Analisi di rischio sui Bollettini di sicurezza Microsoft - novembre 2008

Dopo il rilascio del bollettino straordinario MS08-067 dello scorso 23 ottobre, eccoci ritornati all'emissione ordinaria di novembre: solo 2 bollettini che risolvono un totale di 4 vulnerabilità, come visibile dalla consueta matrice sinottica di analisi di rischio (ricordate che dallo scorso mese è disponibile anche l'indicazione dell'Exploitability Index per ogni singola vulnerabilità, consultabile alla pagina di riepilogo mensile)

Qualche dettaglio in più sui singoli bollettini:

• MS08-068 sul protocollo Server Message Block (SMB) di Windows: una vulnerabilità Important di tipo Remote Code Execution nella modalità di gestione delle credenziali NTLM che permetterebbe di eseguire del codice non autorizzato nel contesto di sicurezza dell'utente loggato. L'attacco richiede che si predisponga un server su cui attrarre l'utente vittima: se l'utente accede a questo server pericoloso ed utilizza le credenziali NTLM, chi attacca ha modo di riutilizzare queste credenziali per rivolgerle verso il sistema dell'utente e indurre l'esecuzione di codice non autorizzato da remoto. Purtroppo la vulnerabilità era nota pubblicamente prima del rilascio del bollettino, essa viene classificata come sfruttabile in modo consistente (exploitability index=1) e questo è confermato dalla conoscenza di un exploit pubblico per Windows XP.
• MS08-069 sul componente XML Core Services 3.0/4.0/5.0/6.0 di Windows, Office 2003 e Office 2007, Microsoft Expression Web e Web 2, Microsoft Office SharePoint Server 2007 e Microsoft Office Groove Server 2007: una vulnerabilità Critical di tipo Remote Code Execution che interessa MSXML 3.0 e 2 vulnerabilità Important di tipo Information Disclosure che interessano MSXML 4.0, MSXML 5.0 e MSXML 6.0. L'attacco si realizza tramite pagine HTML malformate da far visualizzare alla vittima o su un sito web o veicolate tramite e-mail HTML. Solo la prima vulnerabilità era già nota prima del rilascio del bollettino, ed è classificata come sfruttabile ma non in modo consistente (exploitability index=2).

Lo strumento gratuito di rimozione di malware (MSRT) che viene proposto agli utenti contestualmente al rilascio mensile dei bollettini di sicurezza, questo mese aggiunge le seguenti famiglie di malware alla lista di rilevamento:

• Win32/FakeSecSen: si tratta di un software di tipo "Scareware/Rogueware"
• Win32/Gimmiv: ne abbiamo parlato a proposito del malware veicolato attraverso gli attacchi limitati che usavano la vulnerabilità del bollettino MS08-067

Altri post/risorse correlate:

• i post della categoria "Security Bulletin and Advisory Risk Analysis"
• Microsoft Exploitability Index
• Un po' di teoria sull'analisi di rischio delle vulnerabilità Microsoft - 1a puntata
• Riepilogo analisi Bollettini e Advisory

Share this post :

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS