo aggiornamento risolve la vulnerabilità di Internet Explorer 8 descritta nel Security Advisory 2847140. Come descritto nell'advisory, questa vulnerabilità è stata rilasciata pubblicamente e sono stati rilevati un numero limitato di attacchi. 

    MS13-039 - Vulnerability in HTTP.sys Could Allow Denial of Service (Importante)

    Questo aggiornamento risolve una vulnerabilità in Microsoft Windows che permette di effettuare un Denial of Service spedendo un pacchetto HTTP malevolo ad un servizio che utilizza questo protocollo. L'aggiornamento è applicabile a Windows 8 e Windows Server 2012. La vulnerabilità corretta è stata riportata privatamente e non sono stati rilevati attacchi che tentano di sfruttarla.

    Suggeriamo, come sempre, di installare tutti gli aggiornamenti il prima possibile.

    La seguente è la tabella che mostra le priorità di tutti gli aggiornamenti rilasciati questo mese:

    Mentre la seguente è la tabella con l'aggregato di rischio ed Exploitability Index:

     

    Ulteriori informazioni relative agli aggiornamenti di questo mese sono disponibili alla pagina Riepilogo dei bollettini Microsoft sulla sicurezza - maggio 2013.

    Alla prossima!

    Gerardo Di Giacomo
    Security Program Manager - MSRC 

  • Gli aggiornamenti di Agosto 2013

    Eccoci di nuovo al nostro appuntamento mensile con i bollettini di sicurezza. Oggi sono stati rilasciati otto aggiornamenti, tre Critici e cinque importanti, che correggono 23 vulnerabilità in Microsoft Windows, Internet Explorer ed Exchange. Raccomandiamo come sempre di installare tutti gli aggiornamenti il prima possibile. Nel caso questo non fosse possibile, raccomandiamo di priorizzare (grazie Dario ;) i seguenti aggiornamenti:

    Aggiornamento cumulativo per la protezione di Internet Explorer (MS13-059)

    Questo aggiornamento risolve undici vulnerabilità in Internet Explorer, tutte riportate privatamente. Tutte le vulneraiblità permettono ad un attacker di eseguire codice arbitrario da remoto, con gli stessi privilegi dell'utente in uso, convincendo una potenziale vittima a visitare un sito malevolo. Questo aggiornamento è Critico per tutte le versioni di Internet Explorer. Ad oggi non sono stati rilevati attacchi che cercano di sfurttare le vulnerabilità risolte da questo aggiornamento.

    Una vulnerabilità in Unicode Scripts Processor può consentire l'esecuzione di codice in modalità remota (MS13-060)

    Questo aggiornamento risolve una vulnerabilità, riportata privatamente, in Windows che permette ad un attacker di eseguire codice arbitrario da remoto, con gli stessi privilegi dell'utente in uso, convincendo una potenziale vittima a visitare un sito malevolo. Questo aggiornamento è Critico per Windows XP e Windows Server 2003. Anche in questo caso non sono stati rilevati attacchi che cercano di sfruttare questa vulnerabilità.

    Aggiornamenti per il miglioramento dell'Autenticazione a livello di rete nel protocollo RDP (Advisory sulla sicurezza 2861855)

    Questo aggiornamento aggiunge una misura defense-in-depth alla tecnologia Network Level Authentication (NLA) utilizzata dal Remote Desktop Protocol in Microsoft Windows. 

    Aggiornamento per la disattivazione dell'algoritmo di hash MD5 per il programma Microsoft Root Certificate (Advisory sulla sicurezza 2862973)

    Questo aggiornamento interessa applicazioni e servizi che utilizzano certificati con hash MD5. Una volta installato l'aggiornamento, Windows non considererà affidabili i certificati che utilizzano MD5. Questa restrizione è limitata solo ai certificati generati da Root CA appartenenti al programma Microsoft Root Certificate, e verrà applicata solo ai certificati utilizzati per server authentication, code signing e time stamping. Ad oggi, è necessario scaricare ed installare l'aggiornamento manualmente, ma verrà rilasciato tramite Microsoft Update a Febbraio 2014.

    Di seguito la tabella con le priorità di deployment relative agli aggiornamenti di questo mese:.

     

    Mentre di seguito la tabella che mostra l'aggregato di severity ed Exploitability Index:

     

    Per maggiori informazioni visitare la pagina di Riepilogo dei bollettini Microsoft sulla sicurezza - agosto 2013.

    Alla prossima!

    Gerardo Di Giacomo
    Security Program Manager - MSRC 

  • Rilasciato il MSRC Progress Report per il 2013

    Uno dei documenti che fornisce informazioni sul lavoro fatto qui al Microsoft Security Response Center è il MSRC Progress Report, pubblicato ogni anno, Questo documento contiene dati e statistiche relativi ai bollettini di sicurezza rilasciati e fornisce informazioni e aggiornamenti relativi ai vari programmi gestiti da MSRC. Il report di quest'anno, che copre il periodo da Luglio 2012 a Giugno 2013, è disponibile qui. Di seguito riporto una rassegna degli argomenti trattati in questa edizione.

    Dietro le quinte. Durante gli scorsi 12 mesi, abbiamo rilasciato 92 bollettini, due dei quali (MS12-063 e MS13-008) out-of-band. Nel report, William Peteroy del Microsoft Security Response Center descrive cosa succede dietro le quinte durante il processo di Software Security Incident Response (SSIRP) che è risultato in MS13-008.

    Aggiornamenti a MAPP. Il Microsoft Active Protection Program è il programma grazie al quale Microsoft collabora con diversi partner per fornire agli utenti protezioni relative alle vulnerabilità risolte negli aggiornamenti mensili. Quest'anno il programma è stato aggiornato con nuove iniziative e nuovi strumenti, come il "MAPP for Security Vendors", "MAPP for Responders" e "MAPP Scanner".

    EMET 4.0. Come già annunciato in post precedenti, nel mese di giugno è stata rilasciata la versione 4.0 dell'Enhanced Mitigation Experience Toolkit (EMET). L'articolo all'interno del report descrive le principali novità del tool e i motivi per i quali sono state introdotte le nuove feature.

    Internet Explorer 11 Preview Bug Bounty. Per la prima volta, Microsoft è entrata nel marketplace delle vulnerabilità e per un mese ha offerto premi in denaro per ricercatori che hanno riportato vulnerabilità in Internet Explorer 11 Preview. L'articolo descrive i dettagli del programma ed il risultato ottenuto.

    Se volete avere i dettagli delle statistiche dei bollettini di sicurezza o dei vari argomenti sopra citati, non vi resta che scaricare il documento e... buona lettura!

    Gerardo Di Giacomo
    Security Program Manager - MSRC 

     

    PS: tra gli autori del report troverete un nome familiare :)

  • Miglioramento alla infrastruttura crittografica e gli aggiornamenti di Giugno 2013

    A Giugno del 2012, è stata introdotta una nuova feature per aggiornare automaticamente la Certificate Trust List (CTL) che permette di spostare velocemente certificati non affidabili o compromessi nella CTL in maniera automatica. Poichè questa feature controlla periodicamente nuovi aggiornamenti tramite internet, gli utenti enterprise che bloccano questo tipo di traffico non sono in grado di utilizzarla a pieno.

    Oggi rilasciamo un aggiornamento, documentato nel Security Advisory 2854544, che aggiorna e migliora questa feature e fornisce agli utenti enterprise ulteriori strumenti per gestire la propria Public Key Infrastructure (PKI). Questa funzionalità, disponibile inizialmente per Windows 8, Windows Server 2012 e Windows RT, è ora disponibile anche per Windows Vista e Windows 7. Nei prossimi mesi aggiorneremo il security advisory con lo scopo di migliorare l'infrastruttura che gestisce la crittografia e la gestione dei certificati in Windows. I nostri sforzi non sono in risposta ad un incidente specifico, ma sono frutto della continua evoluzione di come i certificati digitali vengono gestiti, in modo da aumentare la sicurezza dei sistemi.

    Andiamo ad analizzare ora i cinque aggiornamenti rilasciati oggi, uno Critico e quattro Importanti, che correggono 23 vulnerabilità in Microsoft Windows, Office e Internet Explorer. Per coloro i quali debbano prioritizzare l'installazione di questi aggiornamenti, raccomandiamo di prioritizzare MS13-047 e MS13-051. Come sempre, raccomandiamo di installare tutti gli aggiornamenti il prima possibile.

    MS13-047 | Aggiornamento cumulativo per la protezione di Internet Explorer
    Questo aggiornamento risolve 18 vulnerabilità in Internet Explorer che se sfruttate permettono l'esecuzione di codice arbitrario, con gli stessi privilegi dell'utente correntemente in uso, quando una vittima naviga su un sito con contenuto malevolo. Questo aggiornamento è Critico per tutte le versioni di Internet Explorer su tutte le versioni supportate di Microsoft Windows. Tutte le vulnerabilità sono state riportate privatamente e non ci sono evidenze di attacchi.

    MS13-051 | Una vulnerabilità in Microsoft Office può consentire l'esecuzione di codice in modalità remota
    Questo aggiornamento risolve una vulnerabilità in Microsoft Office. La vulnerabilità se sfruttata permette l'esecuzione di codice arbitrario se un utente apre un documento Office malevolo con una versione vulnerabile di Microsoft Office, o apre o fa l'anteprima tramite Outlook di un messaggio di posta malevolo quando Microsoft Word è utilizzato per visualizzare il messaggio. Questo aggiornamento è Importante per Microsoft Office 2003 ed Office per Mac 2011. Sebbene i dettagli di questa vulnerabilità non sono pubblici, siamo a conoscenza di un limitato numero di attacchi mirati che cercano di sfruttare questa vulnerabilità.

    La seguente è la tabella completa per le priorità degli aggiornamenti di questo mese: 

    Mentre la seguente è la tabella che contiene l'aggregato di rischio ed exploitability index:

     

    Per maggiori informazioni sugli aggiornamenti di questo mese, consiglio di visitare la pagina di Riepilogo dei bollettini Microsoft sulla sicurezza - giugno 2013.

    In caso di domande o chiarimenti non esitate a conttattarmi.

    Alla prossima!

    Gerardo Di Giacomo
    Security Program Manager - MSRC 

  • Aggiornamenti di Sicurezza per il Windows Store

    Mike Reavey, Senior Director del Microsoft Security Response Center, oggi ha firmato un comunicato che annuncia il riascio di una nuova policy relativa agli aggiornamenti di sicurezza per il Windows Store. Di seguito il testo tradotto in italiano:

    Ci impegnamo sempre ad adattare le nostre policy ad un mondo in continua evoluzione e con il nuovo Windows Store abbiamo valutato quale fosse il modo migliore di rilasciare aggiornamenti di sicurezza relative alle app Microsoft. Il nostro obiettivo è avere un sistema d'aggiornamento veloce, trasparente e indolore. Con queste premesse, abbiamo deciso di rilasciare gli aggiornamenti di sicurezza per le app del Windows Store appena sono disponibili. Questo sarà valido per le app Microsoft che sono installate tramite il Windows Store ed app come Mail che sono preinstallate in Windows 8 ma aggiornate tramite il Windows Store. Rilasciando aggiornamenti di sicurezza per queste app ci permetterà di aggiungere nuove funzionalità, risolvere problemi e migliorare la loro sicurezza.

    Per garantire trasparenza, documenteremo tutti gli aggiornamenti di sicurezza per le app Microsoft nel Windows Store in un Security Advisory, che verrà rivisitato ogni qual volta un aggiornamento verrà rilasciato. Il processo d'aggiornamento tramite Windows Store sarà invariato - gli utenti dovranno semplicemente entrare nello store e selezionare l'aggiornamento da installare.

    La nuova Windows Store App Update Policy è disponibile a questo indirizzo.

    Gerardo Di Giacomo
    Security Program Manager - MSRC