27 October 2008

Bollettino out-of-band MS08-067: aggiornamento sulla situazione in Italia

Come opportunamente fatto dal Microsoft Security Response Center con il loro ultimo post, anch'io penso che possa essere utile darvi un aggiornamento sull'evolversi della situazione, con il particolare punto di vista dello scenario italiano visto il nostro ruolo privilegiato di osservatorio delle problematiche di sicurezza sui grandi clienti seguiti direttamente da Microsoft Italia.

Livello di consapevolezza della problematica:

Diffusione della notizia nei media/online/blogosfera: stranamente medio/bassa, ho l'impressione che quasi quasi non faccia più scoop la notizia di un rilascio straordinario di un bollettino di sicurezza Microsoft. Se da un lato per Microsoft può rappresentare un sollievo non subire la pressione dei media, soprattutto quando speculano con notizie non esatte e da rincorrere, dall'altro questa quiete apparente può essere controproducente in casi come questo in cui è assolutamente necessario sensibilizzare tutti sull'urgenza di aggiornare i propri sistemi.
Comprensione del reale livello di pericolosità: anche questo medio/basso, in parte per gli effetti del punto precedente (nessun particolare clamore nei media), in parte per una sorta di assuefazione alla tranquillità: sono passati 4 anni dalle ultime infezioni di worm e forse tanti non hanno neanche più la memoria storica di quelle problematiche e delle loro conseguenze. A riprova di questo aspetto vi riporto che la maggior parte delle domande che ci sono state rivolte dai clienti sono state del tipo: "... ma è davvero così urgente???", " ... devo proprio organizzarmi per distribuire la patch anche nel weekend, o posso aspettare a lunedì??". E' vero che negli ultimi casi in cui Microsoft ha pubblicato un bollettino out-of-band (per esempio, l'ultimo nell'aprile 2007 , il penultimo a settembre 2006, il terzultimo a gennaio 2006), non ci sono state poi situazioni di rischio particolari, ma questo è solo la riprova del grande lavoro di risposta alle emergenze (spesso non immediatamente visibile) e di contrasto sul nascere delle possibili situazioni di attacco. Di per sé, l'emissione straordinaria di un bollettino in presenza di attacchi (anche se limitati e circoscritti) va considerato come un segnale forte e da prendere molto seriamente: se non ci fosse stato un serio pericolo per la sicurezza dei clienti, il bollettino sarebbe stato rinviato alla prossima emissione ordinaria.

Livello di rischio:

Finora fa fede quanto espresso dal MSRC: nessun exploit pubblico in grado di mostrare un attacco di tipo Remote Code Execution. Ribadisco solo di stare attenti a non confondere le notizie di malware che sono già rilevabili con quelle che segnalano la presenza di worm: al momento (per fortuna) nessuna notizia di worm. I malware rilevabili sono Trojan che vengono scaricati sui sistemi presi di mira da attacchi mirati: se chi ha in mano un exploit funzionante attacca un sistema vulnerabile (=su cui non è ancora stata installata la patch), riesce a scaricare un Trojan sul sistema della vittima a meno che non sia presente una soluzione antivirus aggiornata alle ultime firme. Più passa il tempo e più questo scenario è destinato a peggiorarsi: quindi, ancora una volta, non è saggio adagiarsi sugli allori.

Situazione sui clienti italiani:

Stato della diffusione degli aggiornamenti: numerosi grandi clienti si sono attrezzati (in modo avveduto, a mio parere) per procedere all'aggiornamento urgente anche nel fine settimana appena trascorso, ma la maggior parte sta partendo da ora a farlo in modo esteso.
Problemi di deployment: nessuna problematica ci è stata segnalata in merito a problemi di distribuzione/installazione della patch MS08-067.

In conclusione, è bene ribadire: testate la patch nei vostri ambienti e aggiornate tutti i sistemi Windows con urgenza!

Altri post/risorse correlate:

Post del MSRC del 26/10 (domenica sera, ora italiana): Update on MS08-067
Analisi di rischio del bollettino straordinario di sicurezza Microsoft MS08-067 relativo al servizio Server di Windows

Share this post :

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS

Comments

# Bollettino out-of-band MS08-067: aggiornamento sulla situazione in Italia said:

PingBack from http://www.grabbernews.com/bollettino-out-of-band-ms08-067-aggiornamento-sulla-situazione-in-italia-35489.html

27 October 08 at 11:11 AM

# DGalluzzo said:

Ciao Feliciano, seguo sempre il tuo blog con interesse. Del tuo articolo una cosa in particolare mi ha incuriosito: testare la patch. Come pensi sia possibile, in generale, testare le patch di sicurezza? Non è una cosa semplice per cui la maggior parte delle volte (se non sempre) si installa e via. Hai qualche consiglio in proposito?

Grazie

27 October 08 at 1:16 PM

# Feliciano Intini said:

Ciao DGalluzzo, grazie del tuo interesse per il blog. La diversità nel testare la patch di sicurezza rispetto ad una normale sta nell'urgenza: è la criticità del rischio di attacco a dettare i tempi di test e non la durata normale dei cicli di test ordinari. Il consiglio è di prepararsi in tempi di pace con un elenco di test ordinato per importanza (prima verificare la funzionalità più importante della nostra soluzione, poi via via quelle meno essenziali). In caso di urgenza poi, si stima il livello di urgenza e la durata tollerabile dei test e si selezionano solo i test che riescono ad essere fatti in quell'intervallo di tempo partendo da quelli più importanti. In casi di vera emergenza, questa finestra potrebbe anche ridursi a zero, e indurre all'applicazione senza test: l'importante è non far mancare mai un piano di backup/ripristino per poter recuperare la situazione in caso si sia costretti a queste operazioni a test ridotto/nullo.

27 October 08 at 1:34 PM

# Simone said: