09 September 2009
Analisi di rischio dei bollettini di sicurezza di Settembre e nuovo security advisory
[Aggiornamento del 10-09-2009]
Credo sia utile integrare le informazioni pubblicate ieri con un’importante novità relativa al bollettino MS09-048. Nella versione originale del bollettino, Windows XP era menzionato tra i sistemi non interessati dalle vulnerabilità. Nelle FAQ era però specificato che XP non è vulnerabile nella configurazione di default; risulta però esposto a due delle tre vulnerabilità (nello specifico a quelle di Denial of Service), nel momento in cui nel firewall di XP è configurata un’eccezione per un servizio in listening.
In definitiva quindi se su Windows XP è presente un servizio in listening per il quale è stata configurata un’eccezione nel Windows Firewall (o, a maggior ragione, se il firewall è disabilitato) il sistema operativo risulta esposto a due vulnerabilità di tipo Denial of Service.
Il bollettino è stato quindi aggiornato per correggere l’incongruenza iniziale e Windows XP è stato incluso tra i sistemi interessati.
E il relativo aggiornamento di sicurezza, chiederete? Una serie di considerazioni ha portato alla decisione di non rilasciare un aggiornamento per XP:
- Di default, Windows XP non ha alcun servizio in listening configurato sul firewall di Windows
- L’attacco di tipo Denial of Service richiede l’invio di un flusso sostenuto di pacchetti TCP opportunamenti malformati, e il sistema, nel momento in cui questo flusso viene interrotto, ripistina il normale funzionamento.
- La vulnerabilità è insita nel protocollo TCP/IP, e gli aggiornamenti forniti non rimuovono completamente la vulnerabilità, ma consentono di mantenere il sistema funzionante il più a lungo possibile durante un attacco
- La vulnerabilità di tipo Denial of Service può essere ulteriormente mitigata dall’uso di NAT o di server che effettuano reverse proxy
Queste argomentazioni sono dettagliate anche nel post di commento al webcast mensile sui security bulletin pubblicato poco fa sul blog di MSRC.
Andrea
[Post del 9-9-2009]
L’emissione dei bollettini di sicurezza Microsoft di questo mese è caratterizzata dal rilascio di 5 bollettini critici, che risolvono in totale 8 vulnerabilità, di cui solamente una pubblica (in MS09-048).
I primi 2 bollettini (MS09-045 e MS09-046) sono sostanzialmente sovrapponibili in termini di fattori di rischio: per entrambi la vulnerabilità è di tipo remote code execution, l’exploit è possibile via web, e i privilegi ottenibili sono pari a quelli dell’utente collegato .
Differente è invece il componente interessato (JScript in MS09-045, il controllo ActiveX DHTML Editing in MS09-046) e diversi sono i sistemi operativi interessati (fate riferimento alla pagina riepilogativa per i bollettini del mese di settembre per tutti i dettagli). L’exploitability index è pari a 1 per il primo bollettino, 2 per il secondo.
Il bollettino MS09-047 risolve due vulnerabilità in Windows Media Format e presenta fattori di rischio legati all’apertura di file multimediali (nello specifico di tipo MP3, ASF, WMV, WMA). In questo caso l’exploitability index è pari a 1, e sono impattate tutte le piattaforme client (eccetto Windows 7) e server (eccetto 2008R2, 2008 Server Core e 2003/2008 su Itanium).
Il bollettino MS09-048, relativo a TCPIP, è quello destinato probabilmente a destare la maggiore attenzione, dal momento che purtroppo non è stato possibile rilasciare un aggiornamento di sicurezza per Windows 2000, che come potete vedere dalla tabella, è tra i sistemi vulnerabili; il motivo è legato al fatto che l’architettura necessaria a fornire protezione dalle vulnerabilità in questione non è presente in Windows 2000 e non è implementabile senza andare ad impattare in modo significativo la compatibilità con il resto del sistema operativo.
Chiaramente si tratta di un messaggio non facilmente accettabile; occorre tener presente che Windows 2000 è impattato “solo” dalle vulnerabilità di tipo Denial of Service, e con un indice di Exploitability pari a 3.
Al momento l’approccio migliore che si può seguire per proteggere i sistemi Windows 2000 è quello di implementare delle misure difensive a livello di rete per impedire potenziali attacchi (IPS, filtering delle connessioni IP tramite il tab Advanced TPC/IP filtering della connessione di rete).
Per tutti gli altri sistemi operativi il bollettino risolve 3 vulnerabilità (la più grave, di tipo Remote Code Execution, riguarda Vista e 2008).
L’ultimo bollettino, MS09-049, impatta il nuovo servizio Wireless LAN Autoconfig introdotto in Windows Vista e 2008 e risolve una vulnerabilità sfruttabile tramite una connessione wireless. Ne consegue che i sistemi principalmente a rischio sono i laptop con Windows Vista.
E’ stato aggiornato il bollettino MS09-037 relativo ad ATL per rendere disponibile un’aggiornamento di sicurezza per il controllo ActiveX HTMLInput (sono impattati Vista e Windows XP Media Center 2005).
In nottata è stato pubblicato il security advisory 975497 per investigare una nuova vulnerabilità in SMBv2; i dettagli della vulnerabilità e il codice dettagliato di exploit sono stati resi noti lunedì 7 settembre. Si tratterebbe di una vulnerabilità in Vista e Windows Server 2008, in grado di dar luogo a un Denial of Service (riavvio del sistema) o, più raramente, a una Remote Code Execution. Il workaround attualmente suggerito consiste nel bloccare le possibilità di accesso alle porte 139 e 445, o nel disabilitare il procollo SMBv2.
Lo strumento gratuito di rimozione di malware, il Malicious Software Removal Tool (MSRT), il cui download viene abitualmente proposto agli utenti in occasione del rilascio dei bollettini di sicurezza, questo mese aggiunge le seguenti famiglie di malware alla lista di rilevamento:
Andrea
Altri post/risorse correlate:
Comment Notification
If you would like to receive an email when updates are made to this post, please register here
Subscribe to this post's comments using
Comment Policy: No HTML allowed. URIs and line breaks are converted automatically. Your e–mail address will not show up on any public page.
