23 October 2008

Analisi di rischio del bollettino straordinario di sicurezza Microsoft MS08-067 relativo al servizio Server di Windows

E' stato rilasciato il bollettino di sicurezza Microsoft straordinario (Out-of-Band) "MS08-067 - Vulnerability in Server Service Could Allow Remote Code Execution (958644)". Come indicato dal titolo, esso provvede a correggere una vulnerabilità nel servizio Server relativa a tutte le versioni di Windows attualmente supportate, che permetterebbe di eseguire del codice non autorizzato da remoto nel contesto di sicurezza dell'utenza di sistema più privilegiata (LocalSystem). Ricordo che il servizio Server è quello che permette al vostro sistema (sia esso client, sia esso server) di condividere le risorse di rete (share) con gli altri computer. La modalità con cui può essere portato l'attacco è tramite l'invio di richieste RPC opportunamente malformate (le richieste RPC interessate viaggiano su pacchetti di rete che usano le porte TCP 139 e TCP 445: assicurarsi che tali porte siano bloccate sul proprio firewall permette di prevenire eventuali attacchi che giungano da Internet). Il rating del bollettino è ovviamente Critical, ma uno sguardo di dettaglio mostra che le diverse versioni di Windows sono interessate con criticità differente: il motivo risiede nel fatto che nelle versioni di Windows meno recenti, Windows 2000, Windows XP e Windows Server 2003 l'attacco può essere portato in modo anonimo (da qui la classificazione Critical della vulnerabilità), mentre nel caso di Windows Vista e Windows Server 2008 è necessario che le richieste RPC siano autenticate (e questo rende Important la classificazione della vulnerabilità).

Quale risulta, quindi, lo scenario di rischio da questa breve analisi del bollettino MS08-067? Per le versioni Windows 2000, Windows XP e Windows Server 2003 le caratteristiche della vulnerabilità sono tali da renderla sfruttabile da possibili malware di tipo Worm (codici malware che riescono a propagarsi automaticamente sulla rete da un sistema all'altro senza necessità di interazione dell'utente). Questo porta a raccomandare l'aggiornamento di questo tipo di sistemi con priorità assoluta e davvero urgente (anche se la patch va messa su tutti i sistemi Windows): la vulnerabilità è stata scoperta solo 2 settimane fa e nel corso dell'analisi di alcuni attacchi limitati e circoscritti, in particolare diretti a sistemi Windows XP. Anche se quindi non risultano pubblici ad ora codici di exploit è già nota la presenza di malware specifico in grado di sfruttare tale vulnerabilità: TrojanSpy:Win32/Gimmiv.A e TrojanSpy:Win32/Gimmiv.A.dll. Le soluzioni antimalware Microsoft sono già in grado di rilevare e bloccare questo tipo di infezioni specifiche, così come dovrebbero esserlo tutti i fornitori antivirus che hanno aderito al programma di condivisione anticipata MAPP lanciato proprio in questo mese.

Vi raccomando caldamente di consultare il seguente elenco di post che i diversi team di Microsoft dedicati alla sicurezza hanno rilasciato contestualmente al bollettino, sono davvero esaurienti su tutti gli aspetti di approfondimento tecnico di questa problematica:

post del Microsoft Security Response Center (MSRC): MS08-067 Released
post del Microsoft Malware Protection Center (MMPC): Get Protected, Now!
post tecnico del team Security Vulnerability Research & Defense: More detail about MS08-067, the out-of-band netapi32.dll security update
Post di Michael Howard: MS08-067 and the SDL

Con il procedere delle ore, raccoglierò le eventuali necessità di chiarimento che dovessero sorgere dalla nostra attività di supporto ai clienti e li condividerò in un post apposito, assieme alle eventuali modifiche dello scenario di rischio.

Rimanete sintonizzati!

Aggiornamento della situazione:

lunedì 27/10/2008: Bollettino out-of-band MS08-067: aggiornamento sulla situazione in Italia

Altri post/risorse correlate:

i post della categoria "Security Bulletin and Advisory Risk Analysis"
Riepilogo analisi Bollettini e Advisory di sicurezza

Share this post :

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS

Comments

# dovella said:

Intanto ho aggiornato :D Tutto ok !

23 October 08 at 3:16 PM

# Blog Team TechNet Italia said:

Anche se considero scontanto il fatto che chi legge questo blog TechNet conosca anche il blog del nostro

23 October 08 at 4:46 PM

# ArgoLab said:

Vi segnalo il post di Feliciano che segnala l’uscita “straordinaria” di una patch che impatta, a diversi

23 October 08 at 5:53 PM

# Vincenzo Di Russo [MVP] said:

PingBack from

http://blogs.dotnethell.it/vincent/Alert-Bollettino-Straordinario-di-Sicurezza-Microsoft-MS08-067.__14408.aspx

24 October 08 at 1:16 AM

# StefanoB said:

MS08-067: Security Bulletin Urgente

24 October 08 at 4:17 AM

# Antonio said:

So che NT4 non e' supportato, ma sapete dirmi qualcosa circa questo sistema e la vulnerabilita' in questione?

24 October 08 at 10:29 AM

# Feliciano Intini said:

@Antonio: la politica di Microsoft è di rendere disponibile le patch di sicurezza solo per i sistemi supportati, quindi nel caso di Windows NT, come Windows 2000 fino al SP3, come Windows XP fino al SP1, il cliente deve assumere di essere di fronte ad un sistema vulnerabile, a prescindere dall'analisi della singola vulnerabilità. Il guaio è che su tali sistemi non si riesce ad avere nativamente neanche gli strumenti che possano mitigare il rischio: es. firewall.

24 October 08 at 11:59 AM

# sirus said:

In realtà su Windows XP è sempre esistito il firewall integrato e ne ho anche fatto uso. Certo è che dall'introduzione del Service Pack 2 in poi è molto cambiato, almeno a livello di configurazione.

Inoltre è sempre possibile dotarsi di un firewall di terze parti sui sistemi non più supportati (per Windows 2000 ed XP il problema non si pone, basta aggiornarli all'ultimo Service Pack).

24 October 08 at 2:16 PM

# Security Blog di Feliciano Intini said: